《1pm BA000003 宽带协议原理 ISSUE20》由会员分享,可在线阅读,更多相关《1pm BA000003 宽带协议原理 ISSUE20(153页珍藏版)》请在金锄头文库上搜索。
1、HUAWEI TECHNOLOGIES CO., LTD.All rights reservedInternal 宽带协议原理中国铁通定制 HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 2学习完此课程,您将会:掌握PPP协议的基本原理和交互过程掌握PPPOE协议的基本原理和交互过程掌握Radius协议的基本原理和交互过程掌握DHCP协议的基本原理和交互过程掌握802.1X认证原理HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 3第第1章章 PPP协议协议第第2章章 PPPOE协
2、议协议第第3章章 Radius协议协议第第4章章 DHCP协议协议第第5章章 802.1X原理原理HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 4PPP协议简介lPPPPPP协议提供了一种标准的方式在点对点的链路上传输多协议提供了一种标准的方式在点对点的链路上传输多种网络层协议的数据报。种网络层协议的数据报。PPPPPP协议与协议栈的对应关系协议与协议栈的对应关系物理层数据链路层网络层传输层会话层表示层应用层PPPPPP协议协议HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 5
3、PPP协议的特点l支持点到点的连接,不同于X.25、frame relay等数据链路层协议,具有CHAP、PAP验证协议,更好的保证了网络的安全性。lPPP的物理层既支持数据为8位和无奇偶校验的异步模式,还支持面向比特位的同步链接,如frame relay必须为同步电路。lPPP有针对不同网络层的网络控制协议,如大家熟知的IPCP, IPXCP。同样类似于SLIP协议,它也允许双方协商是否对报文首部进行压缩。HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 6PPP协议的三组件l多协议数据报的封装方式lPPP协议的链路控制协议LCPlPP
4、P协议的网络控制协议NCPHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 7PPP的数据帧格式校验标志标志地址信息域控制协议域1B1B2B缺省1500B7EFF031B2B1B7EHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 8校验IP数据报文0x0021校验LCP数据报文0xC021校验NCP数据报文0x8021协议域长度为协议域长度为2个字节,主要用来指明信息域中使用的协个字节,主要用来指明信息域中使用的协议类型。该域的结构与议类型。该域的结构与ISO3309地址域扩展机制
5、一致。地址域扩展机制一致。PPP数据帧所承载的几种常见的报文HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 9链路不可用阶段链路建立阶段验证阶段网络层协议阶段链路终止阶段失败LCP报文可选,由配置决定PPP状态转移图HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 10信息域协议域标识域代码域长度域数据长度域类型域数据PPP封装格式LCP数据报文的封装格式LCP数据报文中配置参数选项的封装格式0xC021LCP协议数据报文的格式HUAWEI TECHNOLOGIES CO., LT
6、D.All rights reservedPage 11LCP协议数据报文的分类l链路配置报文链路配置报文用来建立和配置一条链路,主要包括Configure-Request、Configure-Ack、Configure-Nak和Configure-Reject报文报文l 链路终止报文链路终止报文用来终止一条链路,主要包括Terminate-Request和Terminate-Reply报文l 链路维护报文链路维护报文用来管理和调试链路,主要包括Code-Reject、Protocol-Reject、Echo-Request、Echo-Reply和Discard-RequestHUAWEI T
7、ECHNOLOGIES CO., LTD.All rights reservedPage 120x010x020x030x040x050x060x070x080x090x0A0x0B0x0CConfigure-RequestConfigure-AckConfigure-NakConfigure-RejectTerminate-RequestTerminate-ReplyCode-RejectProtocol-RejectEcho-RequestEcho-ReplyDiscard-RequestReservedLCP协议数据报文的种类HUAWEI TECHNOLOGIES CO., LTD.Al
8、l rights reservedPage 13链路配置报文(一)一次交互一次交互12Config-RequestConfig-Ack路由器路由器A路由器路由器BHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 14链路配置报文(二)二次交互(二次交互(1)2Config-RequestConfig-Nak路由器路由器A路由器路由器B34Config-RequestConfig-Ack1HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 15二次交互(二次交互(2)12Config-R
9、equestConfig-Reject路由器路由器A路由器路由器B34Config-RequestConfig-Ack链路配置报文(三)HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 16多次交互多次交互12Config-RequestConfig-Reject路由器路由器A路由器路由器B34Config-RequestConfig-Nak56Config-RequestConfig-Ack链路配置报文(四)HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 17lTerminate
10、-RequestlTerminate-Reply 链路终止报文HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 18用户名用户名/密码密码接收接收/拒绝拒绝PPP封装封装路由器路由器A路由器路由器B被验证方被验证方验证方验证方PAP认证(两次握手)HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 19回应回应接收接收/拒绝拒绝PPP封装路由器A路由器B挑战挑战被验证方验证方CHAP认证(三次握手)HUAWEI TECHNOLOGIES CO., LTD.All rights rese
11、rvedPage 20NCP协议的分类lIPCPlIPXCPlAppleTalkHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 21点对点通信设备均设置了IP地址路由器B路由器A192.168.0.1192.168.0.2我的我的IP地址地址是是192.168.0.1我知道了我知道了我的我的IP地址地址是是192.168.0.2我知道了我知道了IPCP静态地址协商HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 22IPCP动态地址协商路由器A192.168.0.2我的我的IP地址
