收藏
下载资源

用户接入管理协议(radius)

上传人:xzh****18 文档编号:55835035 上传时间:2018-10-07 格式:PPT 页数:40 大小:275KB
返回 下载 相关 举报
用户接入管理协议(radius)_第1页
第1页 / 共40页
用户接入管理协议(radius)_第2页
第2页 / 共40页
用户接入管理协议(radius)_第3页
第3页 / 共40页
用户接入管理协议(radius)_第4页
第4页 / 共40页
用户接入管理协议(radius)_第5页
第5页 / 共40页
点击查看更多>>
资源描述

《用户接入管理协议(radius)》由会员分享,可在线阅读,更多相关《用户接入管理协议(radius)(40页珍藏版)》请在金锄头文库上搜索。

1、接入网技术,第12章 用户接入管理协议,12.1 引言 12.2 接入链路协议 12.3 接入认证/控制协议 12.4 接入管理协议 12.5 小结和推荐资料,接入网技术,12.1 引言,接入网的核心功能之一是对用户进行接入管理 参与用户接入管理的协议主要分为三个层次 接入链路协议 接入认证/控制协议 以及接入管理协议,接入网技术,用户接入管理的协议模型,用户,BAS,接入管理服务器,接入管理协议,接入认证/控制协议,接入链路协议,物理层,接入链路协议,接入认证/控制协议,物理层,数据 链路层,网络层,接入管理协议,物理层,接入链路协议,接入认证/控制协议,物理层,数据 链路层,网络层,接入管

2、理 协议,接入网技术,12.2 接入链路协议,接入链路协议作用: 提供链路通信服务 提供或便于实现基于用户的接入控制功能 典型的接入链路协议有: 以太网协议:IEEE 802.3 无线局域网协议(IEEE 802.11系列) PPP(Point-to-Point Protocol,点到点协议) PPPoE:以太网上的点到点协议) Point to Point Protocol over Ethernet 本章主要介绍PPP和PPPoE协议。,接入网技术,PPP协议,概念 Point-to-Point Protocol 点到点的协议 目前使用的版本: RFC 1661 协议作用范围 点到点的链路

3、上(数据链路) 功能 实现点到点链路的两个节点之间: 数据链路的建立与拆除 链路质量检测 身份认证 网络层协议协商与配置(如IP协议的IP的地址等) 两个子协议:LCP 与 NCP,接入网技术,PPP协议LCP,链路控制协议LCPLink Control Protocol 链路建立 链路参数协商(如MRU等)与配置 是否认证或认证协议协商 链路拆除等,接入网技术,PPP协议NCP,网络层控制协议NCPNetwork Control Protocol 不同的网络层协议可复用在同一PPP链路上 PPP为不同的网络层设计了相应的NCP 如对应IP协议的NCP为IPCP 对应IPX协议的NCP为IPX

4、CP 不同的NCP处理不同网络层特殊要求(如IP地址分配等) 同一个PPP连接下可开启多个NCP,接入网技术,PPP的协议的封装格式,类似HDLC的UI帧(无编号帧),地址,控制,协议,数据,FCS,字节,1 1 2 变长 2,地址,控制,数据,FCS,HDLC UI帧,PPP 帧,固定值 OxFF,固定值 Ox03,封装数据的协议类型,接入网技术,PPP的协议操作过程,五个阶段及各阶段转换图,接入网技术,PPP协议的五个阶段,死亡阶段 物理层未准备好、PPP的初始阶段 链路建立阶段,由LCP完成 建立请求、协商MRU、认证协议、链路质量监测协议 认证阶段,由LCP完成 可选项,对用户身份的鉴

