20 元
下载资源

(华为培训技术资料)802.1x协议培训胶片0814b

上传人:a**** 文档编号:243354506 上传时间:2024-09-21 格式:PPT 页数:36 大小:467KB
返回 下载 相关 举报
(华为培训技术资料)802.1x协议培训胶片0814b_第1页
第1页 / 共36页
(华为培训技术资料)802.1x协议培训胶片0814b_第2页
第2页 / 共36页
(华为培训技术资料)802.1x协议培训胶片0814b_第3页
第3页 / 共36页
点击查看更多>>
资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,*,宽带技术支持部,协议培训教程,1,我们今天要达到的目标,初步认识和了解协议的背景,了解协议具体有什么特点?是做什么用的?有什么样的体系机构?采用什么样的认证流程?对于设备有什么特殊的要求?适合在何种范围下面使用?最后我们还要学习,EAPOL,协议的具体内容。,2,今天我们要讲什么?,这个东东是从什么地方来的?,这个东东是做什么用的?,认证体系的结构,的认证过程,协议的认证端口,EAPOL,协议的介绍,期 望 目 标,3,我们要学的内容,这个东东是从什么地方来的?,这个东东是做什么用的?,认证体系的结构,的认证过程,协议的认证端口,EAPOL,协议的介绍,4,这个东东是从什么地方来的?,协议起源于协议,后者是标准的无线局域网协议,协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线,LAN,的接入(微软的,Windows XP,,以及,cisco,,北电,港湾等厂商的设备已经开始支持协议)。,5,这个东东是从什么地方来的?,在出现之前,企业网上有线,LAN,应用都没有直接控制到端口的方法。也不需要控制到端口。但是随着无线,LAN,的应用以及,LAN,接入在电信网上大规模开展,有必要对端口加以控制,以实现用户级的接入控制。就是,IEEE,为了解决基于端口的接入控制(,Port-Based Access Control,)而定义的一个标准。,6,我们要学的内容,这个东东是做什么用的?,认证体系的结构,的认证过程,协议的认证端口,EAPOL,协议的介绍,这个东东是从什么地方来的?,7,这个东东是做什么用的?,首先是一个认证协议,是一种对用户进行认证的方法和策略。,是基于端口的认证策略,(这里的端口可以是一个实实在在的物理端口也可以是一个就像,VLAN,一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道),的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许,的认证报文,EAPOL,(,Extensible Authentication Protocol over LAN,)通过。,8,我们要学的内容,这个东东是做什么用的?,认证体系的结构,的认证过程,协议的认证端口,EAPOL,协议的介绍,这个东东是从什么地方来的?,9,认证体系的结构,PAE,:认证机制中负责处理算法和协议的实体。,EAP,:,Extensible Authentication Protocol,10,认证体系的结构,的认证体系分为三部分结构:,Supplicant System,,客户端,(PC/,网络设备,),Authenticator System,,认证系统,Authentication Server System,,认证服务器,11,认证体系的结构,Supplicant System,,客户端,(PC/,网络设备,),Supplicant System Client,(客户端)是,需要接入,LAN,,及享受,switch,提供服务的设备(如,PC,机),客户端需要支持,EAPOL,协议,客户端必须运行客户端软件,如:,,Microsoft Windows XP,12,认证体系的结构,在,win98,下提供的客户端:,在,winXP,下提供的客户端:,13,认证体系的结构,Authenticator System,,认证系统,Authenticator System Switch,(边缘交换机或无线接入设备)是,根据客户的认证状态控制物理接入的设备,,switch,在客户和认证服务器间充当代理角色(,proxy,)。,switch,与,client,间通过,EAPOL,协议进行通讯,,switch,与认证服务器间通过,EAPoRadius,或,EAP,承载在其他高层协议上,以便穿越复杂的网络到达,Authentication Server,(,EAP Relay,);,switch,要求客户端提供,identity,,接收到后将,EAP,报文承载在,Radius,格式的报文中,再发送到认证服务器,返回等同;,switch,根据认证结果控制端口是否可用;,需要指出的是:,我们的协议在设备内终结并转换成标准的,RADIUS,协议报文,加密算法采用,PPP,的,CHAP,认证算法,所有支持,PPP CHAP,认证算法的认证计费服务器都可以与我们对接成功。,14,认证体系的结构,Authentication Sever System,,认证服务器,Authentication server ,(认证服务器)对客户进行实际认证,认证服务器核实客户的,identity,,通知,swtich,是否允许客户端访问,LAN,和交换机提供的服务,Authentication Sever,接受,Authenticator,传递过来的认证需求,认证完成后将认证结果下发给,Authenticator,,完成对端口的管理。