《IEEE802.1x技术白皮书V10(天选打工人).docx》由会员分享,可在线阅读,更多相关《IEEE802.1x技术白皮书V10(天选打工人).docx(47页珍藏版)》请在金锄头文库上搜索。
1、IEEE 802.1x技术白皮书V10北京港湾网络有限公司产品部2002年2月目录第一部分 IEEE 802.1X协议介绍11 协议的开发背景12 几个名词的定义13 工作机制33.1 各组成部分的功能33.2 受控和非受控的访问(Controlled and uncontrolled access)53.3 IEEE 802.1x协议的体系结构93.4 IEEE 802.1x协议的工作机制113.5 协议实现内容163.6 基本的认证过程193.7 几个注意的问题204 几种认证方式的比较214.1 PPPOE认证214.2 WEB认证234.3 802.1x认证254.4 小结几种认证方式
2、的比较27第二部分 IEEE 802.1X协议在港湾网络的应用281 IEEE 802.1x解决方案281.1 端口控制模式281.2 802.1x解决方案292 IEEE 802.1x应用方案302.1 802.1x认证应用在新建小区302.2 802.1x认证应用在旧小区323 港湾 802.1x认证计费系统介绍353.1 计费管理系统功能363.2 港湾计费管理系统解决方案37第三部分 港湾802.1X认证应用案例431 802.1x在宁波网通的应用432 802.1X在通化电信的应用44 IEEE 802.1x技术白皮书V10第一部分 IEEE 802.1x协议介绍1 协议的开发背景在
3、IEEE 802 LAN 所定义的局域网环境中,只要存在物理的连接口,未经授权的网络设备就可以接入局域网,或者是未经授权的用户可以通过连接到局域网的设备进入网络。例如:一个可以访问公共网络的大厦的办公网,或者是某个组织机构与其他组织连接的网络。在这样的网络环境中,往往不希望未经授权的设备或用户连接到网络,使用网络提供的服务。后来,随着局域网技术的广泛应用,特别是在运营网络中的应用,对其安全认证的要求已经提到了议事日程上。如何既能够利用局域网技术简单、廉价的组网特点,同时又能够对用户或设备访问网络的合法性提供认证,是目前业界讨论的焦点。IEEE 802.1x 协议正是在这样的背景下提出的。IEE
4、E 802.1x 称为基于端口的访问控制协议(Port based network access control protocol)。基于端口的访问控制(Port based network access control)能够在利用IEEE 802 LAN的优势基础上提供一种对连接到局域网(LAN)设备或用户进行认证和授权的手段。通过这种方式的认证,能够在 LAN 这种多点访问环境中提供一种点对点的识别用户的方式。这里端口是指连接到LAN的一个单点结构,可以是被认证系统的MAC地址,也可以是服务器或网络设备连接LAN的物理端口,或者是在 IEEE 802.11 无线 LAN 环境中定义的工作站
5、和访问点。2 几个名词的定义以下的名词为802.1x协议中的重要组成部分:l Supplicant 客户端客户端指LAN所连接的一端的实体(entity),它向认证系统(Authenticator 如下)发起请求,对其身份的合法性进行检验。l Authenticator认证系统认证系统指在LAN连接的一端用于认证另一端设备的实体(entity)。l Authentication Server 认证服务器认证服务器指为认证系统提供认证服务的实体。这里认证服务器所提供的服务是指通过检验客户端发送来的身份标识,来判断该请求者是否有权使用认证系统所提供的网络服务。注意认证服务器与认证系统配合工作,可以
6、集成在一起,也可以分开放在认证系统通过网络可以远程访问的地方。l Network Access Port 网络访问端口网络访问端口指用户系统连接到LAN的访问端口。访问端口可以是物理端口,例如连接到用户的网络设备端口;也可以是逻辑端口,例如用户设备的MAC地址。注意下文所指的端口均可以是物理端口或用户设备的MAC地址,如果设备支持全程VLAN,也可以指VLAN ID。l Port Access Entity (PAE) 端口访问实体指一个端口的相关协议实体。PAE 能够支持的功能包括:客户端(Supplicant)完成的功能、认证系统(Authenticator)完成的功能或者两者功能同时具备
7、。l System 系统系统是指通过一个或更多端口连接到LAN的设备,例如:终端、服务器、交换机或路由器等设备都称为系统。图21 IEEE 802.1X认证体系组成部分3 工作机制下面将描述基于端口访问控制的结构框架,以及访问控制功能和设备实体之间的关系:3.1 各组成部分的功能3.1.1 系统(Systems)、端口(Ports)连接到LAN的设备(这里指2.6定义的系统System)通常与LAN会有一个或多个连接点(这里指2.4定义的网络访问端口)。注意1 一个终端一般通过网卡与LAN有一个连接点(有些终端如服务器可能会有多个网卡,与网络有多个连接);一个网络设备与网络一般有两个或多个连接
8、点一个系统的端口与网络连接,该系统就可以通过这个端口获得其他系统的服务,同时也可以为其他系统提供服务。基于端口的访问控制能够控制系统的端口状态,以保证只为授权的用户开放自己的服务。注意2 一个系统提供的服务包括根据MAC地址的转发功能,网络层的路由功能,文件服务器的功能等。为了便于描述基于端口的访问控制过程,一个系统的端口(确切的讲应该是协议实体PAE)可以在整个控制过程中充当多个不同的角色。如下为在基于端口访问控制过程中,端口所充当的角色:a) Authenticator (2.2). 在允许用户访问之前执行认证的端口,该端口充当认证系统的角色;b) Supplicant (2.1). 访问