5、别。是否选或选择何种认证协议在建立连接阶段协商 网络层协议阶段,由NCP完成 对网络层协议进行配置,如网络层地址(IP地址)分配 链路终止阶段,由LCP完成 可以在任何时候终止链路,链路的正常终止由LCP分组完成,一个NCP的关闭不一定引起链路的关闭,接入网技术,PPPoE协议,概念 PPP Over Ethernet 以太网的点到点的协议 目前使用的版本: RFC 2516 PPPoE的引入 PPP只适应点到点链路的接入控制 点到多点链路PPP仍然适应吗?否! PPPoE可以实现对点到多点链路的接入控制 PPPoE的功能 对以太网上每个用户与NAS之间建立一条PPP会话通道 每一条PPP会话

6、通道有唯一的连接标识 实现对太网上每个用户进行单独的管理,接入网技术,PPPoE接入模型,图中:接入桥接设备可为:交换机、ADSL Modem 接入集中器可为:PPPoE服务器、DSLAM,主机,主机,主机,接入集中器 Access Concentrator,主机,主机,ISP,局域网 (以太网),PPP会话,桥接接入设备 Bridging Access Device,接入网技术,PPPoE协议分层模型,接入网技术,PPPoE分组(帧)格式,PPPoE协议封装在以太帧中(以太帧的载荷),字节,目的MAC地址,源MAC地址,类型,有效载荷 (PPPoE分组),FCS,6 6 2 变长 4,PPP

7、oE封装 在以太帧中,版本,代码,类型,有效载荷,会话标识,比特,0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7,长度,PPPoE分组格式,固定值,不同阶段的分组类型,PPPoE 载荷长度,标识一个特定的PPPoE会话,发现阶段:为空 会话阶段:PPP帧,接入网技术,PPPoE协议操作(运行)的两个阶段,两个阶段:PPPoE发现与PPP会话 发现阶段 主机广播一个PPPoE有效发现启动分组,寻找合适的PPPoE服务器 可能有多个服务器收到该消息,满足要求的服务器发送有效发现提供分组应答,否则不发应答 主机选择一个合

8、适的接入服务器,发有效发现请求分组 接入服务器为主机分配唯一的会话标识。发现过程结束,主机,PPPoE 接入服务器, 广播PADI, 单播PADO, 单播PADR, 单播PADS,接入网技术,PPPoE协议操作(运行)的两个阶段,PPP会话阶段 发现结束后,主机和PPPoE接入服务器建立点到点隧道,进入会话阶段 PPP帧封装在PPPoE帧中 而PPPoE帧封装在Ethernet帧中,通过以太网或其它接入网承载或运送,接入网技术,12.3 接入认证/控制协议,口令认证协议 PAP 质询认证协议 CHAP 可扩展的认证协议 EAP 基于端口的接入认证与控制协议 802.1X,接入网技术,口令认证协

9、议PAP,PAP(由RFC 1334描述) Password Authentication Protocol口令认证协议 PAP认证过程 被认证方向认证方发认证请求信息(明文) 请求信息含“用户名、口令” 认证方向被认证方发认证应答信息(明文) Auth-Ack or Auth-Nak,认证请求 (Auth-Request),认证成功/失败 (Auth-Ack / Auth-Nak),A (被认证方),B (认证方),PAP认证的问题明文传输认证信息容易被窃取,存在安全隐患,接入网技术,质询认证协议 CHAP,CHAP Challenge Authentication Protocol 质询认

10、证协议 由RFC 1994描述 CHAP认证的特点 认证信息采用密文传送 采用共享密钥 与PAP相比 安全性更高 认证所花时间更长,接入网技术,质询认证协议 CHAP,CHAP认证的交互过程,2) 响应(Response) (密文),1) 质询(Challenge)(明文),A (被认证方),B (认证方),3) 认证成功/失败 (Auth-Ack / Auth-Nak),接入网技术,可扩展认证协议 EAP,EAP的含义 Extensible Authentication Protocol 可扩展的认证协议 由RFC 2284描述 并非一个具体的认证协议 是一个认证协议的封装协议 定义了一种封