由于,EAP,协议较为灵活,除了,IEEE 802.1x,定义的端口状态外,,Authentication Server,实际上也可以用于认证和下发更多用户相关的信息,如,VLAN,、,QOS,、加密认证密钥、,DHCP,响应等。,15,我们要学的内容,这个东东是做什么用的?,认证体系的结构,的认证过程,协议的认证端口,EAPOL,协议的介绍,这个东东是从什么地方来的?,16,的认证过程,17,的认证过程,认证前后端口的状态,的认证中,端口的状态决定了客户端是否能接入网络,在启用认证时端口初始状态一般为非授权(,unauthorized,),在该状态下,除,802.1X,报文和广播报文外不允许任何业务输入、输出通讯。当客户通过认证后,则端口状态切换到授权状态(,authorized,),允许客户端通过端口进行正常通讯。,18,的认证过程,认证通过前,,通道的状态为,unauthorized,,此时只能通过,EAPOL,的认证报文;,认证通过时,,通道的状态切换为,authorized,,此时从远端认证服务器可以传递来用户的信息,比如,VLAN,、,CAR,参数、优先级、用户的访问控制列表等等;,认证通过后,,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有,DHCP,等过程。,基本的认证过程:,19,的认证过程,认证通过之后的保持:,认证端,Authenticator,可以定时要求,Client,重新认证,时间可设。重新认证的过程对,User,是透明的,(,应该是,User,不需要重新输入密码,),。,下线方式:,物理端口,Down,;,重新认证不通过或者超时;,客户端发起,EAP_Logoff,帧;,网管控制导致下线;,20,的认证过程,现在的设备(,switch,)端口有三种认证方式:,ForceAuthorized,:,端口一直维持授权状态,,switch,的,Authenticator,不主动发起认证;,ForceUnauthorized,:,端口一直维持非授权状态,忽略所有客户端发起的认证请求;,Auto,:,激活,设置端口为非授权状态,同时通知设备管理模块要求进行端口认证控制,使端口仅允许,EAPOL,报文收发,当发生,UP,事件或接收到,EAPOL-start,报文,开始认证流程,请求客户端,Identify,,并中继客户和认证服务器间的报文。认证通过后端口切换到授权状态,在退出前可以进行重认证。,21,我们要学的内容,这个东东是做什么用的?,认证体系的结构,的认证过程,协议的认证端口,EAPOL,协议的介绍,这个东东是从什么地方来的?,22,协议的认证端口,受控端口,:在通过认证前,只允许认证报文,EAPOL,报文和广播报文(,DHCP,、,ARP,)通过端口,不允许任何其他业务数据流通过;,逻辑受控端口,:多个,Supplicant,共用一个物理端口,当某个,Supplicant,没有通过认证前,只允许认证报文通过该物理端口,不允许业务数据,但其他已通过认证的,Supplicant,业务不受影响。,23,协议的认证端口,现在在使用中有下面三种情况:,仅对使用同一物理端口的任何一个用户进行认证,(仅对一个用户进行认证,认证过程中忽略其他用户的认证请求),认证通过后其他用户也就可以利用该物理端口访问网络服务,对共用同一个物理端口的多个用户分别进行认证控制,限制同时使用同一个物理端口的用户数目(限制,MAC,地址数目),但不指定,MAC,地址,让系统根据先到先得原则进行,MAC,地址学习,系统将拒绝超过限制数目的请求,若有用户退出,则可以覆盖已退出的,MAC,地址。,对利用不同物理端口的用户进行,VLAN,认证控制,即只允许访问指定,VLAN,,限制用户访问非授权,VLAN,;用户可以利用受控端口,访问指定,VLAN,,同一用户可以在不同的端口访问相同的,VLAN,。,24,我们要学的内容,这个东东是做什么用的?,认证体系的结构,的认证过程,协议的认证端口,EAPOL,协议的介绍,这个东东是从什么地方来的?,25,EAPOL,协议的介绍,Extensible Authentication Protocol over LAN,定义了基于端口的网络接入控制协议,需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式。 为了在点到点链路上建立通信,在链路建立阶段,PPP,链路的每一端都必须首先发送,LCP,数据包来对该数据链路进行配置。在链路已经建立起来后,在进入网络层协议之前,,PPP,提供一个可选的认证阶段。而,EAPOL,就是,PPP,的一个可扩展的认证协议。,26,EAPOL,协议的介绍,下面是一个典型的,PPP,协议的帧格式:,Flag,Address,Control,Protocol,Information,当,PPP,帧中的,protocol,域表明协议类型为,C227(PPP EAP),时,在,PPP,数据链路层帧的,Information,域中封装且仅封装,PPP EAP,数据包,此时表明将应用,PPP,的扩展认证协议,EAP,。这个时候这个封装着,EAP,报文的,information,域就担负起了下一步认证的全部任务,下一步的,EAP,认证都将通过它来进行。,27,EAPOL,协议的介绍,一个典型的,EAP,认证的过程分为:,request,、,response,、,success,或者,failure,阶段,每一个阶段的报文传送都由,Information,域所携带的,EAP,报文来承担。