9、认证系统所提供服务的端口,该端口充当客户端的角色;c) Authentication Server (2.3). 认证服务器代表认证系统执行对用户身份的合法性进行检验功能从以上描述可以看出,为了完成一个认证过程,所有的三个角色是必须的。一个特定系统可以承担一种或多种角色;例如:一个认证系统和认证服务器能集成在一个系统中,实现认证功能而无需设置专门的外置认证服务器。同样,一个端口在一个认证过程中充当客户端的角色,而在另一个认证过程中可能充当认证系统的角色,例如:在一个桥接LAN中,一个新的交换设备添加到网络中,这个设备要能够对连接到其端口的设备实现认证,自身必须先通过其上端设备的认证(该新设备通
10、过上端设备接入到LAN中)。注意3 尽管理论上认证服务器可以和认证系统集成在一起,但实际使用中都是分开成两个体系。3.1.2 端口访问实体(PAE, Port Access Entity)在客户端中,PAE主要负责响应来自认证系统建立信任关系的请求,称为客户端PAE。在认证系统中,PAE负责与客户端的通信,把从客户端收到的信息传送给认证服务器以便完成认证。该PAE称为认证系统PAE。认证系统PAE根据认证服务器提供的关于用户合法性的信息来控制受控端口(controlled下面会讲述)的状态是认证状态或未认证状态。3.2 受控和非受控的访问(Controlled and uncontrolled
11、 access)IEEE 802.1x协议的精华就是关于受控和非受控的访问,以下将详细描述关于受控和非受控的访问。3.2.1 端口的类型图31 受控端口(Controlled Port)和不受控端口(Uncontrolled Port)如图31 所示,认证系统的端口分成两个逻辑端口:受控端口和不受控端口。不受控端口只能传送认证的协议报文,而不管此时受控端口的状态是已认证状态(Autherized)还是未认证状态(Unautherized)。受控端口传送业务报文。如果用户通过认证,则受控端口的状态为已认证状态,可以传送业务报文。如果用户未通过认证,则受控端口的状态为未认证状态,不能传送业务报文。
12、图32 受控端口的状态变化如图32所示,当用户未通过认证时,受控端口处于开路,端口状态为未认证状态,此时交换机的交换功能是关闭的,也就是说交换机无法像传统的通过查找目标MAC地址来进行交换,如果用户有业务报文是无法通过的。当用户通过认证后,受控端口闭合,端口状态为通过认证状态,此时交换机的交换功能打开,就和传统的交换方式一致了,用户的业务报文就可以顺利通过。端口的状态受相关的协议参数控制,如AuthControlledPortStatus参数控制交换功能的打开和关闭等,这里不做详细讲解。3.2.2 端口控制方式对于端口的控制,可以有很多种方式。端口可以是物理的端口,也可以是用户设备的MAC地址
13、,如果设备支持全程的VLAN,也可以把VLAN ID看成是端口。基于物理端口的控制方式,每个物理端口包含两个逻辑端口:受控端口和不受控端口。不受控端口传递认证的协议报文,受控端口传递业务报文。采用这种端口控制方式,则必须在与最终用户直接相连的交换机实现802.1x认证,在相应的端口进行控制。这样会导致低端交换机的成本上升,势必增加整个网络的建网成本。图33 MAC地址的激活和禁止另一种端口控制方式就是基于用户设备的MAC地址进行控制。把用户设备的MAC地址看成端口,每个MAC地址有两个逻辑端口:受控和不受控端口。如果用户要访问LAN的资源,则首先其MAC地址必须处于激活状态,然后才能有协议报文
14、通过不受控的端口传递,开始整个认证过程。如果其MAC地址未激活或者被管理性的禁止,则无法进行认证。3.3 IEEE 802.1x协议的体系结构图34 802.1x协议的体系结构IEEE 802.1x协议的体系结构(通过上文的说明可以知道)包括三个重要的部分:Supplicant System客户端、Authenticator System认证系统、Authentication Server System认证服务器。图34描述了三者之间的关系以及互相之间的通信。客户端系统一般为一个用户终端系统,该终端系统通常要安装一个客户端软件,用户通过启动这个客户端软件发起802.1x协议的认证过程。为支持基
15、于端口的接入控制,客户端系统 需支持EAPOL(Extensible Authentication Protocol Over LAN)协议。认证系统通常为支持802.1x协议的网络设备。该设备对应于不同用户的端口(可以是物理端口,也可以是用户设备的MAC地址)有两个逻辑端口:受控(controlled Port)端口和不受控端口(uncontrolled Port)。不受控端口始终处于双向连通状态,主要用来传递 EAPOL 协议帧,可保证客户端 始终可以发出或接受认证。受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用环境。如果用户未通过认证,则受控端口处于未认证状态,则用户无法访问认证系统提供的服务。图中认证系统的受控端口处于未认证状态,因此无法访问认证系统提供的服务。认证系统的PAE通过不受控端口与Supplicant PAE进行通信,二者之间运行EAPOL协议。
