《《x认证协议》PPT课件》由会员分享,可在线阅读,更多相关《《x认证协议》PPT课件(38页珍藏版)》请在金锄头文库上搜索。
1、802.1x认证协议认证协议平安效劳事业部平安效劳事业部我们的目标初步了解和认识802.1x协议的背景;了解802.1X的根本思想和目标;了解802.1x的特点;802.1X的作用;Cisco支持产品平台;802.1x有什么样的体系结构;802.1x采用什么样的认证流程;802.1x协议对于设备有什么特殊的要求?适合在何种范围下面使用?最后我们还要学习EAP协议的具体内容。 802.1x概况概况 -起源背景起源背景 -802.1x基本思想和基本思想和实现目目标 -802.1x认证特点特点 -802.1x的作用的作用 -802.1x认证优势 -802.1x应用用环境特点境特点 Cisco支持产品
2、平台术语介绍 802.1x认证体系结构 802.1x认证过程 802.1x协议认证端口 802.1x配置 EAP协议介绍802.1x协议起源背景 802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入微软的Windows XP,以及CISCO、华为、北电等厂商的设备已经开始支持802.1X协议。在802.1x出现之前,企业网上有线LAN应用都没有直接控制到端口的方法。也不需要控制到端口。但是随着无线LAN的应用以及LAN接入在电信网上大规模开展,有必要对端口加以控制,以实现
3、用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制Port-Based Access Control而定义的一个标准。根本思想和目标这个标准的根本思想是:需要访问LAN的设备在能够连接形成LAN环境的交换机的物理或者逻辑端口之前需要认证和授权。这个标准的根本目标是:允许对LAN环境的受控访问。802.1x认证特点基于以太网端口认证的802.1x协议有如下特点:IEEE802.1x协议为二层协议,对设备的整体性能要求不高,可以有效降低建网本钱;借用了常用的EAP扩展身份认证协议,可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容;802.1x的认证体系结构中采用了可控
4、端口和不可控端口的逻辑功能,从而可以实现业务与认证的别离,业务报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包;可以映射不同的用户认证等级到不同的VLAN;可以使交换端口和无线LAN具有平安的认证接入功能。802.1x的作用802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略;802.1X是基于端口的认证策略;802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“翻开这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭,此时只允许802.1X的认证报文EAPOLExtensible Aut
5、hentication Protocol over LAN通过。基于以太网端口认证的802.1x协议有如下作用:802.1x认证的优势 简洁高效 容易实现 平安可靠 行业标准 应用灵活802.1x应用环境特点交换式以太网络环境交换式以太网络环境 对于交换式以太网络中,用户和网络之间采用点到点的物理对于交换式以太网络中,用户和网络之间采用点到点的物理连接,用户彼此之间通过连接,用户彼此之间通过VLANVLAN隔离,此网络环境下,网络管理控制的隔离,此网络环境下,网络管理控制的关键是用户接入控制,关键是用户接入控制,802.1x802.1x不需要提供过多的平安机制。不需要提供过多的平安机制。共享式
6、网络环境共享式网络环境 当当802.1x802.1x应用于共享式的网络环境时,为了防止在共享式的应用于共享式的网络环境时,为了防止在共享式的网络环境中出现类似网络环境中出现类似“搭载的问题,有必要将搭载的问题,有必要将PAEPAE实体由物理端口实体由物理端口进一步扩展为多个互相独立的逻辑端口。逻辑端口和用户进一步扩展为多个互相独立的逻辑端口。逻辑端口和用户/ /设备形成设备形成一一对应关系,并且各逻辑端口之间的认证过程和结果相互独立。在一一对应关系,并且各逻辑端口之间的认证过程和结果相互独立。在共享式网络中,用户之间共享接入物理媒介,接入网络的管理控制必共享式网络中,用户之间共享接入物理媒介,
7、接入网络的管理控制必须兼顾用户接入控制和用户数据平安,可以采用的平安措施是对须兼顾用户接入控制和用户数据平安,可以采用的平安措施是对EAPoLEAPoL和用户的其它数据进行加密封装。在实际网络环境中,可以通和用户的其它数据进行加密封装。在实际网络环境中,可以通过加速过加速WEPWEP密钥重分配周期,弥补密钥重分配周期,弥补WEPWEP静态分配秘钥导致的平安性的缺静态分配秘钥导致的平安性的缺陷。陷。 Cisco支持支持产品平台品平台 802.1x概况 -起源背景 -基本思想和实现目标 -认证特点 -802.1x的作用 -802.1x认证优势 -802.1应用环境特点术语介绍 802.1x认证体系
