802.1x协议介绍

802.1x协议介绍ISSUE3.0日期：2009-04-27杭州华三通信技术有限公司版权所有，未经授权不得使用与传播随着网络的发展，我们关注的已经不仅仅是单个设备的功能，而是一个全网解决方案。通过在网络核心部署AAA服务器，完成终端用户的认证、授权和计费，实现网络的可管理、可运营，保证网络和用户信息的安全。引入掌握802.1X认证方式的基本原理掌握802.1x认证的典型配置掌握LDAP认证的原理及配置掌握常用的排错方法课程目标学习完本课程，您应该能够：802.1X协议介绍802.1x典型配置LDAP认证典型配置FAQ目录的起源802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题，但由于它的原理对于所有符合IEEE802标准的局域网具有普适性，因此后来它在有线局域网中也得到了广泛的应用。该协议是IEEE在2001.6通过的正式标准，标准的起草者包括Microsoft，Cisco，Extreme，Nortel等。不需要是否业务报文效率高低，有封装开销高组播支持能力好低，对设备要求高好有线网上的安全性扩展后可用可用可用设备端的要求低高较高增值应用支持简单复杂复杂802.1x优势较为明显，是理想的低成本运营解决方案。认证方式802.1x认证概述IEEE802.1x称为基于端口的访问控制协议（Portbasednetworkaccesscontrolprotocol）。主要是为了解决局域网用户的接入认证问题。IEEE802.1x协议的体系结构包括三个重要的部分：客户端（SupplicantSystem）认证系统(AuthenticatorSystem)认证服务器(AuthenticationServerSystem)。体系架构IEEE802.1X定义了基于端口的网络接入控制协议（portbasednetworkaccesscontrol），其中端口可以是物理端口，也可以是逻辑端口。802.1X通过EAP帧承载认证信息进行认证。设备和认证服务器之间通过RADIUS报文进行通信。PAE(portaccessentity)认证机制中负责处理算法和协议的实体EAPOLRADIUS协议承载的EAP/PAP/CHAP交换客户端PAE设备端PAE认证服务器受控端口受控端口是802.1X系统的核心概念Authenticator内部有受控端口（ControlledPort）和非受控端口（UncontrolledPort）。非受控端口始终处于双向连通状态，不必经过任何授权就可以访问或传递网络资源和服务。受控端口必须经过授权才能访问或传递网络资源和服务。通常情况下设置端口初始状态为非授权状态，使端口仅允许EAPOL报文和广播报文收发。由EAPOL报文触发并进行认证，如果认证流程通过，则将该端口切换到授权状态。端口受控模式基于端口的认证：仅对使用同一物理端口的任何一个用户进行认证，认证通过后其他用户也就可以利用该物理端口访问网络服务。基于MAC的认证：对共用同一个物理端口的多个用户分别进行认证控制，限制同时使用同一个物理端口的用户数目（限制MAC地址数目），但不指定MAC地址。H3C公司交换机缺省设置为基于MAC的认证。协议介绍EAP：扩展验证协议（ExtensibleAuthenticationProtocol）EAP数据包帧格式：Code：EAP类型Request(eap-request)Response(eap-response)Success(eap-success)Failure(eap-failure)CodeIdentifierLengthTypeDataEAPOL概念：一种封装技术，EAPoverLAN，支持客户端PAE和设备端PAE在LAN环境中进行EAP报文的交换。目前，EAPOL有802.3/Ethernet和TokenRing/FDDI两种封装。EAPOL帧的目的MAC：封装EAPOL帧格式:字节数2112NPacketTypePacketBodyLengthPacketBodyProtocolVersionPAEEthernetTypeEAPOLframeformatfor802.3/EthernetPAEEthernetType:888eProtocolVersion:1PacketType:0EAP-Packet1EAPOL-Start2EAPOL-Logoff3EAPOL-KeyPacketBodyLength:EAP数据帧长度PacketBody:EAP数据帧内容,当PacketType为EAPOL-Start或EAPOL-Logoff时，PacketBody部分无特定内容，用全“0”填充。概述RADIUS定义RADIUS是RemoteAuthenticationDialInUserService（远程认证拨号用户服务）的简称。它是一种分布式的c/s系统，能提供AAA功能。RADIUS技术可以保护网络不受未授权访问的干扰，常被用在既要求较高性能，又要求维持远程用户访问的各种网络环境中。