鴻鵠05基于802 1x接入身份認(rèn)證

基于802.1x接入的身份認(rèn)證日期：杭州華三通信技術(shù)有限公司，隨著網(wǎng)絡(luò)的發(fā)展，用戶除了關(guān)注網(wǎng)絡(luò)的連通性以外，更加關(guān)注網(wǎng)絡(luò)的可管理、可運(yùn)營，以及如何保證用戶的信息安全。通過在網(wǎng)絡(luò)中部署AAA服務(wù)器，能夠驗(yàn)證用戶的接入身份，授權(quán)用戶可以使用哪些業(yè)務(wù)以及記錄用戶使用網(wǎng)絡(luò)資源的情況。引入描述802.1x體系結(jié)構(gòu)掌握EAPOL協(xié)議原理掌握RADIUS協(xié)議原理掌握iMCUAM和iNode的相關(guān)應(yīng)用課程目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠：802.1x概述EAPOL協(xié)議RADIUS協(xié)議iMCUAM及iNode典型應(yīng)用目錄802.1X的起源802.1X認(rèn)證技術(shù)起源于無線網(wǎng)絡(luò)標(biāo)準(zhǔn)802.11，由于其原理對(duì)于所有符合IEEE標(biāo)準(zhǔn)的局域網(wǎng)具有普適性，因此在有線網(wǎng)中也得到了廣泛的應(yīng)用802.1x體系架構(gòu) 802.1x稱為基于端口的訪問控制協(xié)議（Portbasednetworkaccesscontrolprotocol），主要是為了解決局域網(wǎng)用戶的接入認(rèn)證問題802.1x體系架構(gòu)由三個(gè)部分組成SupplicantSystemAuthenticatorSystemAuthenticationServerSystemSupplicantSystemAuthenticationServerSystemAuthenticatorSystemEAPOLRADIUSiMCUAM概述 iMC用戶接入管理（UAM）組件提供了完善的針對(duì)接入用戶的管理功能，包括支持多種方式的接入和認(rèn)證，以及對(duì)用戶信息的匯總和組織等通過iMC平臺(tái)和UAM組件的深度融合和聯(lián)動(dòng)，iMCUAM將管理的范疇從傳統(tǒng)的網(wǎng)絡(luò)設(shè)備管理延展到對(duì)網(wǎng)絡(luò)使用者的管理，使得網(wǎng)絡(luò)和用戶這兩個(gè)密不可分的對(duì)象從管理的角度也有機(jī)融合為一個(gè)整體iNode概述 iNode（智能節(jié)點(diǎn)）安裝于終端操作系統(tǒng)之上，提供適用于不同組網(wǎng)和應(yīng)用場(chǎng)景的認(rèn)證客戶端的功能iNode管理中心提供定制客戶端安裝文件、升級(jí)包，在線修改客戶端運(yùn)行參數(shù)等功能受控端口 受控端口是802.1x系統(tǒng)的核心概念非受控端口（uncontrolledport）始終處于雙向連通狀態(tài)受控端口（controlledport）在非授權(quán)狀態(tài)下不處理業(yè)務(wù)，而經(jīng)過授權(quán)之后則處于雙向連通狀態(tài)設(shè)備端提供的服務(wù)設(shè)備端處理模塊非受控端口受控端口設(shè)備端客戶端受控模式端口的受控模式有兩種，基于端口和基于MAC802.1x設(shè)備端Hub客戶端A客戶端B802.1x認(rèn)證方式的優(yōu)點(diǎn)三種常用的認(rèn)證方式802.1x、PPPoE和Portal認(rèn)證802.1x認(rèn)證的優(yōu)勢(shì)認(rèn)證流程和業(yè)務(wù)流程彼此分離，認(rèn)證流程在鏈路層完成，協(xié)議幀封裝開銷小對(duì)設(shè)備端的要求低，適用于運(yùn)營管理相對(duì)簡(jiǎn)單的企業(yè)網(wǎng)和校園網(wǎng)802.1x概述EAPOL協(xié)議RADIUS協(xié)議iMCUAM及iNode典型應(yīng)用目錄EAPOL協(xié)議EAP全稱是ExtensibleAuthenticationProtocol（擴(kuò)展認(rèn)證協(xié)議），在802.1x體系架構(gòu)中，用于在客戶端和設(shè)備端之間承載用戶信息EAPOL即EAPOverLAN，它定義了在局域網(wǎng)上傳遞EAP幀及控制用戶接入的標(biāo)準(zhǔn)EAP幀格式EAP幀格式如下圖所示：Code08123N0IdentifierTypeDataLength45EAPOL封裝EAPOL的封裝格式如下圖所示：802.3/EthernetProtocolVersionEthernetTypeLengthPacketBodyType0816123N0