802.1x协议简介

802.1x协议基础802.1x协议基础内部资料密级：内部公开杭州华三通信技术有限公司802.1X的基本概念802.1X认证方式的介绍目录目录基本概念——缩略语802.1x指IEEE802.1x标准PAP密码验证协议（PasswordAuthenticationProtocol）CHAP质询握手验证协议（ChallengeHandshakeAuthenticationProtocol）MD5消息摘要算法5版本（Message-DigestAlgorithm5）EAP扩展验证协议（ExtensibleAuthenticationProtocolTLS传输层安全(TransportLayerSecurity)PEAP受保护的EAP（ProtectedEAP）PAE端口认证实体（PortAuthenticationEntity）基本概念——概述它起源于802.11协议，后者是标准的无线局域网协议，解决无线局域网用户的接入认证问题。现在已经被应用于一般的有线LAN的接入。Port-BasedNetworksAccessControl，802.1x定义了基于端口的网络接入控制协议。端口：→可以是物理端口：Port-Based→也可以是逻辑端口：Mac-Based基本思想：通过某种认证机制控制端口的授权状态。→认证通过时，端口处于Authorized，用户可以接入。→认证未通过，端口处于Unauthorized，用户不能接入。基本概念——端口认证实体PAE端口认证实体PAE→作用：为与端口相关联的协议实体执行认证相关的算法和协议。→分类：设备端PAE、客户端PAE两种。客户端PAE：负责响应设备端的认证请求，向设备端提交用户的认证信息，也可以主动向设备端发送认证请求和下线请求。设备端PAE：利用认证服务器对需要接入设备端提供服务的客户端执行认证，并根据认证结果控制相应的受控端口。设备端PAE和认证服务器可以位于同一个设备，也可以位于两个不同的设备，IEEE802.1x标准建议设备端PAE和RADIUS服务器位于两个不同的设备。基本概念——认证系统体系结构基本概念——认证授权模式802.1x受控端口支持三种认证授权模式：→Authorized-force：常开模式端口一直维持授权状态，下挂用户无需认证过程就可访问网络资源。→Unauthorized-force：常关模式端口一直维持非授权状态，忽略所有客户端发起的认证请求。→Auto：协议控制模式端口初始状态为非授权状态，仅允许EAPOL报文收发。802.1X认证通过后，将此端口状态切换到授权状态，用户才能访问网络资源。我司设备命令行显示：[S3924-Just-For-Dot1X-Ethernet1/0/3]dot1xport-control?authorized-forcePortauthorizedunconditionallyautoAuthorizedstatuscontrolledbyFiniteStateMachineunauthorized-forcePortunauthorizedunconditionally基本概念——认证触发方式认证触发方式：→标准EAP触发方式：目的组播地址：01-80-c2-00-00-03，客户端主动发EAPOL-start报文仅有eapol-start为组播报文，其他为单播有线网中减少负载认证报文全部为组播报文适应于无线→DHCP触发方式：采用DHCP报文作为触发设备对用户进行认证的条件只有DHCPDiscover报文可以触发认证当前用户在线的情况下，不触发认证[S3924-Just-For-Dot1X]dot1xdhcp-launch(有的设备不支持该命令)基本概念——握手机制握手机制（标准协议中没有此机制）设备端采用EAP-Request/Identity报文作为握手请求报文，客户端采用EAP-Response/Identity作为握手应答报文(dot1xtimerhandshake-period)功能：→设备端能够检测到用户的异常断线情况→提供尽可能精确的用户在线和计费信息→在握手期间受控端口保持授权状态，直到握手失败受控端口变为非授权状态由于是非标准协议，导致XP、1xgate(SmartOn)客户端状态显示不正确，iNode客户端没问题当前设备国内版都支持握手；NEC版本不支持握手基本概念——EAPEAPOLRADIUS协议承载的EAP/PAP/CHAP交换客户端PAE设备端PAE认证服务器客户端PAE与设备端PAE之间：利用EAP协议交换认证信息，EAP报文使用EAPOL封装格式，直接承载于LAN环境中。设备端PAE与RADIUS服务器之间：→EAP中继方式（EAP透传,eap认证方式）•设备端PAE负责客户端和RADIUS服务器之间EAP报文的中继转发•EAPOR报文重新封装成EAPOL报文客户端•EAPOL报文重新封装成EAPOR（EAP-Messages）报文RADIUS服务器•中继转发过程中报文中的信息禁止被修改。→EAP终结方式•由设备端PAE进行终结，而在设备端PAE与RADIUS服务器之间传送包含PAP协议或CHAP协议属性的报文。