12、是地址是0.0.0.0这个地址不合法,用这个地址不合法,用192.168.0.1这个地址吧这个地址吧我的我的IP地址是地址是192.168.0.2我知道了我知道了我的我的IP地址是地址是192.168.0.1我知道了我知道了点对点通信的一方设置了IP地址,而另一方则通过从对端获取IP地址HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 23小结lPPP协议的三组件包括PPP协议的封装方式、LCP协议和NCP协议l PPP协议是数据链路层协议,它的数据帧封装格式非常类似于HDLCl PPP协议可通过协议域来区分数据域中净载荷的数据类型l P
13、PP协议通过LCP协议完成数据链路的配置和测试l PPP协议通过NCP协议完成点对点通信设备之间网络层通信所需参数的配置 HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 24小结lPAP(密码认证协议)认证是二次握手,它是直接在网络上传送明文的用户名和密码,因此这种协议安全性不高l CHAP(挑战性握手认证协议)认证是三次握手,它只在网络上传送验证方和被验证方的主机名,而并不传送密码,因此相比之下CHAP比PAP更安全l PPP协议缺省的MRU是1500,而对于通信的双方可根据实际需要对MRU进行协商 HUAWEI TECHNOLOGI
14、ES CO., LTD.All rights reservedPage 25小结lPPP协议的状态转移图包括链路不可用阶段、链路建立阶段、认证阶段、网络层协议阶段和链路终止阶段l LCP协议依据报文的功能可分为链路配置报文、链路终止报文和链路维护报文l LCP协议的链路配置报文主要是用来协商一些可选的配置参数选项l LCP协议的链路终止报文主要是用来终止一条PPP链路l LCP协议的链路维护报文主要是用来测试和调试PPP链路l NCP协议主要负责网络层配置参数选项的协商,它包括静态协商和动态协商 HUAWEI TECHNOLOGIES CO., LTD.All rights reservedP
15、age 26第第1章章 PPP协议协议第第2章章 PPPOE协议协议第第3章章 Radius协议协议第第4章章 DHCP协议协议第第5章章 802.1X原理原理HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 27PPPOE协议概述lPPP协议要求进行通信的双方之间是点到点的关系,不适于广播型的以太网和另外一些多点访问型的网络,于是就产生了PPPOE协议(Point-to-Point Protocol Over Ethernet)。它不仅为使用桥接以太网接入的用户提供了一种宽带接入手段,同时还能提供方便的接入控制和计费。每个接入用户均建立
16、一个独一无二PPP的会话,因此会话建立之前必需知道远端访问集中设备的MAC地址,PPPOE协议可通过发现协议来获取到。HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 28发现阶段lPPPOE协议分为发现阶段和PPP会话阶段。当主机希望开始一个PPPOE会话时,它首先要执行一个发现过程来识别对方的MAC地址,然后建立一个唯一的PPPOE会话ID。PPPOE使用一个发现协议来解决这个问题,它是基于客户/服务器模型的。由于以太网的广播特性,在这个过程中主机(客户)能发现所有的访问集中器(服务器),并选择其中一个,根据所获信息在两者之间建立点对
17、点的连接。当一个PPP会话被建立起来之后,就完成了PPPOE的整个发现阶段。HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 29会话阶段lPPPOE的会话阶段开始后,主机和访问集中器之间就依据PPP协议传送PPP数据,进行PPP的各项协商和数据传输。在这一阶段传输的数据包中必须包含在发现阶段确定的会话标识并保持不变。正常情况下,会话阶段的结束是由PPP协议控制完成的,但在PPPOE中定义了一个PADT 包用来结束会话,主机或者访问集中器可以在PPP会话开始后的任何时候通过发送这个数据包来结束会话。HUAWEI TECHNOLOGIES
18、CO., LTD.All rights reservedPage 30以太网的帧格式HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 31目的地址源地址(6字节)(6字节)帧类型域=1500字节净载荷帧校验(4字节)以太网帧格式(2字节)以太网广播(PADI)/单播地址PPPOE发现阶段PPPOE会话阶段以太网单播地址主机以太网地址主机以太网地址0x88630x8864数据区数据区数据帧校验数据帧校验PPPOE发现阶段以太网帧格式PPPOE会话阶段以太网帧格式PPPOE的帧格式(一)HUAWEI TECHNOLOGIES CO., LTD
19、.All rights reservedPage 32版本类型代码会话ID长度净载荷4481616l发现阶段承载一些标记l会话阶段承载PPP数据报文PPPOE的帧格式(二)HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 33TAG标记类型16标记长度16标记值0x00000x01020x01040x01100x01010x01030x01050x0201End-of-listAC-NameAC-CookieRelay-Session-IDService-NameService-Name-ErrorHost-UniqVerdor-Spec
20、ific0x02020x0203AC-System-ErrorGeneric-ErrorPPPOE的帧格式(三)HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 34PPPOE发现阶段数据报文分类l PADI(PPPOE发现初始报文) 09l PADO(PPPOE发现提供报文) 07l PADR(PPPOE发现请求报文) 19l PADS(PPPOE发现会话确认报文) 65l PADT(PPPOE发现终止报文) a7HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 35以太网以太网1
21、23目标地址为广播地址0xffffffff,源地址为主机的以太网地址。ETHER_TYPE值为0x8863,码值为0x09,SESSION-ID为0x0000。TAG_TYPE:有且仅有一个Service-Name表明主机请求的服务。任何数量的其他TAG_TYPE。 PADI报文长度不能超过1484个字节,为Relay-Session-Id TAG留空间。PADI报文HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 36PADI报文HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 3
22、7以太网以太网123目标地址为主机以太网地址。源地址为接入集中器的以太网地址。ETHER_TYPE值为0x8863,码值为0x07,SESSION-ID为0x0000,TAG_TYPE:必须有一个含有接入集中器名字的AC-Name TAG,必须有一个与收到的PADI相同的Service-Name TAG和任意数量的其他Service- Name TAG表明集中器可以提供的服务。PADO报文HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 38PADO报文HUAWEI TECHNOLOGIES CO., LTD.All rights res
