收藏
下载资源

第12章用户接入管理协议6262973501

上传人:xzh****18 文档编号:55835065 上传时间:2018-10-07 格式:PPT 页数:63 大小:936KB
返回 下载 相关 举报
第12章用户接入管理协议6262973501_第1页
第1页 / 共63页
第12章用户接入管理协议6262973501_第2页
第2页 / 共63页
第12章用户接入管理协议6262973501_第3页
第3页 / 共63页
第12章用户接入管理协议6262973501_第4页
第4页 / 共63页
第12章用户接入管理协议6262973501_第5页
第5页 / 共63页
点击查看更多>>
资源描述

《第12章用户接入管理协议6262973501》由会员分享,可在线阅读,更多相关《第12章用户接入管理协议6262973501(63页珍藏版)》请在金锄头文库上搜索。

1、第12章 用户接入管理协议,12.1 引言 12.2 接入链路协议 12.3 接入认证/控制协议 12.4 接入管理协议 12.5 小结和推荐资料,12.1 引言,接入网的核心功能之一是对用户进行接入管理 参与用户接入管理的协议主要分为三个层次 接入链路协议 接入认证/控制协议 以及接入管理协议,用户接入管理的协议模型,用户,BAS,接入管理服务器,接入管理协议,接入认证/控制协议,接入链路协议,物理层,接入链路协议,接入认证/控制协议,物理层,数据 链路层,网络层,接入管理协议,物理层,接入链路协议,接入认证/控制协议,物理层,数据 链路层,网络层,接入管理 协议,12.2 接入链路协议,接

2、入链路协议作用: 提供链路通信服务 提供或便于实现基于用户的接入控制功能 典型的接入链路协议有: 以太网协议:IEEE 802.3 无线局域网协议(IEEE 802.11) PPP(Point-to-Point Protocol,点到点协议) PPPoE:以太网上的点到点协议) Point to Point Protocol over Ethernet 本章主要介绍PPP和PPPoE协议。,PPP协议,概念 Point-to-Point Protocol 点到点的协议 目前使用的版本: RFC 1661 协议作用范围 点到点的链路上(数据链路) 功能 实现点到点链路的两个节点之间: 数据链路的

3、建立与拆除 链路质量检测 身份认证等 网络层协议协商与配置(如IP协议的IP地址等) 两个子协议:LCP 与 NCP,PPP协议参考模型,PHY,PPP 协议,物理层,PPP协议LCP,链路控制协议LCPLink Control Protocol 链路建立 链路参数协商(如MRU等)与配置 是否认证或认证协议协商 链路拆除等,数据 链路层,PPP协议NCP,网络层控制协议NCPNetwork Control Protocol 不同的网络层协议可复用在同一PPP链路上 PPP为不同的网络层设计了相应的NCP 如对应IP协议的NCP为IPCP 对应IPX协议的NCP为IPXCP 不同的NCP处理不

4、同网络层特殊要求 如IP地址分配等 同一个PPP连接下可开启多个NCP,IPCP,IPXCP,其他,NCP,可选的认证获其他链路选项 LCP,网络层,IP,IPX,其他,PPP的协议的封装格式,类似HDLC的UI帧(无编号帧),地址,控制,协议,数据,FCS,字节,1 1 变长 2,地址,控制,数据,FCS,HDLC UI帧,PPP 帧,固定值 OxFF,固定值 Ox03,封装数据的协议类型 如:0x0021 :IP协议0x8021:IPCP协议,1 1 2 变长 2,字节,PPP的协议操作过程,链路 死亡,链路 建立,认 证,网络层协议,链路 终止,PPP协议的5个阶段及转换过程,PPP协议

