8021X協(xié)議培訓膠片.ppt

1、寬帶技術(shù)支持部，802.1X協(xié)議培訓課程，我們今天的目標，初步了解和理解802.1X協(xié)議的背景，并了解802.1X協(xié)議的具體特點。它是干什么用的？有什么樣的系統(tǒng)？采用什么樣的認證程序？對設備有什么特殊要求？它適合在什么范圍內(nèi)使用？最后，我們需要了解EAPOL議定書的具體內(nèi)容。我們今天要談什么？802.1X是從哪里來的？802.1X用于什么？802.1x認證系統(tǒng)的結(jié)構(gòu)802.1x認證過程802.1X認證端口EAPOL協(xié)議介紹，展望目標，我們想了解的是，802.1X這個東西是從哪里來的？802.1X是干什么用的？802.1x認證系統(tǒng)的結(jié)構(gòu)，802.1X的認證過程，802.1X協(xié)議的認證端口，EAP

2、OL協(xié)議的引入，802.1X從何而來？802.1x協(xié)議源于802.11協(xié)議，這是一種標準的無線局域網(wǎng)協(xié)議。802.1x協(xié)議的主要目的是解決無線局域網(wǎng)用戶的接入認證問題。現(xiàn)在它已經(jīng)被應用于一般的有線局域網(wǎng)接入(微軟視窗操作系統(tǒng)、思科、北電、港灣等廠商的設備已經(jīng)開始支持802.1X協(xié)議)。802.1X是從哪里來的？在802.1x出現(xiàn)之前，沒有辦法將企業(yè)網(wǎng)絡上的有線局域網(wǎng)應用直接控制到端口。沒有必要控制端口。然而，隨著無線局域網(wǎng)的應用和電信網(wǎng)絡局域網(wǎng)接入的大規(guī)模發(fā)展，有必要通過控制端口來實現(xiàn)用戶級的接入控制。802.1x是由IEEE定義的標準，用于解決基于端口的訪問控制。我們要學什么？802.1X是

3、干什么的？802.1x認證系統(tǒng)的結(jié)構(gòu)，802.1X的認證過程，802.1X協(xié)議的認證端口，EAPOL協(xié)議的引入，802.1X從何而來？802.1X這東西是干什么用的？首先，802.1X是一種認證協(xié)議，是一種對用戶進行認證的方法和策略。802.1X是基于端口的身份驗證策略(這里的端口可以是真實的物理端口，也可以是邏輯端口，就像VLAN一樣，“端口”是無線局域網(wǎng)的通道)。802.1X身份驗證的最終目的是確定端口是否可用。對于端口，如果認證成功，則“打開”端口并允許所有消息通過；如果身份驗證不成功，此端口將保持“關(guān)閉”，并且只允許802.1X身份驗證消息eapol(局域網(wǎng)上的可擴展身份驗證協(xié)議)通過

4、。我們將學習什么，s，802.1x用于什么？802.1x認證系統(tǒng)的結(jié)構(gòu)，802.1X的認證過程，802.1X協(xié)議的認證端口，EAPOL協(xié)議的引入，802.1X從何而來？802.1X認證系統(tǒng)的結(jié)構(gòu)，PAE:在認證機制中負責處理算法和協(xié)議的實體。Eap:可擴展認證協(xié)議，802.1X認證系統(tǒng)的結(jié)構(gòu)，分為三個部分：請求者系統(tǒng)、客戶端(個人電腦/網(wǎng)絡設備)、認證者系統(tǒng)和認證系統(tǒng)。認證服務器系統(tǒng)、認證服務器、802.1X認證系統(tǒng)的結(jié)構(gòu)、請求者系統(tǒng)、客戶端(個人計算機/網(wǎng)絡設備)、請求者系統(tǒng)客戶端(客戶端)是需要接入局域網(wǎng)并享受交換機提供的服務的設備(如個人計算機)?？蛻舳诵枰С諩APOL協(xié)議，必須運行8

5、02.1X客戶端軟件，如：802.1X-抱怨、微軟Windows XP、802.1X認證架構(gòu)、win98下提供的客戶端、winXP下提供的客戶端、802.1 X認證架構(gòu)。認證器系統(tǒng)，認證器系統(tǒng)交換機(邊緣交換機或無線接入設備)是根據(jù)客戶的認證狀態(tài)控制物理接入的設備，交換機充當客戶和認證服務器之間的代理。交換機和客戶端之間的通信是通過EAPOL協(xié)議進行的，交換機和認證服務器之間的通信是通過EAPoRadius或EAP在其他高層協(xié)議上進行的，從而通過復雜的網(wǎng)絡到達認證服務器(EAP中繼)。交換機要求客戶端提供身份，接收到身份后，以Radius格式攜帶EAP消息，然后發(fā)送給認證服務器，并返回身份；交

6、換機根據(jù)認證結(jié)果控制端口是否可用；應該指出的是，我們的802.1x協(xié)議在設備中終止，并轉(zhuǎn)換成標準的RADIUS協(xié)議消息。加密算法采用PPP CHAP認證算法，所有支持PPP CHAP認證算法的認證和計費服務器都可以與我們成功對接。802.1X認證系統(tǒng)的結(jié)構(gòu)，認證服務器系統(tǒng)，認證服務器，它實際上認證客戶，認證服務器驗證客戶的身份。通知swtich是否允許客戶端訪問局域網(wǎng)和交換機提供的服務。認證服務器接受認證者發(fā)送的認證請求，并在認證完成后將認證結(jié)果發(fā)送給認證者，從而完成端口管理。因為EAP協(xié)議是靈活的，除了由IEEE 802.1x定義的端口狀態(tài)之外，認證服務器實際上可以用于認證和分發(fā)更多與用戶相