23、ervedPage 39以太网以太网123目标地址为接入集中器的以太网地址,源地址为主机的以太网地址。 ETHER_TYPE值为0x8863,码值为0x19,SESSION-ID为0x0000,TAG_TYPE: 必须有一个类型为Service-Name的TAG向集中器指明请求的服务,可以有任意数量的其他TAG。PADR报文HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 40PADR报文HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 41以太网以太网123目标地址为主机的 以太网
24、地址,源地址为接入集中器的以太网地址。 ETHER_TYPE值为0x8863,码值为0x65,SESSION-ID为集中器指定的唯一的标识一个PPPOE会话的值,TAG_ TYPE:包含一个类型为Service-Name的TAG,表明集中器提供给这个会话的服务,可以包含任意数量的其他TAG。PADS报文HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 42PADS报文HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 43这个数据包可以在会话建立起来之后的任何时间由主机或集中器发出。目
25、的地址为单一的以太网地址。 ETHER_TYPE值为0x8863,码值为0xa7,SESSION-ID为要终止的会话的SESSION-ID。不要求有TAG。PADT报文HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 44PADT报文HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 45PPP净载荷目的地址(0-3)目的地址(4-5)源地址(0-1)源地址(2-5)帧类型=0x8864版本=0x1类型=0x1 代码=0x00会话ID=0x1234长度=0x?PPP协议ID=0xC02
26、1PPPOE协议数据包中承载协议数据包中承载PPP的的LCP报文报文一旦PPPOE会话建立起来之后,主机与接入器之间就开始依据PPP协议传送PPP数据,所有的以太网帧都是单一地址的。此时,ETHER_TYPE值为0x8864,码值为0x00,SESSION-ID在整个会话过程中保持不变。PPPOE有效负载域里包含一个PPP数据包。会话阶段的PPPOE数据报文格式HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 46小结lPPPOE协议包括PPPOE的发现阶段和PPPOE的会话阶段 l PPPOE的数据报文是被承载在以太网的数据域中进行传送
27、的 l PPPOE的发现阶段会遇到PADI、PADO、PADR和PADS这四种报文 l PPPOE中的PADT报文是用来终止一条会话的 l PPPOE在发现阶段时,以太网协议域的值为0x8863 l PPPOE在会话阶段时,以太网协议域的值为0x8864 HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 47第第1章章 PPP协议协议第第2章章 PPPOE协议协议第第3章章 Radius协议协议第第4章章 DHCP协议协议第第5章章 802.1X原理原理HUAWEI TECHNOLOGIES CO., LTD.All rights res
28、ervedPage 48概述HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 49Radius:Remote Authentication Dial In User Service客户端负责将认证等信息按照协议的格式通过客户端负责将认证等信息按照协议的格式通过UDP包送到服务器,包送到服务器,同时对服务器返回的信息解释处理。同时对服务器返回的信息解释处理。认证端口号:认证端口号:1645/ 1812计费端口号:计费端口号:1646/1813Radius的作用HUAWEI TECHNOLOGIES CO., LTD.All rights r
29、eservedPage 501.RADIUS的客户端通常运行于接入服务器(的客户端通常运行于接入服务器(NASNAS)上,)上,RADIUS服服务器通常运行于一台工作站上,一个务器通常运行于一台工作站上,一个RADIUS服务器可以同时支服务器可以同时支持多个持多个RADIUS客户(客户(NASNAS)。)。2.RADIUS的服务器上存放着大量的信息,接入服务器(的服务器上存放着大量的信息,接入服务器(NASNAS)无须)无须保存这些信息,而是通过保存这些信息,而是通过RADUIS协议对这些信息进行访问。这协议对这些信息进行访问。这些信息的集中统一的保存,使得管理更加方便,而且更加安全。些信息的
30、集中统一的保存,使得管理更加方便,而且更加安全。3.RADIUS服务器可以作为一个代理,以客户的身份同其他的服务器可以作为一个代理,以客户的身份同其他的RADIUS服务器或者其他类型的验证服务器进行通信。用户的漫服务器或者其他类型的验证服务器进行通信。用户的漫游通常就是通过游通常就是通过RADIUS代理实现的。代理实现的。Client/Server结构HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 51NASRadius认证计费过程HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage
31、52MD5MD5是一个算法,它的输入是一段内存中的数值,输出是一个是一个算法,它的输入是一段内存中的数值,输出是一个1616字节的摘要,它的运算是单向的,即从输出推算不出输入。字节的摘要,它的运算是单向的,即从输出推算不出输入。不好意思,我只会把您的手表变成兔子,变不回去了MD5算法HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 531.1.包加密包加密1616字节的验证字(字节的验证字(authenticatorauthenticator)用于对包进行签名)用于对包进行签名2.2.口令加密口令加密MD5MD5算法对口令进行加密算法对口
32、令进行加密网络安全HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 54称共享密钥(称共享密钥(keykey)为)为Key;16字节的认证请求验证字字节的认证请求验证字(Authenticator)(Authenticator)为为Auth;将口令;将口令(Password)(Password)分割成分割成16字节一段(最后一段不足字节一段(最后一段不足16字节时用字节时用0补齐),为补齐),为p1、p2等;加密后的口令块为等;加密后的口令块为c(1)、c(2)等。下面运算中等。下面运算中b1、b2为中间值:为中间值: b1 = MD5(
33、Key + Auth) c(1) = p1 xor b1 b2 = MD5(Key + c(1) c(2) = p2 xor b2 bi = MD5(Key+ c(i-1) c(i) = pi xor bi那么加密后的口令为那么加密后的口令为c(1)+c(2)+.+c(i)。 口令的加密HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 55包的签名与加密:包的签名与加密:包的签名指的是包的签名指的是RADIUS包中包中16字节的字节的Authenticator,我们称其为,我们称其为“验证字验证字”。认证请求包认证请求包RequestAu