8、结构 802.1x认证过程 802.1x协议认证端口 802.1x配置 EAP协议介绍Cisco支持产品平台Cisco Catalyst 6500 Series SwitchCisco Catalyst 4000 and 4500 Series SwitchesCisco ACS ServerCisco Catalyst 2950, 3550, 3750 RoutersCisco Aironet术语介介绍 802.1x概况 -起源背景 -基本思想和实现目标 -认证特点 -802.1x的作用 -802.1x认证优势 -802.1应用环境特点 Cisco支持产品平台802.1x认证体系结构 802
9、.1x认证过程 802.1x协议认证端口 802.1x配置 EAP协议介绍术语介绍PAEPAEPort Access EntityPort Access Entity:认证机制中负责处理算法:认证机制中负责处理算法和协议的实体。和协议的实体。EAP(Extensible Authentication Protocol):EAP(Extensible Authentication Protocol):可扩展身份可扩展身份认证协议,认证协议,EAPEAP是一个相当灵活的协议,它原来的设计是是一个相当灵活的协议,它原来的设计是仅用于携带仅用于携带PPPPPP认证参数,但是它也能够用于其他协议,认证参
10、数,但是它也能够用于其他协议,例如:例如:802.1x802.1x,以满足它们的认证需求。它是,以满足它们的认证需求。它是802.1x802.1x的根的根本。本。EAPOL(Extensible Authentication Protocol over LAN)EAPOL(Extensible Authentication Protocol over LAN):802.1x802.1x定义了一个封装定义了一个封装/ /构造标准来允许产生请求者和构造标准来允许产生请求者和认证者之间的通信,这种封装机制称为认证者之间的通信,这种封装机制称为EAPOLEAPOL。802.1x认证体系体系结构构 80
11、2.1x概况 -起源背景 -基本思想和实现目标 -认证特点 -802.1x的作用 -802.1x认证优势 -802.1应用环境特点 Cisco支持产品平台术语介绍802.1x认证过程 802.1x协议认证端口 802.1x配置 EAP协议介绍802.1x的认证体系结构一802.1x的认证体系结构二802.1X的认证体系分为三局部结构:Supplicant System,客户端(PC/网络设备)Authenticator System,认证系统Authentication Server System,认证效劳器2341802.1x的认证体系结构三Supplicant System,客户端,这个设
12、备需要访问LAN,例如:笔记本电脑。 Supplicant System Client客户端是需要接入LAN,及享受switch提供效劳的设备如PC机,客户端需要支持EAPOL协议,客户端必须运行802.1X客户端软件,如:802.1X-complain,Microsoft Windows XP802.1x的认证体系结构四在win98下提供的客户端:在winXP下提供的客户端:802.1x的认证体系结构五Authenticator SystemAuthenticator System,认证系统,认证系统, ,这个设备负责初始的认证过程,然后作为这个设备负责初始的认证过程,然后作为认证效劳器和请
13、求者之间一个中继,例如:认证效劳器和请求者之间一个中继,例如:cisco3550cisco3550、cisco3560cisco3560。在允许。在允许不同的请求者通过交换机上的端口发送数据流量之前,请求者可以通过不同的请求者通过交换机上的端口发送数据流量之前,请求者可以通过802.1x802.1x标准连接它,并通过它被认证和获得授权。标准连接它,并通过它被认证和获得授权。 Authenticator System Switch Authenticator System Switch 边缘交换机或无线接入设备边缘交换机或无线接入设备是是根据客户的认证状态控制物理接入的设备,根据客户的认证状态控
14、制物理接入的设备,switchswitch在客户和认证效劳器在客户和认证效劳器间充当代理角色间充当代理角色proxyproxy。 switch switch与与clientclient间通过间通过EAPOLEAPOL协议进行通讯,协议进行通讯,switchswitch与认证效劳器间通过与认证效劳器间通过EAPoLEAPoL或或EAPEAP承载在其他高层协议上,以便穿越复承载在其他高层协议上,以便穿越复杂的网络到达杂的网络到达 Authentication Server Authentication Server EAP RelayEAP Relay;switchswitch要求客户端要求客户端
15、提供提供identityidentity,接收到后将,接收到后将EAPEAP报文承载在报文承载在RadiusRadius格式的报文中,再发送到认格式的报文中,再发送到认证效劳器,返回等同;证效劳器,返回等同; switch switch根据认证结果控制端口是否可用;根据认证结果控制端口是否可用; 需要指出的是:我们的需要指出的是:我们的802.1x802.1x协议在设备内终结并转换成标准的协议在设备内终结并转换成标准的RADIUSRADIUS协协议报文,加密算法采用议报文,加密算法采用PPPPPP的的CHAPCHAP认证算法,所有支持认证算法,所有支持PPP CHAPPPP CHAP认证算法的