RADIUS使用的协议RADIUS基于标准RFC2865，2866协议在UDP/IP层定义了其帧格式及消息传输机制，并定义1812为认证端口，1813为计费端口。报文格式RADIUS协议的报文结构Code字段1Access-request2Access-accept3Access-reject4Accounting-request5Accounting-response11Access-challenge域RADIUS报文的Attribute域Attribute是RADIUS报文的核心部分，分为3段属性类型：标识是哪个属性，如1为用户名属性长度：属性的总长度，含类型和长度属性值：该属性的值，如用户名“abc”Radius属性可分为标准属性和扩展属性其中26号属性是给各厂商提供扩展属性的属性封装EAP-Message属性EAP-Message为79号属性设备端从客户端接收到EAP报文后，将它封装在一个或多个EAP-Message属性中，作为Access-Request的一部分转发给RADIUS服务器。RADIUS服务器可以在Access-Challenge，Access-Accept或Access-Reject报文中返回EAP-Message属性。EAPOR即EAPoverRADIUS，是通过为RADIUS添加两个新属性EAP-Message和Message-Authenticator来实现对EAP的支持。以便EAP报文穿越复杂的网络到达认证服务器。交换机端口下起用GuestVlan，全局和端口起用802.1x后，该端口将被划分到GuestVLAN所指定的VLAN。用户在未通过身份认证的情况下可以访问GuestVLAN内的资源。(EAP-Request/MD5Challenge)RADIUSAccess-Accept(EAP-Success)握手定时器超时握手请求报文[EAP-Request/Identity]握手应答报文[EAP-Response/Identity]......EAPOL-Logoff端口被授权端口非授权EAPOLEAPORRADIUSAccess-Request(EAP-Response/Identity)EAP-Request/MD5ChallengeRADIUSAccess-Request(EAP-Response/MD5Challenge)EAP-Success802.1X协议介绍802.1x典型配置LDAP认证典型配置FAQ目录设备侧典型配置配置RADIUS认证方案radiusscheme*server-typeextendedprimaryauthentication*.*.*.*primaryaccounting*.*.*.*keyauthentication*keyaccounting*user-name-formatwithout-domain(with-domain)retryrealtime-accounting*retrystop-accounting*配置RADIUS认证域domain*accountinglan-accessradius-scheme*authenticationlan-accessradius-scheme*authorizationlan-accessradius-scheme*全局及接口模式下输入dot1x使能802.1x配置缺省域Domaindefaultenable*基本配置－添加接入设备进入[业务－接入业务－接入设备配置]，增加接入设备配置共享密钥必须与设备测一致；配置接入设备类型；点击[选择]，从平台网管选择已存在的设备添加为接入设备或点击[手工增加]直接填写接入设备的IP地址完成添加。基本配置－配置服务（一）服务是最终用户使用网络的一个途径，它由预先定义的一组网络使用特性组成，其中具体包括基本信息、授权信息、认证绑定信息、用户客户端配置和授权用户分组等。基本信息配置服务名：服务的逻辑标识服务后缀：用于在用户认证时标识用户申请的不同服务。安全策略：该选项用于指定使用该服务的账户同时应用怎样的安全策略指定该选项只有安装了EAD安全策略组件后才会出现。基本配置－配置服务（二）授权信息配置接入时段：用于引用一个已配置的接入时段策略。选择此服务的用户只能在接入时段策略中定制的时间段内允许接入。不绑定接入区域：选择了某一个接入区域策略后，用户在此区域认证上网时将忽略所有的绑定信息。启用证书认证：目前支持EAP-TLS认证类型和EAP-PEAP认证类型。下发VLAN：设置向用户下发的VLAN。下发ACL：设置向用户下发的访问控制列表。基本配置－配置服务（三）绑定信息配置UAM与设备配合可对接入设备IP地址、端口、VLAN、用户IP地址、MAC地址进行绑定。当帐号用户申请具有绑定策略的服务时，可以设置相关的绑定信息，如果不设置，绑定时将采用自学习策略。所谓自学习就是绑定用户首次上网时所使用的相关参数。基本配置－配置服务（四）用户客户