34、th=Authenticator,认证请求包的验证字是一个不可预测的认证请求包的验证字是一个不可预测的16字节随字节随机数。这个随机数将用于口令的加密。机数。这个随机数将用于口令的加密。认证响应包认证响应包ResponseAuth = MD5(Code+ID+Length+Authenticator+Attributes+Key)。记费请求包记费请求包RequestAcct = MD5(Code+ID+Length+16ZeroOctets+Attributes+Key)。记费响应包记费响应包ResponseAcct = MD5(Code+ID+Length+RequestAcct+Attri
35、butes+Key)。包的签名与加密HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 56我查我查我验我验本地认证PAPHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 57Secret Password = MD5(Chap ID + Password + challenge)我查我查我算我算我验我验本地认证CHAPHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 58如果用户配置了如果用户配置了RADIUS验证,其验证,其P
36、AP验证过程如下:验证过程如下:采用采用PAPPAP验证:用户以明文的形式把用户名和他的密码传递给验证:用户以明文的形式把用户名和他的密码传递给NASNAS。NASNAS把用户名和加密过的密码放到验证请求包的相应属性中传递给把用户名和加密过的密码放到验证请求包的相应属性中传递给RADIUSRADIUS服务器,根据服务器,根据RADIUSRADIUS服务器的返回结果来决定是否允许用服务器的返回结果来决定是否允许用户上网。户上网。用户名、密码放行远端PAP认证HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 59Secret password
37、 =Password XOR MD5(Challenge Key)(Challenge就是就是Radius报文中的报文中的Authenticator)我查我查我算我算我验我验远端认证(Radius)PAPHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 60远端PAP认证HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 61Secret password = MD5(Chap ID + Password + challenge)我查我查我算我算我验我验远端认证(Radius)CHAP
38、HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 62远端CHAP认证HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 63Radius是一种流行的是一种流行的AAA协议,同时其采用的是协议,同时其采用的是UDP协议传输协议传输模式,模式,AAA协议在协议栈中位置如下:协议在协议栈中位置如下:Radius协议Radius协议在协议栈中的位置HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 64为什么使用为什么使用UDP? NAS
39、和和RADIUS服务器之间传递的一般是几十至上百个字节长度的数据,服务器之间传递的一般是几十至上百个字节长度的数据,用户可以容忍几秒到十几秒的验证等待时间。当处理大量用户时服务器端采用户可以容忍几秒到十几秒的验证等待时间。当处理大量用户时服务器端采用多线程,用多线程,UDP简化了服务器端的实现过程。简化了服务器端的实现过程。 TCP是必须成功建立连接后才能进行数据传输的,这种方式在有大量用是必须成功建立连接后才能进行数据传输的,这种方式在有大量用户使用的情况下实时性不好。户使用的情况下实时性不好。 当向主用服务器发送请求失败后,还要必须向备用的服务器发送请求。当向主用服务器发送请求失败后,还要
40、必须向备用的服务器发送请求。于是于是RADIUS要有重传机制和备用服务器机制,它所采用的定时,要有重传机制和备用服务器机制,它所采用的定时,TCP不能不能很好的满足很好的满足。Radius协议选择UDP作为传输层协议HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 65Radius协议包结构HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 66Code:包类型;包类型;1字节;指示字节;指示RADIUS包的类型。包的类型。 Identifier:包标识;包标识;1字节;用于匹配请求包
41、和响应字节;用于匹配请求包和响应包,同一组请求包和响应包的包,同一组请求包和响应包的IdentifierIdentifier应相同。应相同。Length:包长度;包长度;2字节;整个包的长度。字节;整个包的长度。Authenticator:验证字;验证字;16字节;用于对包进行签名。字节;用于对包进行签名。Radius协议包各个域解释HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 67 1 Access-Request 1 Access-Request请求认证过程请求认证过程 2 Access-Accept2 Access-Accept
42、认证响应过程认证响应过程 3 Access-Reject3 Access-Reject认证拒绝过程认证拒绝过程 4 Accounting-Request4 Accounting-Request请求计费过程请求计费过程 5 Accounting-Response5 Accounting-Response计费响应过程计费响应过程 code域HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 68NASRadius Server与NAS在全网中的位置HUAWEI TECHNOLOGIES CO., LTD.All rights reservedP
43、age 691、RADIUS的通信是用的通信是用“请求请求 - 响应响应”方式进行方式进行的,即:客户发送一个请求包,服务器收到包后给的,即:客户发送一个请求包,服务器收到包后给予响应。予响应。2、RADIUS协议采用的是协议采用的是UDP协议,数据包可能协议,数据包可能会在网络上丢失,如果客户没有收到响应,那么可会在网络上丢失,如果客户没有收到响应,那么可以重新发送该请求包。多次发送之后如果仍然收不以重新发送该请求包。多次发送之后如果仍然收不到响应,到响应,RADIUS客户可以向备用的客户可以向备用的RADIUS服务服务器发送请求包。器发送请求包。NASRadius认证计费过程HUAWEI
44、TECHNOLOGIES CO., LTD.All rights reservedPage 70第第1章章 PPP协议协议第第2章章 PPPOE协议协议第第3章章 Radius协议协议第第4章章 DHCP协议协议第第5章章 802.1X原理原理HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 71引入l本章节主要通过对设备终端动态从主机获得IP地址的过程分析,来说明网络是如何动态的分配其所有的地址资源。HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage72目 录4.1 使用使用使用使用
45、DHCPDHCP的原因的原因的原因的原因4.2 DHCP原理4.3 DHCP工作流程举例HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 73什么是DHCPlDHCP (Dynamic Host Configuration Protocol)是一种动态的向Internet终端提供配置参数的协议。在终端提出申请之后,DHCP可以向终端提供IP地址、网关、DNS服务器地址等参数。提出申请分配地址等参数DHCP ServerClientIP地址池HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPa
46、ge 74DHCP在协议栈中的位置lDHCP是Bootstrap协议的一种扩展,基于UDP协议,客户端的端口号是68,服务器的端口号是67。Application layerDHCPTransport layerUDPNetwork layerIPData-link layerNo limitedPhysical layerNo limitedHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 75DHCP的必要性l在大型网络中,如果每台终端的地址都是由不同的使用这来分配,那么就很容易出现地址相同的情况。192.168.0.1192.168
47、.0.2192.168.0.1地址冲突了地址冲突了HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 76DHCP的必要性l在TCP/IP网络上,每台工作站在访问网络及其资源之前,都必须进行基本的网络配置,一些主要参数诸如IP地址,子网掩码,缺省网关,DNS等必不可少,还可能需要一些附加的信息如IP管理策略之类。l在大型网络中,确保所有主机都拥有正确的配置是一件的相当困难的管理任务,尤其对于含有漫游用户和笔记本电脑的动态网络更是如此。经常有计算机从一个子网移到另一个子网以及从网络中移出。手动配置或重新配置数量巨大的计算机可能要花很长时间,而
48、IP主机配置过程中的错误可能导致该主机无法与网络中的其他主机通信。l因此,需要有一种机制来简化IP地址的配置,实现IP的集中式管理。而IETF(Internet网络工程师任务小组)设计的动态主机配置协议(DHCP,Dynamic Host Configuration Protocol)正是这样一种机制。HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 77采用DHCP的好处l减少错误 通过配置DHCP,把手工配置IP地址所导致的错误减少到最低程度,例如已分配的IP地址再次分配给另一设备所造成的地址冲突等将大大减少。l减少网络管理TCP/I
49、P配置是集中化和自动完成的,不需要网络管理员手工配置。网络管理员能集中定义全局和特定子网的TCP/IP配置信息。使用DHCP选项可以自动给客户机分配全部范围的附加TCP/IP配置值。客户机配置的地址变化必须经常更新,比如远程访问客户机经常到处移动,这样便于它在新的地点重新启动时,高效而又自动地进行配置。同时大部分路由器能转发DHCP配置请求,这就减少了在每个子网设置DHCP服务器的必要,除非有其它原因要这样做。HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 78DHCP的结构lDHCP采用客户机/服务器结构。DHCP服务器拥有一个IP地
50、址池,当任何启用DHCP的客户机登录到网络时,可从它那里租借一个IP地址,不使用的IP地址就自动返回地址池,供再分配。提出申请分配地址等参数地址释放ClientServerHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 79DHCP的责任l保证任何IP地址在同一时刻只能由一台DHCP客户机所使用lDHCP应当可以给用户分配永久固定的IP地址lDHCP应当可以同用其他方法获得IP地址的主机共存(如手工配置IP地址的主机)lDHCP服务器应当向现有的BOOTP客户端提供服务HUAWEI TECHNOLOGIES CO., LTD.All r
51、ights reservedPage 80DHCP的责任l考虑到成本,无需每个子网都配备一台DHCP服务器,所以DHCP协议应当可以通过路由器或者BOOTP代理透传。DHCP ServerClientIP地址池DHCP报文DHCP报文HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 81DHCP的责任l当一台DHCP客户机重新启动时,在允许的情况下,它应当获得和上次相同的地址和配置DHCP Server192.168.0.1IP地址池Reboot192.168.0.1HUAWEI TECHNOLOGIES CO., LTD.All rig
52、hts reservedPage 82DHCP的责任l当一台DHCP服务器重新启动时,在允许的情况下,它应当给每一台DHCP客户机分配和上次相同的地址DHCP Server192.168.0.1IP地址池Reboot192.168.0.1HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage83目 录4.1 使用DHCP的原因4.2 DHCP原理原理4.3 DHCP工作流程举例HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 84DHCP服务器保留的地址池(地址池段1)(地址池段2)分配的
53、地址(网络地址1,硬件地址1) 分配的IP地址1(网络地址2,硬件地址2) 分配的IP地址2.DNS服务器地址WINS服务器地址HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 85DHCP客户机HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 86地址申请流程ClientServerDHCPDISCOVERDHCPOFFER REQUEST DHCPACKHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 87DHCP的报文种类
54、lDHCPDISCOVER 客户机广播发现可用的DHCP服务器lDHCPOFFER 服务器响应客户机的DHCPDISCOVER报文,并向客户机提供各种的配置参数lDHCPREQUEST a)客户机向服务器申请地址及其他配置参数 b)客户机重新启动后确认原来的地址及其他配置参数的正确性 c)客户机向服务器申请延长地址及其他配置参数的使用期限lDHCPACK 服务器向客户机发送所需分配的地址及其他配置参数HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 88DHCP的报文种类lDHCPNAK 服务器通知客户机,其申请的地址无效,或者已经超期l
55、DHCPDECLINE 客户机通知服务器,其分配的地址已经被其他设备所使用lDHCPRELEASE 客户机放弃其所使用的地址HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 89DHCP的有限状态机INIT INIT-REBOOTREBOOTINGSELECTINGREQUESINGREBINGINGBOUNDRENEWINGDHCPNAK/RestartDHCPNAK/Discard offerDHCPREQUESTDHCPACK (not accept)/Send DHCPDECLINEDHCPDISCOVERSelect offer
56、/send DHCPREQUESTDHCPOFFER/Collect repliesDHCPACK/Record lease, set timer T1, T2DHCPOFFER/Discard offerDHCPACK/Record lease, set timer T1, T2DHCPOFFER,DHCPACK,DHCPNAK/DiscardT1 expires/Send DHCPREQUEST to leasing serverDHCPACK/Record lease ,set timer T!,T2T2 expires/Broadcast DHCPREQUESTDHCPNAK/Halt