5、的五个阶段,链路消亡阶段 物理层未准备好、PPP的初始阶段 链路建立阶段,由LCP完成 建立请求、协商MRU、认证协议、链路质量监测协议 认证阶段,由LCP完成 可选项,对用户身份的鉴别。是否选或选择何种认证协议在建立连接阶段协商 网络层协议阶段,由NCP完成 对网络层协议进行配置,如网络层地址(IP地址)分配 链路终止阶段,由LCP完成 可以在任何时候终止链路,链路的正常终止由LCP分组完成,一个NCP的关闭不一定引起链路的关闭,PPPoE协议,概念 PPP Over Ethernet 以太网的点到点的协议 目前使用的版本: RFC 2516 PPPoE的引入 PPP只适应点到点链路的接入控

6、制 点到多点链路PPP仍然适应吗?否! PPPoE可以实现对点到多点链路的接入控制 PPPoE的功能 对以太网上每个用户与NAS之间建立一条PPP会话通道 每一条PPP会话通道有唯一的连接标识 实现对太网上每个用户进行单独的管理,PPPoE接入模型,图中:接入桥接设备可为:交换机、ADSL Modem 接入集中器可为: PPPoE服务器 DSLAM(集成了PPPOE协议),主机,主机,主机,接入集中器 Access Concentrator,主机,主机,ISP,局域网 (以太网),PPP会话,桥接接入设备 Bridging Access Device,PPPOE服务器,PPPoE协议分层模型,

7、PPPoE分组(帧)格式,PPPoE协议封装在以太帧中(以太帧的载荷),字节,目的MAC地址,源MAC地址,类型,有效载荷 (PPPoE分组),FCS,6 6 2 变长 4,PPPoE封装 在以太帧中,版本,代码,类型,有效载荷,会话标识,比特,0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7,长度,PPPoE分组格式,固定值,不同阶段的分组类型,PPPoE 载荷长度,标识一个特定的PPPoE会话,发现阶段:为空 会话阶段:PPP帧,PPPoE协议操作(运行)的两个阶段,两个阶段:PPPoE发现与PPP会话 发现阶段

8、 主机广播一个PPPoE有效发现启动分组(PADI),寻找合适PPPoE服务器 可能有多个服务器收到该消息,满足要求的服务器发送有效发现提供分组应答(PADO),否则不发应答 主机选择一个合适的接入服务器,发有效发现请求分组(PADR) 接入服务器向主机发送有效发现发现会话证实(PADS),为主机分配唯一的会话标识。发现过程结束,PPPoE协议操作(运行)的两个阶段,PPP会话阶段 发现结束后,主机和PPPoE接入服务器建立点到点隧道,进入会话阶段 PPP帧封装在PPPoE帧中 而PPPoE帧封装在Ethernet帧中,通过以太网或其它接入网承载或运送,12.3 接入认证/控制协议,用于用户和

9、BAS之间,实现对用户的认证和接入控制 口令认证协议 PAP 质询认证协议 CHAP 可扩展的认证协议 EAP 基于端口的接入认证与控制协议 802.1X,口令认证协议PAP,PAP(由RFC 1334描述) Password Authentication Protocol口令认证协议 PAP认证过程 (在PPP的LCP阶段配置为采用PAP协议进行认证) 被认证方向认证方发认证请求信息(明文) 请求信息含“用户名、口令” Auth-Request 认证方向被认证方发认证应答信息(明文) Auth-Ack or Auth-Nak,PAP认证的问题明文传输认证信息容易被窃取,存在安全隐患,质询认证

10、协议 CHAP,CHAP Challenge Authentication Protocol 质询认证协议 由RFC 1994描述 CHAP认证的特点 认证信息采用密文传送 采用共享密钥 与PAP相比 安全性更高 认证所花时间更长,质询认证协议 CHAP,CHAP认证的交互过程 三次交互,2) 响应(Response) (密文),1) 质询(Challenge)(明文),3) 认证成功/失败 (Auth-Ack / Auth-Nak),1) 由认证方向被认证方发送质询分组,质询值为长度不固定的随机字节流-随机数,) 由被认证方向认证方发送响应分组,将质询值通过共享密钥加密后传送到对方,) 由认

