802.1x基础培训教程(PPT)

唐炳河KF06282006-11-24修订低端交换机测试部培训目的•了解802.1x基本概念及协议•了解802.1x相关功能及应用•学会802.1x基本配置802.1x基本概念简介802.1x认证方式EAP和RADIUS协议介绍802.1x配置实例802.1x相关特性测试中遇到的问题和体会内容介绍1、802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题，但由于它的原理对于所有符合IEEE802标准的局域网具有普适性，因此后来它在有线局域网中也得到了广泛的应用。该协议是IEEE在2001.6通过的正式标准，标准的起草者包括Microsoft，Cisco，Extreme，Nortel等；2、IEEE802.1x定义了基于端口的网络接入控制协议（portbasednetworkaccesscontrol），其中端口可以是物理端口，也可以是逻辑端口，对于无线局域网来说“端口”就是一条信道。3、802.1x认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（ExtensibleAuthenticationProtocoloverLANs）通过。802.1x的背景802.1X基本概念简介802.1x和其它认证的比较802.1xPPPOEWEB认证是否需要安装客户端软件是XP不需要是否业务报文效率高低，有封装开销高组播支持能力好低，对设备要求高好有线网上的安全性扩展后可用可用可用设备端的要求低高较高增值应用支持简单复杂复杂801.1x优势较为明显，是理想的低成本运营解决方案。适用于接入设备与接入端口间点到点的连接方式，实现对局域网用户接入的认证与服务管理，常用于运营管理相对简单，业务复杂度较低的企业以及园区。802.1X基本概念简介受控端口是802.1x系统的核心概念1、认证系统Autheticator内部有受控端口（ControlledPort）和非受控端口（UncontrolledPort）1）非受控端口始终处于双向连通状态，不必经过任何授权就可以访问或传递网络资源和服务；受控端口则反之，必须经过授权才能访问或传递网络资源和服务。启动802.1X的端口就是受控端口，用户通过认证获得授权。2）受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用环境。双向受控对受控端口的输入流和输出流都进行控制，在端口未授权前，两个方向的流量都不能通过受控端口。输入受控仅对端口的输入流进行控制，不管端口是否授权，出端口流量不受限制。3)目前我们的交换机上的实现仅支持输入受控。802.1x的核心概念802.1X基本概念简介802.1x的核心概念（续）设备端端口非授权受控端口非受控端口设备端PAE设备端提供的服务LAN设备端端口授权受控端口非受控端口设备端PAE设备端提供的服务LAN802.1X基本概念简介2、端口接入控制的模式（目前我司设备有以下三种）：•Authorized-force：常开模式端口一直维持控制模式，下挂用户无需认证过程就可访问网络资源•Auto：协议控制模式初始状态为非授权状态，仅允许EAPOL报文收发。802.1X认证通过后，将此端口状态切换到授权状态，这时用户才可访问网络资源•Unauthorized-force：常关模式端口一直维持非授权状态，忽略所有客户端发起的认证请求，用户不能访问网络资源。802.1x的核心概念（续）配置命令：[Quidway]dotport-control?authorized-forcePortauthorizedunconditionallyautoAuthorizedstatuscontrolledbyFiniteStateMachineunauthorized-forcePortunauthorizedunconditionally802.1X基本概念简介3、端口接入控制方式（目前我司设备支持以下两种）：•Macbased：基于MAC地址的认证方式对共用同一个物理端口的多个用户分别进行认证控制，限制同时使用同一个物理端口的用户数目（限制MAC地址数目），但不指定MAC地址，让系统根据先到先得原则进行MAC地址学习，系统将拒绝超过限制数目的请求，若有用户退出，则可以覆盖已退出的MAC地址。只有认证通过的用户可以访问网络资源。•Portbased：基于PORT的认证方式仅对使用同一物理端口的任何一个用户进行认证（仅对一个用户进行认证，认证过程中忽略其他用户的认证请求），认证通过后其他用户也就可以利用该物理端口访问网络资源。802.1x的核心概念（续）配置命令：[Quidway]dotport-method?macbasedMethodbasedonMACaddressportbasedMethodbasedonport802.1X基本概念简介客户端客户端PAE设备端端口非授权受控端口非受控端口认证服务器认证服务器设备端PAE设备端提供的服务LAN/WLAN802.1x的体系结构802.1X基本概念简介IEEE802.1x的体系结构中包括三个部分：•SupplicantSystem-接入系统；即认证客户端•AuthenticatorSystem-认证系统；即NAS(NetworkAccessServer）•AuthenticationSeverSystem-认证服务器。802.1x体系与设备软件对应关系•接入系统（如PC）需要安装802.1x客户端软件，例如WindowsXP的802.1x客户端,我司提供的802.1x客户端；•NAS(如交换机)需要实现802.1x的认证系统功能•认证服务器系统一般驻留在运营商的AAA中心，典型的是传统的Radius服务器。如windows2k/2003自带的Radius服务器。