宽带技术支持部802.1X协议培训教程我们今天要达到的目标初步认识和了解802.1X协议的背景,了解802.1X协议具体有什么特点?是做什么用的?有什么样的体系机构?采用什么样的认证流程?对于设备有什么特殊的要求?适合在何种范围下面使用?最后我们还要学习EAPOL协议的具体内容。今天我们要讲什么?802.1X这个东东是从什么地方来的?802.1X这个东东是做什么用的?802.1X认证体系的结构802.1X的认证过程802.1x协议的认证端口EAPOL协议的介绍期望目标我们要学的内容Support.huawei.com802.1X这个东东是从什么地方来的?802.1X这个东东是做什么用的?802.1X认证体系的结构802.1X的认证过程802.1x协议的认证端口EAPOL协议的介绍802.1X这个东东是从什么地方来的?802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入(微软的WindowsXP,以及cisco,北电,港湾等厂商的设备已经开始支持802.1X协议)。802.1X这个东东是从什么地方来的?在802.1x出现之前,企业网上有线LAN应用都没有直接控制到端口的方法。也不需要控制到端口。但是随着无线LAN的应用以及LAN接入在电信网上大规模开展,有必要对端口加以控制,以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port-BasedAccessControl)而定义的一个标准。我们要学的内容802.1X这个东东是做什么用的?802.1X认证体系的结构802.1X的认证过程802.1x协议的认证端口EAPOL协议的介绍802.1X这个东东是从什么地方来的?Support.huawei.com802.1X这个东东是做什么用的?•802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略。•802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道)•802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(ExtensibleAuthenticationProtocoloverLAN)通过。我们要学的内容Support.huawei.com802.1X这个东东是做什么用的?802.1X认证体系的结构802.1X的认证过程802.1x协议的认证端口EAPOL协议的介绍802.1X这个东东是从什么地方来的?802.1X认证体系的结构PAE:认证机制中负责处理算法和协议的实体。EAP:ExtensibleAuthenticationProtocol802.1X认证体系的结构802.1X的认证体系分为三部分结构:◢SupplicantSystem,客户端(PC/网络设备)◢AuthenticatorSystem,认证系统◢AuthenticationServerSystem,认证服务器802.1X认证体系的结构◢SupplicantSystem,客户端(PC/网络设备)SupplicantSystem———Client(客户端)是—需要接入LAN,及享受switch提供服务的设备(如PC机),客户端需要支持EAPOL协议,客户端必须运行802.1X客户端软件,如:802.1X-complain,MicrosoftWindowsXP802.1X认证体系的结构在win98下提供的客户端:在winXP下提供的客户端:802.1X认证体系的结构◢AuthenticatorSystem,认证系统AuthenticatorSystem———Switch(边缘交换机或无线接入设备)是—根据客户的认证状态控制物理接入的设备,switch在客户和认证服务器间充当代理角色(proxy)。switch与client间通过EAPOL协议进行通讯,switch与认证服务器间通过EAPoRadius或EAP承载在其他高层协议上,以便穿越复杂的网络到达AuthenticationServer(EAPRelay);switch要求客户端提供identity,接收到后将EAP报文承载在Radius格式的报文中,再发送到认证服务器,返回等同;switch根据认证结果控制端口是否可用;需要指出的是:我们的802.1x协议在设备内终结并转换成标准的RADIUS协议报文,加密算法采用PPP的CHAP认证算法,所有支持PPPCHAP认证算法的认证计费服务器都可以与我们对接成功。802.1X认证体系的结构◢AuthenticationSeverSystem,认证服务器Authenticationserver———(认证服务器)对客户进行实际认证,认证服务器核实客户的identity,通知swtich是否允许客户端访问LAN和交换机提供的服务AuthenticationSever接受Authenticator传递过来的认证需求,认证完成后将认证结果下发给Authenticator,完成对端口的管理。由于EAP协议较为灵活,除了IEEE802.1x定义的端口状态外,AuthenticationServer实际上也可以用于认证和下发更多用户相关的信息,如VLAN、QOS、加密认证密钥、DHCP响应等。我们要学的内容Support.huawei.com802.1X这个东东是做什么用的?802.1X认证体系的结构802.1X的认证过程802.1x协议的认证端口EAPOL协议的介绍802.1X这个东东是从什么地方来的?802.1X的认证过程授权非授权SUPPLICANTPAEAUTHENTICATORPAEAUTHENTICATIONSERVEREAP-Request/IdentityEAP-Response/IdentityEAP-Request/OTP,ChallengeEAP-Response/OTP,OTPpwEAP-SuccessreAuthentorizeEAPOL-LOGOFF802.1X的认证过程认证前后端口的状态802.1X的认证中,端口的状态决定了客户端是否能接入网络,在启用802.1x认证时端口初始状态一般为非授权(unauthorized),在该状态下,除802.1X报文和广播报文外不允许任何业务输入、输出通讯。