•(标准的802.1x协议不支持EAP终结PAP认证方式，因为PAP认证传明文密码不安全)基本概念——EAPCodeIdentifierLengthTypeTypeDataCode：EAP报文类型1.Request(eap-request)2.Response(eap-response)3.Success(eap-success)4.Failure(eap-failure)EAP数据包帧格式如下面所示：基本概念——EAPCodeIdentifierLengthTypeTypeDataEAP数据包帧格式如下面所示：→Identifier：用于将request和response对应起来→Length：两个字节，Code，Identifier，Length和Data→Type:Type域总共分为6个值域Type＝1————IdentifierType＝2————NotificationType＝3————Nak（ResponseOnly）Type＝4————MD5-ChallengeType＝5————One-TimePassword(OTP)Type＝6————GenericTokenCardType＝7————扩展的私有属性（PAP认证请求PAP密码）Type＝10————扩展的私有属性（透传认证过程错误信息或者其他UAM后台传给客户端的信息）基本概念——EAPOLEAPOL概念一种封装技术，EAPoverLAN，支持客户端PAE和设备端PAE在LAN环境中进行EAP报文的交换。EAPOL帧格式•PAEEthernetType:888e•ProtocolVersion:1•PacketType:0EAP-Packet1EAPOL-Start2EAPOL-Logoff3EAPOL-Key4EAPOL-Encapsulated-ASF-Alter•当为EAP-Packet时，Body为一EAP报文基本概念——EAPOREAPOR简介：EAPOR：EAPoverRADIUS，用于透传EAP报文。→通过为RADIUS添加两个新属性EAP-Message和Message-Authenticator来实现对EAP的支持；→EAP-Message属性和Message-Authenticator属性和已有的RADIUS属性采用相同的Type-Length-Value三元组，因此，新添属性不会影响RADIUS协议的实现。RADIUS协议：RADIUS协议（RemoteAuthenticationDialInUserService）的扩展，基于UDP协议。→RADIUS负责接收设备发送用户连接请求，完成认证和计费→RADIUS协议的认证和记费端口号分别为1812和1813（服务器端监听）基本概念——EAPOR报文格式•Code：RADIUS报文类型(Access-Request、Access-Accept、Access-Reject、Access-Challenge等)。•Identifier：用于匹配Request和Response•Length：整个报文长度（theCode,Identifier,Length,AuthenticatorandAttributefields）。•Authenticator：一种保护机制，用于校验RADIUS报文的合法性和密码的加密。•Attributes：RADIUS属性，每个属性为TLV格式，可扩展。CodeIdentifierLengthAthenticatorAttribute......AttributeTypeLengthValue基本概念——EAPOR报文格式•Code=1接入验证请求的报文，接入设备--Radius服务器。•Code=2/3验证结果的报文，Radius服务器--接入设备。•Code=4计费报文(计费开始/计费更新)，接入设备--Radius服务器。•Code=5对收到的计费报文的响应，由Radius服务器--接入设备。•Code＝11密钥请求和密钥回应报文。Code含义1Access-request2Access-accept3Access-reject4Accouting-request5Accouting-response11Access-challenge基本概念——EAPOR报文格式Type：与EAP相关的属性值分配→79EAP-Message→80Message-AuthenticatorLength：指明三元组的总长度Value：属性值存在于RADIUS的1、2、3、11号报文中TypeLengthValueRADIUS属性格式基本概念——EAPOR报文格式EAP-Message属性→设备端PAE（RADIUSClinet)从客户端接收到EAP报文后，将它封装在一个或多个EAP-Message属性中，作为Access-Request的一部分转发给RADIUS服务器。→RADIUS服务器可以在Access-Challenge，Access-Accept或Access-Reject报文中返回EAP-Message属性。→Access-Accept或Access-Reject报文中包含且只包含一个EAP-Message属性，此属性中包含EAP-Success或EAP-Failure。→注意：Accept或Reject报文可以不包含EAPpacket或者含有的不是success或failure，因为设备端是根据Radius的Accept或Reject报文来决定端口授权状态。但是，设备端必须要向客户端发一个EAPSuccess或EAPFailure报文以通知认证的授权状态。基本概念——EAPOR报文格式Message-Authenti