觸發(fā)802.1x認(rèn)證802.1x認(rèn)證的觸發(fā)方式有兩種客戶端主動(dòng)觸發(fā)方式設(shè)備端主動(dòng)觸發(fā)方式采用客戶端主動(dòng)觸發(fā)時(shí)，客戶端向設(shè)備端主動(dòng)發(fā)送EAPOL-Start幀EAPOL-Start幀的目的MAC為組播MAC：01-80-C2-00-00-03802.1x概述EAPOL協(xié)議RADIUS協(xié)議iMCUAM及iNode典型應(yīng)用目錄RADIUS協(xié)議概述RADIUS（RemoteAuthenticationDialInUserService）的全稱是遠(yuǎn)程撥號(hào)用戶認(rèn)證，由于其實(shí)現(xiàn)簡(jiǎn)單，可擴(kuò)展性好，成為了目前應(yīng)用最廣泛的AAA（認(rèn)證、授權(quán)和計(jì)費(fèi)）協(xié)議RADIUS工作在UDP協(xié)議之上，認(rèn)證服務(wù)器監(jiān)聽UDP1812端口，計(jì)費(fèi)服務(wù)器監(jiān)聽UDP1813端口RADIUS報(bào)文格式RADIUS報(bào)文的格式如下圖所示：Code081612N0IdentifierLengthAuthenticatorAttribute……2432345Attribute字段Attribute字段構(gòu)成RADIUS報(bào)文的核心，它由類型、長(zhǎng)度、值三個(gè)子域組成類型字段即屬性編號(hào)，每個(gè)編號(hào)代表一個(gè)具體的屬性長(zhǎng)度字段標(biāo)識(shí)該屬性的總長(zhǎng)度值字段用于填充具體的數(shù)據(jù)Type0816LengthValueN公有屬性和私有屬性RADIUS屬性可分為標(biāo)準(zhǔn)屬性和擴(kuò)展屬性，編號(hào)為26號(hào)的屬性供廠商自行擴(kuò)展Type0816LengthVendor-IDVendor-TypeVendor-LengthAttribute-Specific……12N034EAP中繼和EAP終結(jié)設(shè)備端對(duì)于EAP幀的處理可分為EAP終結(jié)和EAP中繼兩種方式EAP終結(jié)是指設(shè)備端解析EAP幀，將其中內(nèi)容映射到對(duì)應(yīng)的RADIUS屬性中發(fā)送給服務(wù)器EAP中繼是指設(shè)備端對(duì)EAP幀不做解析，而是將整個(gè)EAP幀直接填充到RADIUS報(bào)文的標(biāo)準(zhǔn)屬性中透?jìng)鹘o服務(wù)器，這種封裝方式也稱為EAPOR（EAPOverRADIUS）EAP中繼方式依賴于兩個(gè)標(biāo)準(zhǔn)屬性：EAP-Message(79)和Message-Authenticator(80)RADIUS報(bào)文校驗(yàn)Authenticator字段的兩個(gè)作用校驗(yàn)RADIUS報(bào)文的完整性在PAP認(rèn)證方式下參與密碼加密的處理EAP終結(jié)方式下的認(rèn)證流程CHAP/PAP認(rèn)證方式流程圖EAPOL-StartEAP-Request/IdentityEAP-Response/IdentityAccess-RequestEAP-Request/MD5-ChallengeEAP-Response/MD5-PasswordAccess-SuccessAccounting-Request(start)Accounting-ResponseEAP-Success設(shè)備端RADIUS服務(wù)器客戶端EAP中繼方式下的認(rèn)證流程EAP-MD5認(rèn)證方式流程圖EAPOL-StartEAP-Request/IdentityEAP-Response/IdentityAccess-RequestEAP-Request/MD5-ChallengeEAP-Response/MD5-PasswordAccess-ChallengeAccess-RequestAccess-AcceptEAP-Success設(shè)備端RADIUS服務(wù)器客戶端Accounting-Request(start)Accounting-Response維持在線和下線流程認(rèn)證成功后，針對(duì)可能出現(xiàn)的異常，需要有一種機(jī)制確保設(shè)備端和服務(wù)器能夠及時(shí)感應(yīng)EAP-Logoff設(shè)備端RADIUS服務(wù)器客戶端Accounting-Request(update)Accounting-ResponseEAP-Request/IdentityEAP-Response/IdentityEAP-Success…………Accounting-Request