11、证方向被认证方发送响应分组,认证方用共享密钥解密,正确发Ack,错误发Nak,质询认证协议 CHAP,1) 加密算法是MD5哈希算法,) 加密的字节流由CHAP质询分组标识、密钥和质询值组成,) CHAP认证交互过程在整个PPP链路中可以进行多次,4) 协商后通常优先选用CHAP,可扩展认证协议 EAP,EAP的含义 Extensible Authentication Protocol 可扩展的认证协议 由RFC 2284描述 RFC 3748将EAP的应用从点到点链路(PPP)推广到IEEE 802网络 并非一个具体的认证协议 设计目标是把链路建立阶段的认证协议选择延迟到可选的PPP认证阶段

12、 是一个认证协议的封装协议 定义了一种封装的框架、格式 具体的认证协议和认证信息封装在EAP分组中,如 PAP over EAP、CHAP over EAP etc. 迄今EAP支持的认证协议达42种,EAP协议分层模型,低层 负责收发Peer和Authenticator间封装EAP分组的帧 可以包括PPP,IEEE 802 LAN,UDP TCP EAP层 由低层收发EAP分组,实现分组的重复性检测和重传 向上层递交或接受EAP报文 EAP Peer/Authenticator层 EAP Peer层为被认证方提供Peer功能,接受EAP请求、成功或失败分组 EAP Authenticator

13、层为认证方提供Authenticator功能,接受EAP响应分组 EAP方法层 实现多种认证算法,收发EAP报文,支持分段与重组,EAP直通Authenticator,允许使用后台认证服务器,EAP协议交互过程,四种分组:Request/Response/Success/Failure 停止-等待协议,EAP协议使用,EAP协议在PPP网络中的使用 在LCP链路协商中将选择认证协议为EAP协议 在协商通过后,即可在PPP认证阶段开始EAP协议交互,确定具体的认证机制 EAP协议在IEEE802网络中的使用 IEEE 802.1X,用户接入控制协议 802.1X,概念 IEEE802.1X 基于

14、端口的接入控制协议 目前使用标准版本: IEEE Std 802.1X-2004 一个专用于802网络用户接入认证与控制的协议 接入要求 LAN用户以点到点方式接入到LAN的端口上 端口可以是物理端口(如以太网交换机端口) 端口也可以是逻辑端口(如WLAN中的AP端口) 功能 为LAN用户提供接入认证及授权的服务功能,802.1X协议模型的三种实体,客户系统(Supplicant System) 运行802.1X客户软件的用户终端系统 认证系统(Authenticator System) 为802.1X客户系统(即LAN用户)提供授权的接入服务,通常为支持802.1X协议的网络接入设备 如支持

15、802.1X的以太网交换机或AP 认证服务器系统(Authentication Server System) 为认证系统提供认证服务,如AAA服务器,802.1X的协议运行模型,PAE: Port Access Entity: 端口接入实体,客户系统,认证系统,认证服务器系统,客户 PAE,提供授权 的服务,认证PAE,受控端口,认 证 服务器,LAN,不受控 端口,运行802.1X客户 软件的用户终端,支持802.1X的网络接入设备为801.1x客户提供授权的接入服务,为认证系统 提供认证服务,802.1X的不受控/受控端口,不受控端口 传输认证信息 始终连通 受控端口 传输用户业务数据 受控方式:双向受控或仅输入受控 端口默认状态为未授权状态,即断开状态 双向受控:端口此时禁止收、发业务数据 仅输入受控:端口此时只能发送数据 通过认证后,处于授权状态,即接通状态,受控端口,不受控 端口,802.1X协议运行,协议运行实体 客户PAE、认证PAE、认证服务器 认证协议封装类型 客户PAE与认证PAE之间:EAPOL(EAP Over LAN),通常是 EAP Over Ethernet 认证PAE与认证服务器之间:EAP 认证的发起者 客户PAE或认证PAE,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 商业合同/协议

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号