当客户通过认证后,则端口状态切换到授权状态(authorized),允许客户端通过端口进行正常通讯。802.1X的认证过程认证通过前,通道的状态为unauthorized,此时只能通过EAPOL的802.1X认证报文;认证通过时,通道的状态切换为authorized,此时从远端认证服务器可以传递来用户的信息,比如VLAN、CAR参数、优先级、用户的访问控制列表等等;认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等过程。基本的认证过程:802.1X的认证过程认证通过之后的保持:认证端Authenticator可以定时要求Client重新认证,时间可设。重新认证的过程对User是透明的(应该是User不需要重新输入密码)。下线方式:物理端口Down;重新认证不通过或者超时;客户端发起EAP_Logoff帧;网管控制导致下线;802.1X的认证过程现在的设备(switch)端口有三种认证方式:ForceAuthorized:端口一直维持授权状态,switch的Authenticator不主动发起认证;ForceUnauthorized:端口一直维持非授权状态,忽略所有客户端发起的认证请求;Auto:激活802.1X,设置端口为非授权状态,同时通知设备管理模块要求进行端口认证控制,使端口仅允许EAPOL报文收发,当发生UP事件或接收到EAPOL-start报文,开始认证流程,请求客户端Identify,并中继客户和认证服务器间的报文。认证通过后端口切换到授权状态,在退出前可以进行重认证。我们要学的内容802.1X这个东东是做什么用的?802.1X认证体系的结构802.1X的认证过程802.1x协议的认证端口EAPOL协议的介绍802.1X这个东东是从什么地方来的?Support.huawei.com802.1x协议的认证端口受控端口:在通过认证前,只允许认证报文EAPOL报文和广播报文(DHCP、ARP)通过端口,不允许任何其他业务数据流通过;逻辑受控端口:多个Supplicant共用一个物理端口,当某个Supplicant没有通过认证前,只允许认证报文通过该物理端口,不允许业务数据,但其他已通过认证的Supplicant业务不受影响。802.1x协议的认证端口现在在使用中有下面三种情况:•仅对使用同一物理端口的任何一个用户进行认证(仅对一个用户进行认证,认证过程中忽略其他用户的认证请求),认证通过后其他用户也就可以利用该物理端口访问网络服务•对共用同一个物理端口的多个用户分别进行认证控制,限制同时使用同一个物理端口的用户数目(限制MAC地址数目),但不指定MAC地址,让系统根据先到先得原则进行MAC地址学习,系统将拒绝超过限制数目的请求,若有用户退出,则可以覆盖已退出得MAC地址。•对利用不同物理端口的用户进行VLAN认证控制,即只允许访问指定VLAN,限制用户访问非授权VLAN;用户可以利用受控端口,访问指定VLAN,同一用户可以在不同的端口访问相同的VLAN。我们要学的内容802.1X这个东东是做什么用的?802.1X认证体系的结构802.1X的认证过程802.1x协议的认证端口EAPOL协议的介绍802.1X这个东东是从什么地方来的?Support.huawei.comEAPOL协议的介绍ExtensibleAuthenticationProtocoloverLANIEEE802.1x定义了基于端口的网络接入控制协议,需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式。为了在点到点链路上建立通信,在链路建立阶段PPP链路的每一端都必须首先发送LCP数据包来对该数据链路进行配置。在链路已经建立起来后,在进入网络层协议之前,PPP提供一个可选的认证阶段。而EAPOL就是PPP的一个可扩展的认证协议。EAPOL协议的介绍下面是一个典型的PPP协议的帧格式:FlagAddressControlProtocolInformation当PPP帧中的protocol域表明协议类型为C227(PPPEAP)时,在PPP数据链路层帧的Information域中封装且仅封装PPPEAP数据包,此时表明将应用PPP的扩展认证协议EAP。这个时候这个封装着EAP报文的information域就担负起了下一步认证的全部任务,下一步的EAP认证都将通过它来进行。EAPOL协议的介绍一个典型的EAP认证的过程分为:request、response、success或者failure阶段,每一个阶段的报文传送都由Information域所携带的EAP报文来承担。EAP报文的格式为:CodeIdentifierLengthDataEAPOL协议的介绍CodeIdentifierLengthDataCode域为一个字节,表示了EAP数据包的类型,EAP的Code的值指定和意义如下:Code=1————→RequestCode=2————→ResponseCode=3————→SuccessCode=4————→FailureIndentifier域为一个字节,辅助进行request和response的匹配————每一个request都应该有一个response相对应,这样的一个Indentifier域就建立了这样的一个对应关系————相同的Indentifier相匹配。EAPOL协议的介绍Cod