57、 networkHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 90DHCP报文的格式Op (1)Htype (1)Hlen (1)Hops (1)Xid (4)Secs (2)Flags (2)Client IP address (4)Your IP address (4)Server IP address (4)Gateway IP address (4)Client hardware IP address (4)Server Name (64)File (128)Options (可变)HUAWEI TECHNOLOGIES CO
58、., LTD.All rights reservedPage 91DHCP报文的格式lOp: 操作码 (1=bootrequest ,2=bootreply)lHtype: 硬件地址类型 (1=10mb ethernet)lHlen: 硬件地址长度 (ethernet 为10)lHops: 客户机设置为0,当使用多个DHCP Relay时可变lXid: 传输ID,在同服务器的交互中,由客户机所选择lSecs: 客户机所使用的地址,在最近一次地址获取/地址更新后所经过的时间lFlags: 最左边一位是广播位,其余各位置0HUAWEI TECHNOLOGIES CO., LTD.All right
59、s reservedPage 92DHCP报文的格式lClient IP address: 客户机在BOUND,RENEW或REBINDING状态所使用,可以用来回应ARP请求报文lYour IP address: 服务器给客户机分配的IP地址lServer IP address: bootstrap中使用的下一台服务器的地址,由服务器在DHCPOFFER,DHCPACK中使用lGateway IP address: 使用的DHCP Relay的地址lClient hardware address: 客户机硬件地址lServer name: 服务器名字,缺省为空lFile: 启动文件的名字,在
60、DHCPOFFER报文中给出全名lOptions: 根据不同的报文而定HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 93DHCPDISCOVER/DHCPINFORM报文的格式BOOTREQUESTHtype (1)Hlen (1)0Xid (4)0或者自从DHCP启动后的秒数Flags (2)0(DHCPDISCOVER)/客户机的IP地址(DHCPINFORM)000Client hardware IP address (4)Server Name (64)File (128)Options (可变)HUAWEI TECHNOLO
61、GIES CO., LTD.All rights reservedPage 94DHCPREQUEST报文的格式BOOTREQUESTHtype (1)Hlen (1)0Xid与DHCPOFFER报文的Xid相同Secs (2)Flags (2)0/客户机的IP地址(BOUND/RENEW/REBIND状态)000Client hardware IP address (4)Server Name (64)File (128)Options (可变)HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 95DHCPDECLINE/DHCPREL
62、EASE报文的格式BOOTREQUESTHtype (1)Hlen (1)0由客户机选择000(DHCPDECLINE)/客户机的IP地址(DHCPRELEASE)000Client hardware IP address (4)未使用未使用未使用HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 96DHCPOFFER报文的格式BOOTREPLYHtype (1)Hlen (1)0Xid与DHCPDISCOVER报文相同0000服务器向客户机提供的IP地址下一台服务器的地址Client hardware IP address (4)Ser
63、ver Name (64)File (128)Options (可变)HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 97DHCPACK报文的格式BOOTREPLYHtype (1)Hlen (1)0Xid与DHCPDISCOVER报文相同000或者从DHCPREQUEST报文中获得0服务器向客户机提供的IP地址下一台服务器的地址Client hardware IP address (4)Server Name (64)File (128)Options (可变)HUAWEI TECHNOLOGIES CO., LTD.All righ
64、ts reservedPage 98DHCPOFFER报文的格式BOOTREPLYHtype (1)Hlen (1)0Xid与DHCPDISCOVER报文相同000000Client hardware IP address (4)Server Name (64)File (128)Options (可变)HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 99DHCP流程l客户机在本网段内广播DHCPDISCOVER报文已发现网络中的DHCP服务器,DHCP Relay可将此报文广播到其他的网段网络1网络2DHCPDISCOVERHUAWE
65、I TECHNOLOGIES CO., LTD.All rights reservedPage 100DHCP流程l服务器向客户机回应请求,并给出一个可用的IP地址。此地址并非真的被分配。但在给出此地之前,应当用ICMP ECHO REQUEST报文进行检查。网络1DHCPOFFER(192.168.0.1)ICMP (192.168.0.1)HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 101DHCP流程l如果收到多个DHCPOFFER报文,DHCP客户机会根据报文的内容从其中选择一个给与响应。如果客户机之前曾经获得过一个IP地址,
66、她会将此地址写在DHCPREQUEST报文的OPTIONS域的“REQUESTD IP ADDRESS”中发给服务器网络1DHCPREQUEST(192.168.0.1)Reboot192.168.0.1HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 102DHCP流程l当收到DHCPREQUEST报文后,服务器将客户机的网络的(网络地址,硬件地址)同分配的IP地址绑定,在将IP地址发送给客户机网络1DHCPACK(192.168.0.1)保留的地址池(地址池段1)(地址池段2)分配的地址(网络地址1,硬件地址1) 分配的IP地址1.D
67、NS服务器地址WINS服务器地址HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 103DHCP流程l当收到DHCPREQUEST报文后,如果发现其申请的地址无法被分配,则用DHCPNAK报文回应网络1DHCPNAKDHCPREQUEST(192.168.0.1)192.168.0.1已经被另外一台已经被另外一台设备所使用了设备所使用了HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 104DHCP流程l客户机收到DHCPACK报文后,再对所有的参数进行一次最后的检查,如果发现由地址