11、装的框架、格式 具体的认证协议和认证信息封装在EAP分组中,如 PAP over EAP、CHAP over EAP etc. 迄今EAP支持的认证协议达42种,接入网技术,用户接入控制协议 802.1X,概念 IEEE802.1X 基于端口的接入控制协议 目前使用标准版本: IEEE Std 802.1X-2001 一个专用于802网络用户接入认证与控制的协议 接入要求 LAN用户以点到点方式接入到LAN的端口上 端口可以是物理端口(如以太网交换机端口) 端口也可以是逻辑端口(如WLAN中的AP端口) 功能 为LAN用户提供接入认证及授权的服务功能,接入网技术,802.1X协议模型的三种实体

12、,客户系统(Supplicant System) 运行802.1X客户软件的用户终端系统 认证系统(Authenticator System) 为802.1X客户系统(即LAN用户)提供授权的接入服务,通常为支持802.1X协议的网络接入设备 认证服务器系统(Authentication Server System) 为认证系统提供认证服务,接入网技术,802.1X的协议运行模型,PAE: Port Access Entity: 端口接入实体,客户系统,认证系统,认证服务器系统,客户 PAE,提供授权 的服务,认证PAE,受控端口,认 证 服务器,LAN,不受控 端口,运行802.1X客户 软

13、件的用户终端,支持802.1X的网络接入设备为801.1x客户提供授权的接入服务,为认证系统 提供认证服务,802.1X的不受控/受控端口,不受控端口 传输认证信息 始终连通 受控端口 传输用户业务数据 受控方式:双向受控或仅输入受控 端口默认状态为未授权状态,即断开状态 双向受控:端口此时禁止收、发业务数据 仅输入受控:端口此时只能发送数据 通过认证后,处于授权状态,即接通状态,受控端口,不受控 端口,接入网技术,802.1X协议运行,协议运行实体 客户PAE、认证PAE、认证服务器 认证协议封装类型 客户PAE与认证PAE之间:EAPOL(EAP Over Ethernet) 认证PAE与

14、认证服务器之间:EAP 认证的发起者 客户PAE或认证PAE,接入网技术,802.1X的认证与接入过程,1)客户PAE将认证信息由EAPOL封装,并通过认证系统的不受控端口传输到认证PAE 2)认证PAE将认证信息由EAP封装传输到认证服务器 3)认证服务器验证用户认证信息,并将认证结果返回到认证PAE(成功或失败) 4)认证PAE将认证结果反馈给客户PAE 认证成功:受控端口设为授权状态,向用户提供接入服务 认证失败:受控端口继续断开,拒绝向用户提供接入服务,接入网技术,通过以太网交换机接入的交换式以太网 每台主机以点到点方式接入到交换机每个端口 接入点为交换机的物理端口 通过AP接入的无线

15、局域网 每台无线主机以点到点方式接入AP的同一无线端口 控制端口为逻辑端口 不同的逻辑端口可由MAC地址区分,注:PC中安装客户PAE交换机或AP中安装认证PAE,802.1X协议的应用,接入网技术,概念 RADIUS的含义 协议的发展 协议的功能 协议模型 协议运行 报文格式和类型(自学) RADIUS代理 协议应用,12.4 接入管理协议,接入网技术,RADIUS 的含义 Remote Authentication Dial In User Service 远程认证拨号用户服务 协议标准:RFC2865,RFC2866 扩展版本:RFC2867,RFC2868 等 协议发展与应用范围 最初仅针对拨号用户,实现AAA的管理功能 现已发展成一种通用的、广泛使用的实现AAA功能的协议 适用于各种方式接入的用户的集中管理 协议的功能 对接入用户提供认证、授权和记帐功能 支持对漫游用户的接入管理,用户接入管理协议 RADIUS,接入网技术,协议模型,LAN,用户,NAS,RADIUS server,接入 client,接入 server,RADIUS client,用户接 入 认证协议,

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 商业/管理/HR > 商业合同/协议

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号