16、认认证算法的认证计费效劳器都可以与我们对接成功。证计费效劳器都可以与我们对接成功。802.1x的认证体系结构六Authentication Server SystemAuthentication Server System,认证效劳器这个设备代,认证效劳器这个设备代表认证者负责真正的认证和授权。这个设备以数据库形式表认证者负责真正的认证和授权。这个设备以数据库形式包含网络上所有用户的简要信息。能够这个信息去认证和包含网络上所有用户的简要信息。能够这个信息去认证和授权连接认证者端口上的用户。认证效劳器的例子是:授权连接认证者端口上的用户。认证效劳器的例子是:CISCOCISCO的的ACSACS,
17、RadiusRadius。 802.1x认证过程程 802.1x概况 -起源背景 -基本思想和实现目标 -认证特点 -802.1x的作用 -802.1x认证优势 -802.1应用环境特点 Cisco支持产品平台术语介绍802.1x认证体系结构802.1x协议认证端口 802.1x配置 EAP协议介绍802.1x认证过程一802.1x认证过程二认证前后端口的状态 802.1X的认证中,端口的状态决定了客户端是否能接入网络,在启用802.1x认证时端口初始状态一般为非授权unauthorized,在该状态下,除802.1X 报文和播送报文外不允许任何业务输入、输出通讯。当客户通过认证后,那么端口状
18、态切换到授权状态authorized,允许客户端通过端口进行正常通讯。802.1x认证过程三根本的认证过程:认证通过前,通道的状态为unauthorized,此时只能通过EAPOL的802.1X认证报文;认证通过时,通道的状态切换为authorized,此时从远端认证效劳器可以传递来用户的信息,比方VLAN、CAR参数、优先级、用户的访问控制列表等等;认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等过程。802.1x认证过程四要控制端口授权状态,使用dot1x port-control 接口配置命令,现在的设备switch端口有三种认证
19、方式: Force Authorized:802.1x验证被禁用,并且接口无需任何验证交换即转换到授权状态,端口一直维持授权状态,switch的 Authenticator不主动发起认证。这是默认配置。Force Unauthorized:端口一直维持非授权状态,忽略所有客户端发起的认证请求,交换机不能通过该接口为客户提供验证效劳。Auto: 激活802.1X,设置端口为非授权状态,同时通知设备管理模块要求进行端口认证控制,使端口仅允许EAPOL报文收发,当发生UP事件或接收到EAPOL-start报文,开始认证流程,请求客户端Identify,并中继客户和认证效劳器间的报文。认证通过后端口切
20、换到授权状态,在退出前可以进行重认证。802.1x协议认证端口端口 802.1x概况 -起源背景 -基本思想和实现目标 -认证特点 -802.1x的作用 -802.1x认证优势 -802.1应用环境特点 Cisco支持产品平台术语介绍802.1x认证体系结构802.1x认证过程 802.1x配置 EAP协议介绍802.1x协议认证端口一受控端口:在通过认证前,只允许认证报文受控端口:在通过认证前,只允许认证报文EAPOLEAPOL报文和报文和播送报文播送报文DHCPDHCP、ARPARP通过端口,不允许任何其他业务通过端口,不允许任何其他业务数据流通过;数据流通过;逻辑受控端口:多个逻辑受控端
21、口:多个SupplicantSupplicant共用一个物理端口,当某共用一个物理端口,当某个个SupplicantSupplicant没有通过认证前,只允许认证报文通过该物没有通过认证前,只允许认证报文通过该物理端口,不允许业务数据,但其他已通过认证的理端口,不允许业务数据,但其他已通过认证的SupplicantSupplicant业务不受影响。业务不受影响。802.1x协议认证端口二现在在使用中有下面三种情况:现在在使用中有下面三种情况: 仅对使用同一物理端口的任何一个用户进行认证仅对使用同一物理端口的任何一个用户进行认证仅对一个用户进行认证,认证过程中忽略其他仅对一个用户进行认证,认证过
22、程中忽略其他用户的认证请求,认证通过后其他用户也就可用户的认证请求,认证通过后其他用户也就可以利用该物理端口访问网络效劳。以利用该物理端口访问网络效劳。对共用同一个物理端口的多个用户分别进行认证对共用同一个物理端口的多个用户分别进行认证控制,限制同时使用同一个物理端口的用户数目控制,限制同时使用同一个物理端口的用户数目限制限制MAC地址数目,但不指定地址数目,但不指定MAC地址,让地址,让系统根据先到先得原那么进行系统根据先到先得原那么进行MAC地址学习,系地址学习,系统将拒绝超过限制数目的请求,假设有用户退出,统将拒绝超过限制数目的请求,假设有用户退出,那么可以覆盖已退出得那么可以覆盖已退出