(stop)Accounting-ResponseEAP-Failure維持用戶在線[Switch]radiusschemetest[Switch-radius-test]timerresponse-timeout3[Switch-radius-test]retry3[Switch-radius-test]timerrealtime-accounting12[Switch-radius-test]retryrealtime-accounting5[Switch]dot1xtimerhandshake-period15[Switch]dot1xretry2服務(wù)器配置在線用戶老化時(shí)間間隔設(shè)備端配置計(jì)費(fèi)更新報(bào)文的相關(guān)參數(shù)設(shè)備端配置EAP握手的相關(guān)參數(shù)802.1x概述EAPOL協(xié)議RADIUS協(xié)議iMCUAM及iNode典型應(yīng)用目錄UAM的服務(wù) iMCUAM以“服務(wù)”的形式提供一組控制用戶接入的策略集合服務(wù)中除了包含靈活的認(rèn)證、授權(quán)、計(jì)費(fèi)策略之外，還可以包含認(rèn)證綁定、客戶端配置、接入?yún)^(qū)域、接入時(shí)段、終端安全等策略一個(gè)接入用戶能夠同時(shí)申請(qǐng)（關(guān)聯(lián)）多個(gè)服務(wù)，一個(gè)服務(wù)也可以同時(shí)被多個(gè)用戶所申請(qǐng)服務(wù)后綴客戶端配置認(rèn)證時(shí)攜帶的域名標(biāo)識(shí)[Switch]radiusschemetest[Switch-radius-test]user-name-format{with-domain|without-domain}[Switch]domainoffice[Switch-isp-office]radius-schemetest[Switch]domaindefaultenableoffice設(shè)備端配置對(duì)域名標(biāo)識(shí)的處理方式服務(wù)器端配置服務(wù)名稱和服務(wù)后綴EAP終結(jié)方式下的域名標(biāo)識(shí)處理流程圖域名標(biāo)識(shí)處理流程圖查找缺省域是否攜帶了域名標(biāo)識(shí)設(shè)備端收到客戶端認(rèn)證請(qǐng)求查找指定域關(guān)聯(lián)認(rèn)證方案服務(wù)器查找指定服務(wù)后綴的服務(wù)是否在用戶名屬性中攜帶域名標(biāo)識(shí)服務(wù)器查找服務(wù)后綴為空的服務(wù)是否是否動(dòng)態(tài)VLAN下發(fā)服務(wù)器通過接入響應(yīng)報(bào)文中攜帶的標(biāo)準(zhǔn)屬性向設(shè)備授權(quán)，動(dòng)態(tài)配置接入端口的VLAN屬性動(dòng)態(tài)VLAN下發(fā)用到三個(gè)標(biāo)準(zhǔn)屬性Tunnel-Type(64)用于標(biāo)識(shí)該授權(quán)信息的類型Tunnel-Medium-Type(65)用于標(biāo)識(shí)授權(quán)信息對(duì)應(yīng)的介質(zhì)Tunnel-Private-Group-ID(81)用于標(biāo)識(shí)授權(quán)的VLAN號(hào) 基于用戶的限速服務(wù)器通過接入響應(yīng)報(bào)文中攜帶的標(biāo)準(zhǔn)或私有屬性向設(shè)備授權(quán)，實(shí)現(xiàn)基于用戶的速率限制下發(fā)訪問控制列表服務(wù)器通過接入響應(yīng)報(bào)文中攜帶的標(biāo)準(zhǔn)屬性向設(shè)備授權(quán)，實(shí)現(xiàn)基于用戶的訪問控制接入時(shí)段和會(huì)話時(shí)長(zhǎng)控制服務(wù)器通過接入響應(yīng)報(bào)文或計(jì)費(fèi)響應(yīng)報(bào)文中攜帶的標(biāo)準(zhǔn)屬性向設(shè)備授權(quán)，限制用戶的接入時(shí)長(zhǎng)，繼而實(shí)現(xiàn)接入時(shí)段的控制接入綁定服務(wù)器通過識(shí)別接入請(qǐng)求報(bào)文中的標(biāo)準(zhǔn)或私有屬性所攜帶的客戶端信息，匹配預(yù)先配置的接入綁定規(guī)則，實(shí)現(xiàn)更加精細(xì)化的用戶接入控制設(shè)備無關(guān)特性和策略服務(wù)器通過在服務(wù)器和客戶端之間建立私有通訊機(jī)制，不依賴于設(shè)備端實(shí)現(xiàn)私有應(yīng)用的特性稱為設(shè)備無關(guān)特性設(shè)備端RADIUS服務(wù)器策略服務(wù)器客戶端RADIU