PAE:端口认证实体(portaccessentity)认证机制中负责处理算法和协议的实体。802.1x的体系结构（续）802.1X基本概念简介802.1x的认证过程客户端PAE设备端PAERADIUS服务器EAPOL-StartEAP-Response/IdentityEAP-Response/PasswordEAP-Request/IdentityRADIUSAccounting-RequestRADIUSAccess-Accept(PAP-Success)握手定时器超时握手请求报文[EAP-Request/Identity]握手应答报文[EAP-Response/Identity]......EAPOL-Logoff端口被授权端口非授权EAPOLEAPORRADIUSAccess-Request(PAP-Response/Password)EAP-Request/PasswordRADIUSAccounting-responseEAP-Success认证前端口起dot1x，此时端口相当于受控关闭状态，只允许EAP0L报文通过．802.1x通过EAP帧承载认证信息进行认证．（此处用PAP的认证方式讲解认证过程）：•首先客户端发起认证(EAPOL-START)•设备向客户端进行用户名请求(EAPOL-Request/Identity)•客户端回应认证用户名(EAPOL-Reponse)•设备向客户端进行密码请求(EAPOL-Request/PAssword)•客户端回应密码(EAPOL-Request/PAssword)•设备收到后将用户名和密码映射到RADIUS报文传给服务器•服务器进行用户名和密码等属性判断都符合后回应设备认证成功(否则返回拒绝，设备再发failue报文给客户端)•如果设备配置了计费这时将向服务器发送计费请求•服务器判断传递过来的属性，符合后就回应设备计费成功等信息(否则返回拒绝，设备再发failue报文给客户端)•设备接收到计费回应后发success报文给交换机．至此认证通过，端口被打开，用户可以通过端口访问外部资源．如果此时端口起了握手功能，设备将定期和客户端进行握手交互，检测客户端是否在线，如果不在线就会发logoff通知用户下线，端口又被关闭．802.1X基本概念简介802.1x与AAA和RADIUS的关系•802.1x、AAA、RADIUS三者不是一个概念，但在实际使用中又紧密联系１、802.1x是基于端口的网络接入控制协议（前面已讲过），它提供了一个用户身份认证的实现方案，但是仅仅依靠802.1x是不足以实现该方案的——接入设备的管理者还要对AAA方法进行配置，选择使用RADIUS或本地认证方法，以配合802.1x完成用户的身份认证。２、AAA的概念１）AAA的组成认证(Authentication):认证用户是否可以获得访问权。授权(Authorization):授权用户可以使用哪些服务。计费(Accounting):给使用网络资源的用户进行计费２）AAA的作用AAA是一种管理框架，它提供了验证，授权和计费三种安全功能。AAA的配置实际上是对网络安全（访问控制）的一种管理。包括哪些用户可以访问网络服务器？具有访问权的用户可以得到哪些服务？如何对正在使用网络资源的用户进行计费。在实践中，人们最常使用RADIUS协议来实现AAA。802.1X基本概念简介802.1x与AAA和RADIUS的关系（续）３、RADIUS的概念１）RADIUS的定义RADIUS是RemoteAuthenticationDialInUserService（远程认证拨号用户服务）的简称。它是一种分布式的c/s系统，能提供AAA功能。RADIUS技术可以保护网络不受未授权访问的干扰，常被用在既要求较高性能，又要求维持远程用户访问的各种网络环境中。２）RADIUS服务包括三部分：–协议：RFC2865、2866协议基于UDP/IP层定义了RADIUS帧格式及消息传输机制，并定义了1812作为认证端口，1813作为计费端口。（我司交换机作服务器时仍常用老端口号1645和1646）–服务器：RADIUS服务器运行在中心计算机或工作站上，包含了相关的用户认证和网络服务访问信息。–客户端：位于拨号访问服务器设备侧（如交换机）。RADIUS基于C/S模型。设备（如交换机）作为RADIUS客户端，负责传输用户信息到指定的RADIUS服务器，然后根据从服务器返回的信息进行相应处理（如接入/挂断用户）。RADIUS服务器负责接收用户连接请求，认证用户，然后给设备返回所有需要的信息。802.1X基本概念简介802.1XGCM受控组播强制PORTAL连接管理ACMRADIUSRADIUSServerAAA域控制本地用户服务器pppFTP/TELNET/SSHTACACSTACACSServer服务器接入控制SRVCTRL802.1x与AAA和RADIUS的关系（续）•业务控制体系模型及流程802.1X基本概念简介决定用户采用的认证、计费、授权方案以及该域支持的业务。完成接入认证协议的状态管理和维护、消息转换。根据用户所在域，调用域控制模块提供的接口，确定该域所使用的认证授权计费方案，将用户的认证授权计费消息发送到的相应的认证授权计费协议队列。802.1x基本概念简介802.1x认证方式EAP和RADIUS协议介绍802.1x配置实例802.1x相关特性测试中遇到的问题和体会内容介绍认证方式1、认证方式种类：PAP、CHAP、EAP(MD5-Challenge、EAP_TLS、PEAP等)2、对认证服务器的兼容支持1）第一种是802.1x标准规定的，将EAP承载在其他高层协议中，如ERPOR(EAPoverRadius)，以便EAP报文穿越复杂的网络到达认证服务器，,这种方式称为EAPRelay或中继方式。优点是LANSWITCH设备处理更简单，支持更多的认证方式；缺点是认证服务器必须支持EAP。（MD5-Challenge，EAP