23、得MAC地址。地址。对利用不同物理端口的用户进行对利用不同物理端口的用户进行VLAN认证控制,认证控制,即只允许访问指定即只允许访问指定VLAN,限制用户访问非授权,限制用户访问非授权VLAN;用户可以利用受控端口,访问指定;用户可以利用受控端口,访问指定VLAN,同一用户可以在不同的端口访问相同的,同一用户可以在不同的端口访问相同的VLAN。802.1x配置配置 802.1x概况 -起源背景 -基本思想和实现目标 -认证特点 -802.1x的作用 -802.1x认证优势 -802.1应用环境特点 Cisco支持产品平台术语介绍802.1x认证体系结构802.1x认证过程802.1x协议认证端
24、口EAP协议介绍802.1x在交换机上的配置Switch(config)#aaa authentication dot1x default method1method2Creates an 802.1x port-based authentication method listSwitch(config)#dot1x system-auth-controlGlobally enables 802.1x port-based authenticationSwitch(config)#interface type slot/portEnters interface configuration mo
25、deSwitch(config-if)#dot1x port-control autoEnables 802.1x port-based authentication on the interfaceSwitch(config)#aaa new-modelEnables AAA802.1x在交换机上的配置认证不通过时:Cisco 3550交换机将客户放入guestvlan里面,需要一条命令支持: dot1x guest-vlan supplicantdot1x guest-vlan supplicantCisco 3560交换机将客户模式划到access模式下面。EAP协议介介绍 802.1x
26、概况 -起源背景 -基本思想和实现目标 -认证特点 -802.1x的作用 -802.1x认证优势 -802.1应用环境特点 Cisco支持产品平台术语介绍802.1x认证体系结构802.1x认证过程802.1x协议认证端口802.1x配置EAP协议介绍Extensible Authentication Protocol ,EAP 802.1x协议使用一个协议使用一个EAP可扩展身份认证协议可扩展身份认证协议的的RFC标准帮助实现通信。三个实体间的认证数据使用标准帮助实现通信。三个实体间的认证数据使用EAP分组进行交换,这个分组进行交换,这个EAP分组可以装载在分组可以装载在EAPOL帧帧中。中
27、。EAP协议介绍下面是一个典型的下面是一个典型的PPPPPP协议的帧格式:协议的帧格式: 当当PPPPPP帧中的帧中的protocolprotocol域说明协议域说明协议类型为类型为C227(PPP EAP)C227(PPP EAP)时,在时,在PPPPPP数据链路数据链路层帧的层帧的InformationInformation域中封装且仅封装域中封装且仅封装PPP PPP EAPEAP数据包,此时说明将应用数据包,此时说明将应用PPPPPP的扩展认的扩展认证协议证协议EAPEAP。这个时候这个封装着。这个时候这个封装着EAPEAP报文报文的的informationinformation域就担
28、负起了下一步认证的域就担负起了下一步认证的全部任务,下一步的全部任务,下一步的EAPEAP认证都将通过它来认证都将通过它来进行。进行。FlagAddressControlProtocolInformationEAP协议介绍EAP报文的格式为:典型的EAP认证的过程分为:requestresponsesuccessfailure每一个阶段的报文传送都由Information域所携带的EAP报文来承担。CodeIdentifierLengthDataEAP协议介绍Code域为一个字节,表示了域为一个字节,表示了EAP数据包的类型,数据包的类型,EAP的的Code的值指定和意的值指定和意义如下:义如
29、下: Code1 Request Code2 Response Code3 Success Code4 FailureIdentifier域为一个字节,辅助进行域为一个字节,辅助进行request和和response的匹配,每一个的匹配,每一个request都应该有一个都应该有一个response相对应,这样的一个相对应,这样的一个Identifier域就建立了这域就建立了这样的一个对应关系,相同的样的一个对应关系,相同的Identifier相匹配。相匹配。Length域为两个字节,说明了域为两个字节,说明了EAP数据包的长度,包括数据包的长度,包括Code,Identifier Length
30、,Data域。超出域。超出Length域范围的字节应该视为数据链路层填充域范围的字节应该视为数据链路层填充padding,在接收时应该被忽略掉。在接收时应该被忽略掉。Data域为域为0个或者多个字节,个或者多个字节,Data域的格式由域的格式由Code的值来决定。的值来决定。总结IEEE 802.1x定义了基于端口的网络接入控制协议,其中端口可以是物理端口,也可以是逻辑端口。802.1X关心的只是一个端口物理的或者逻辑的是否翻开,而不关心翻开之后上来的是什么样的报文。802.1x协议只是提供了一种用户接入认证的手段,它也只是对用户的认证进行控制,而接入网络设备必须具备的其他的一些平安和管理特性,由各厂家设备自行来提供的。