,EAP,报文的格式为:,Code,Identifier,Length,Data,28,EAPOL,协议的介绍,Code,Identifier,Length,Data,Code,域,为一个字节,表示了,EAP,数据包的类型,,EAP,的,Code,的值指定和意义如下:,Code,1,Request,Code,2,Response,Code,3,Success,Code,4,Failure,Indentifier,域,为一个字节,辅助进行,request,和,response,的匹配,每一个,request,都应该有一个,response,相对应,这样的一个,Indentifier,域就建立了这样的一个对应关系,相同的,Indentifier,相匹配。,29,EAPOL,协议的介绍,Code,Identifier,Length,Data,Length,域,为两个字节,表明了,EAP,数据包的长度,包括,Code,Identifier,Length,以及,Data,等各域。超出,Length,域范围的字节应该视为数据链路层填充(,padding,),在接收时应该被忽略掉。,Data,域,为,0,个或者多个字节,,Data,域的格式由,Code,的值来决定。,30,EAPOL,协议的介绍,分别介绍,Code,为不同的值的时候报文的格式和各个域的定义。,当,Code,域为,1,或者,2,的时候,这个时候为,EAP,的,request,和,response,报文,报文的格式为:,Code,Identifier,Length,Type,Type Data,当,Code,为,1,的时候是,request,报文,当,Code,为,2,的时候是,response,报文。,Identifier,域为一个字节。在等待,Response,时根据,timeout,而重发的,Request,的,Identifier,域必须相同。任何新的(非重发的),Request,必须修改,Identifier,域。如果对方收到了重复的,Request,,并且已经发送了对该,Request,的,Response,,则对方必须重发该,Response,。如果对方在给最初的,Request,发送,Response,之前收到重复的,Request,(也就是说,它在等待用户输入),它必须悄悄的丢弃重复的,Request,。,31,EAPOL,协议的介绍,Code,Identifier,Length,Type,Type Data,Length,域为两个字节,表明,EAP,数据包的长度,包括,Code,,,Identifier,,,Length,,,Type,以及,Type-Data,等各域。超出,Length,域的字节应视为数据链路层填充(,padding,),在接收时应该被忽略掉。,Type,域为一个字节,该域表明了,Request,或,Response,的类型。在,EAP,的,Request,或,Response,中必须出现且仅出现一个,Type,。通常,R,esponse,中的,Type,域和,Request,中的,Type,域相同。但是,,Response,可以有个,Nak,类型,表明,Request,中的,Type,不能被对方接受。当对方发送,Nak,来响应一个,Request,时,它可以暗示它所希望使用并且支持的认证类型。,Type Data,域随,Request,和相对应的,Response,的,Type,的不同而不同。,32,EAPOL,协议的介绍,Code,Identifier,Length,Type,Type Data,Type,域的说明如下:,Type,域总共分为,6,个值域,其中头,3,种,Type,被认为特殊情形的,Type,,其余的,Type,定义了认证的交换流量。,Nak,类型仅对,Response,数据包有效,不允许把它放在,Request,中发送。,Type,1,Identifier,Type,2,Notification,Type,3,Nak,(,Response Only,),Type,4,MD5-Challenge,Type,5,One-Time Password (OTP),Type,4,Generic Token Card,33,EAPOL,协议的介绍,分别介绍,Code,为不同的值的时候报文的格式和各个域的定义。,当,Code,域为,3,或者,4,的时候,这个时候为,EAP,的,Success,和,Failure,报文,报文的格式为:,Code,Identifier,Length,当,Code,为,3,的时候是,Success,报文,当,Code,为,4,的时候是,Failure,报文,Identifier,域为一个字节,辅助匹配,Response,应答。,Identifier,域必须与其正在应答的,Response,域中的,Identifier,域相匹配。,34,总结,定义了基于端口的网络接入控制协议,其中端口可以是物理端口,也可以是逻辑端口。,关心的只是一个端口(物理的或者逻辑的)是否打开,而不关心打开之后上来的是什么样的报文。,协议只是提供了一种用户接入认证的手段,它也只是对用户的认证进行控制,而接入网络设备必须具备的其他的一些安全和管理特性,由各厂家设备自行来提供的。,35,谢谢大家,36,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 商业管理 > 商业计划


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!