68、冲突存在,则使用DHCPDECLINE报文回复服务器网络1DHCPACK(192.168.0.1)192.168.0.1DHCPDECLINEHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 105DHCP流程l如果客户机放弃现在使用的IP地址,则她使用DHCPRELEASE报文通知服务器,服务器将此地址回收以备下次使用。网络1DHCPRELEASEHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 106DHCP流程l当客户机的地址到达50%租用期(T1)时,客户机进入RENEW状态
69、,使用DHCPREQUEST报文续约;l当客户机的地址到达87.5%租用期(T2)时,客户机进入REBINDING状态,使用DHCPREQUEST报文续约;网络1DHCPREQUESTHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage107目 录4.1 使用DHCP的原因4.2 DHCP原理4.3 DHCP工作流程工作流程举例例HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 108DHCP流程举例10.77.2.110.77.11.10客户机服务器DHCP-RELAYHUAWEI T
70、ECHNOLOGIES CO., LTD.All rights reservedPage 109DHCP流程举例HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 110DHCP流程举例HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 111DHCP流程举例HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 112DHCP流程举例HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage
71、 113DHCP流程举例HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 114DHCP流程举例HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 115DHCP流程举例HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 116l本章主要通过对DHCP报文结构及流程的介绍,希望大家能够建立起对DHCP协议的清晰概念小结小结小结小结HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage
72、 117第第1章章 PPP协议协议第第2章章 PPPOE协议协议第第3章章 Radius协议协议第第4章章 DHCP协议协议第第5章章 802.1X原理原理HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage118前 言lIEEE802.1X标准是基于端口的网络接入控制。该协议提供一系列的对接入到局域网中某个端口的设备进行基于端口的认证和授权方法,并禁止未通过认证和授权的设备和用户对该端口的访问。HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage119目 录5.1 802.1X工作原理工作
73、原理5.2 EAP和EAPOL5.3 802.1X协议运行过程5.4 802.1X配置实例HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage120为什么需要802.1X?交换机Internet只要有物理连接,就提供所有服务PCAPCBPCC路由器数据服务器太容易访问网络资源了HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage121802.1X的作用交换机Internet没通过验证,就不提供服务PCAPCBPCC路由器数据服务器为什么我的网卡不能正常工作?HUAWEI TECHNOLOGI
74、ES CO., LTD.All rights reservedPage122系统角色系统角色系统角色定义定义验证者(Authenticator)对接入的网络实体进行验证的实体请求者(Supplicant) 被所接入的验证者验证的网络实体验证服务器(Authentication Server)对验证者提供验证服务的实体,这种服务决定请求者是否被允许接入验证者所提供的服务HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage123受控端口和非受控端口验证者系者系统非受控端口非受控端口受控端口受控端口未被授未被授权的端口的端口LAN验证者系者系统非受
75、控端口非受控端口受控端口受控端口授授权的端的端口口LANHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage124端口控制模式模式模式行为行为强行未授权(ForceUnauthorized)受控端口被无条件设置为未授权状态强行授权(ForceAuthorized)受控端口被无条件设置为已授权状态自动(Auto)允许协议控制受控端口的授权状态HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage125工作原理请求者系求者系统请求者求者PAE验证者系者系统验证者者PAELAN验证服服务器器系系统验
76、证服服务器器验证者者系系统提提供的服供的服务承承载在高在高层协议中中的的EAP报文文未被授未被授权的端的端口口HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage126目 录5.1 802.1X工作原理5.2 EAP和和EAPOL5.3 802.1X协议运行过程5.4 802.1X配置实例HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage127EAP报文格式Code值值报文类型报文类型1 请求(Request)2 回应(Response)3 成功(Success)4 无效(Failure)
77、HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage128请求和回应报文用于验证的信息HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage129成功和无效报文没有Type和Type-Data字段HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage130EAPOL报文格式VersionTypePacket Body LengthPacket Body .EAP报文被封装在此字段内HUAWEI TECHNOLOGIES CO., LTD.All
78、 rights reservedPage131EAPOL报文类型Type值值报文类型报文类型0EAP报文(EAP-Packet)1EAPOL开始报文( EAPOL-Start)2EAPOL注销报文(EAPOL-Logoff)3EAPOL信息报文(EAPOL-Key)4EAPOL告警报文(EAPOL-Encapsulated-ASF-Alert)HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage132EAPOL报文的二层报文头DMACSMACTYPEEAPOLFCS字段字段内容内容DMAC01-80-C2-00-00-03SMAC端口的物理M
