您好,欢迎访问三七文档
1.802.1x简介....................................................................................................................................11.1引言...................................................................................................................................11.2802.1X认证体系.................................................................................................................11.3802.1X认证流程.................................................................................................................22.802.1x测试步骤............................................................................................................................43.802.1x测试注意事项....................................................................................................................4Windows部分设置..................................................................................................................4Dd-wrt的web界面.................................................................................................................7Pxa1826端的web界面...........................................................................................................8Client端设置:........................................................................................................................91.802.1x简介1.1引言802.1X协议起源于802.11协议,后者是IEEE的无线局域网协议,制订802.1X协议的初衷是为了解决无线局域网用户的接入认证问题。IEEE802LAN协议定义的局域网并不提供接入认证,只要用户能接入局域网控制设备(如LANSwitch),就可以访问局域网中的设备或资源。这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。随着移动办公及驻地网运营等应用的大规模发展,服务提供者需要对用户的接入进行控制和配置。尤其是WLAN的应用和LAN接入在电信网上大规模开展,有必要对端口加以控制以实现用户级的接入控制,802.1X就是IEEE为了解决基于端口的接入控制(Port-BasedNetworkAccessControl)而定义的一个标准。1.2802.1X认证体系802.1X是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。端口可以是一个物理端口,也可以是一个逻辑端口(如VLAN)。对于无线局域网来说,一个端口就是一个信道。802.1X认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,即只允许802.1X的认证协议报文通过。802.1X的体系结构如图1所示。它的体系结构中包括三个部分,即请求者系统、认证系统和认证服务器系统三部分:图1802.1X认证的体系结构1.请求者系统请求者是位于局域网链路一端的实体,由连接到该链路另一端的认证系统对其进行认证。请求者通常是支持802.1X认证的用户终端设备,用户通过启动客户端软件发起802.1X认证,后文的认证请求者和客户端二者表达相同含义。2.认证系统认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802.1X协议的网络设备,它为请求者提供服务端口,该端口可以是物理端口也可以是逻辑端口,一般在用户接入设备(如LANSwitch和AP)上实现802.1X认证。后文的认证系统、认证点和接入设备三者表达相同含义。3.认证服务器系统认证服务器是为认证系统提供认证服务的实体,建议使用RADIUS服务器来实现认证服务器的认证和授权功能。请求者和认证系统之间运行802.1X定义的EAPOL(ExtensibleAuthenticationProtocoloverLAN)协议。当认证系统工作于中继方式时,认证系统与认证服务器之间也运行EAP协议,EAP帧中封装认证数据,将该协议承载在其它高层次协议中(如RADIUS),以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时,认证系统终结EAPOL消息,并转换为其它认证协议(如RADIUS),传递用户认证信息给认证服务器系统。认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,可随时保证接收认证请求者发出的EAPOL认证报文;受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。1.3802.1X认证流程基于802.1X的认证系统在客户端和认证系统之间使用EAPOL格式封装EAP协议传送认证信息,认证系统与认证服务器之间通过RADIUS协议传送认证信息。由于EAP协议的可扩展性,基于EAP协议的认证系统可以使用多种不同的认证算法,如EAP-MD5,EAP-TLS,EAP-SIM,EAP-TTLS以及EAP-AKA等认证方法。以EAP-MD5为例,描述802.1X的认证流程。EAP-MD5是一种单向认证机制,可以完成网络对用户的认证,但认证过程不支持加密密钥的生成。基于EAP-MD5的802.1X认证流程如图2所示,认证流程包括以下步骤:(1)客户端向接入设备发送一个EAPOL-Start报文,开始802.1X认证接入;(2)接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;(3)客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名;(4)接入设备将EAP-Response/Identity报文封装到RADIUSAccess-Request报文中,发送给认证服务器;(5)认证服务器产生一个Challenge,通过接入设备将RADIUSAccess-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge;(6)接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证;(7)客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备;(8)接入设备将Challenge,ChallengedPassword和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证;(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结束;(10)如果认证通过,用户通过标准的DHCP协议(可以是DHCPRelay),通过接入设备获取规划的IP地址;(11)如果认证通过,接入设备发起计费开始请求给RADIUS用户认证服务器;(12)RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕。图2基于EAP-MD5的802.1X认证流程2.802.1x测试步骤Client:手机和pc机Device:pxa1826平台Server:公司用的dd-wrt路由器3.802.1x测试注意事项Windows部分设置secureCRT192.168.1.1192.168.1.2notioni/12345678更改pxa1826的ip,重新设置br-lan的ip地址。设置windows端的ip,静态ip。设置为桥接,这样才能ping通。Ping命令测试是否能通,只有ping通了,才能测试。Dd-wrt的web界面Pxa1826端的web界面Client端设置:安装证书(根证书提取密码changeme,hello用户名hello提取密码world)输入用户名/密码(hello/world)
本文标题:8021x测试方法
链接地址:https://www.777doc.com/doc-2891642 .html