79、AC地址TYPE88-8EHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage133目 录5.1 802.1X工作原理5.2 EAP和EAPOL5.3 802.1X协议运行运行过程程5.4 802.1X配置实例HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage134发起认证发起者发起者动作动作请求者(Supplicant)发送一个EAPOL开始报文(EAPOL-Start)验证者(Authenticator)发送一个EAP请求报文(EAP Request)HUAWEI TECHNOLOGI
80、ES CO., LTD.All rights reservedPage135EAP交换过程举例请求者验证者验证服务器1EAPOL开始报文2EAP请求报文3EAP回应报文4使用RADIUS承载EAP5RADIUS接受报文6EAP成功报文HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage136注销机制原因原因描述描述底层协议原因物理端口不可用管理原因端口被手动配置为未授权状态定时器原因验证者的验证定时器超时EAPOL注销报文请求者主动向验证者发送EAPOL注销报文HUAWEI TECHNOLOGIES CO., LTD.All rights r
81、eservedPage137目 录5.1 802.1X工作原理5.2 EAP和EAPOL5.3 802.1X协议运行过程5.4 802.1X配置配置实例例HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage138物理拓扑PC交换机AAA服务器InternetDHCPE0/1 VLAN1E0/13 VLAN210.1.1.1/2410.2.1.1/2410.2.1.100/2410.2.1.1E0/24 VLAN310.3.1.1/30E0/010.3.1.2/30路由器HUAWEI TECHNOLOGIES CO., LTD.All righ
82、ts reservedPage139配置VLANsystem-view Quidwaysysname SwitchSwitchSwitchvlan 2Switch-vlan2port Ethernet 0/13Switch-vlan2quitSwitchSwitchvlan 3Switch-vlan3port Ethernet 0/24Switch-vlan3quitSwitchHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage140配置端口Switchinterface Vlan-interface 1Switch-Vlan-interf
83、ace1ip address 10.1.1.1 255.255.255.0Switch-Vlan-interface1quitSwitchSwitchinterface Vlan-interface 2Switch-Vlan-interface2ip address 10.2.1.1 255.255.255.0Switch-Vlan-interface2quitSwitchSwitchinterface Vlan-interface 3Switch-Vlan-interface3ip address 10.3.1.1 255.255.255.252Switch-Vlan-interface3q
84、uitSwitchHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage141配置DHCP服务器Switchdhcp enable DHCP task has been already started!SwitchSwitchinterface Vlan-interface 1Switch-Vlan-interface1Switch-Vlan-interface1dhcp select interface Switch-Vlan-interface1quitSwitch全局开启DHCP服务在端口下开启DHCPHUAWEI TECHNOLOGIE
85、S CO., LTD.All rights reservedPage142配置802.1Xsystem-view SwitchSwitchdot1x 802.1x is enabled globallySwitchSwitchdot1x interface Ethernet 0/1 to Ethernet 0/12 SwitchSwitchdot1x interface Ethernet 0/14 to Ethernet 0/23 Switch全局开启802.1X端口下开启802.1XHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage143
86、配置AAAsystem-viewSwitchSwitchradius scheme huaweiSwitch-radius-huaweiprimary authentication 10.2.1.100Switch-radius-huaweiprimary accounting 10.2.1.100Switch-radius-huaweiSwitch-radius-huaweikey authentication trainingSwitch-radius-huaweikey accounting trainingSwitch-radius-huaweiquitSwitchSwitchdoma
87、in huaweiSwitch-isp-huaweiradius-scheme huaweiSwitch-isp-huaweiquitSwitchAAA服务器的IP地址和AAA服务器上配置的一致HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage144配置802.1X客户端点击此处输入用户名和密码HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage145配置802.1X客户端在此输入用户名和密码HUAWEI TECHNOLOGIES CO., LTD.All rights reservedP
88、age146验证802.1X客户端HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage147验证802.1X客户端HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage148配置端口控制模式配置所有端口的端口控制模式配置特定端口的端口控制模式HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage149配置接入控制模式配置所有端口的接入控制模式配置特定端口的接入控制模式HUAWEI TECHNOLOGIES CO., LTD.All rights
89、 reservedPage150配置最大用户数量Switchdot1x max-user ? INTEGER Value of parameterSwitchSwitchinterface Ethernet 0/1Switch-Ethernet0/1Switch-Ethernet0/1dot1x max-user ? INTEGER Value of parameter 配置所有端口的最大用户数量配置特定端口的最大用户数量HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage151配置认证方法默认情况下使用CHAPHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage152显示和调试信息谢谢