7、關(guān)的信息，例如VLAN、QOS、加密的認證密鑰、DHCP響應等。我們要學什么，s，802.1x？802.1x認證系統(tǒng)的結(jié)構(gòu)，802.1X的認證過程，802.1X協(xié)議的認證端口，EAPOL協(xié)議的引入，802.1X從何而來？802.1X認證過程、認證前后的端口狀態(tài)。在802.1X身份驗證中，端口狀態(tài)決定客戶端是否可以訪問網(wǎng)絡。啟用802.1X身份驗證時，端口的初始狀態(tài)通常是未經(jīng)授權(quán)的。在這種狀態(tài)下，除了802.1x消息和廣播消息之外，不允許任何業(yè)務輸入和輸出通信。當客戶端通過身份驗證時，端口狀態(tài)切換到授權(quán)狀態(tài)，允許客戶端通過端口正常通信。802.1X認證過程，在認證通過之前，信道的狀態(tài)為未授權(quán)，此

8、時只能通過EAPOL的802.1X認證消息；當認證通過時，信道的狀態(tài)被切換到授權(quán)。此時，用戶信息，如VLAN、汽車參數(shù)、優(yōu)先級、用戶訪問控制列表等。可以從遠程認證服務器傳輸；認證通過后，用戶的流量將由上述參數(shù)監(jiān)控。此時，該通道可以傳遞任何消息。只有通過身份驗證后，才注意DHCP過程。基本認證過程：802.1X認證過程，認證通過后保留：認證端的認證者可以定期請求客戶端重新認證，時間可以設置。重新認證過程對用戶是透明的(應該是用戶不需要重新輸入密碼)。離線模式：物理端口關(guān)閉；重新身份驗證失敗或超時；客戶端啟動EAP _注銷框架；網(wǎng)絡管理控制導致離線；在802.1X認證過程中，當前交換機端口有三種認

9、證方式：強制授權(quán)：端口始終保持授權(quán)狀態(tài)，交換機的認證方不主動發(fā)起認證；強制未授權(quán)：端口總是保持未授權(quán)狀態(tài)，忽略所有客戶端發(fā)起的身份驗證請求；自動：激活802.1X，將端口設置為未授權(quán)狀態(tài)，并通知設備管理模塊要求端口認證控制，使端口只允許發(fā)送和接收EAPOL報文。當發(fā)生“啟動”事件或收到“EAPOL啟動”消息時，身份驗證過程開始，客戶端被請求識別，客戶端和身份驗證服務器之間的消息被中繼。通過身份驗證后，端口切換到授權(quán)狀態(tài)，在退出之前可以執(zhí)行重新身份驗證。我們要學什么？802.1X是干什么的？802.1x認證系統(tǒng)的結(jié)構(gòu)，802.1X的認證過程，802.1X協(xié)議的認證端口，EAPOL協(xié)議的引入，80

10、2.1X從何而來？802.1x協(xié)議的認證端口，受控端口：在通過認證之前，只允許認證報文、EAPOL報文和廣播報文(DHCP、ARP)通過該端口，不允許其他業(yè)務數(shù)據(jù)流通過；邏輯控制端口：多個請求者共享一個物理端口。在請求方未能通過身份驗證之前，僅允許身份驗證消息通過物理端口，不允許業(yè)務數(shù)據(jù)通過，但已通過身份驗證的其他請求方服務不受影響。802.1x協(xié)議的認證端口在使用中有以下三種情況：只有任何使用相同物理端口的用戶被認證(只有一個用戶被認證，其他用戶的認證請求在認證過程中被忽略)。通過認證后，其他用戶可以使用該物理端口訪問網(wǎng)絡服務，并分別對共享同一物理端口的多個用戶進行認證控制。限制同時使用同一

11、物理端口的用戶數(shù)量(限制媒體訪問控制地址的數(shù)量)，但不要指定媒體訪問控制地址，這樣系統(tǒng)就可以根據(jù)先來先服務的原則學習媒體訪問控制地址。系統(tǒng)將拒絕超過限制數(shù)量的請求，如果用戶退出，它可以覆蓋退出的媒體訪問控制地址。對使用不同物理端口的用戶進行VLAN認證控制，即只允許訪問指定的虛擬局域網(wǎng)，限制用戶訪問未經(jīng)授權(quán)的虛擬局域網(wǎng)；用戶可以通過受控端口訪問指定的VLAN，同一用戶可以通過不同的端口訪問同一VLAN。我們要學什么？802.1X是干什么的？802.1x認證系統(tǒng)的結(jié)構(gòu)，802.1X的認證過程，802.1X協(xié)議的認證端口，EAPOL協(xié)議的引入，802.1X從何而來？802.1x定義了基于端口的網(wǎng)絡

12、訪問控制協(xié)議，應當注意，該協(xié)議僅適用于接入設備和接入端口之間的點對點連接。為了在點對點鏈路上建立通信，PPP鏈路的每一端都必須發(fā)送LCP數(shù)據(jù)包，以便在鏈路建立階段配置數(shù)據(jù)鏈路。鏈路建立后，PPP在進入網(wǎng)絡層協(xié)議之前提供了一個可選的身份驗證階段。而EAPOL是一個可擴展的PPP認證協(xié)議。以下是典型PPP協(xié)議的幀格式：標志、地址、控制、協(xié)議、信息。當PPP幀中的協(xié)議字段指示協(xié)議類型為C227(PPP EAP)時，只有PPP EAP數(shù)據(jù)包被封裝在PPP數(shù)據(jù)鏈路層幀的信息字段中，這表明將應用PPP的擴展認證協(xié)議EAP。此時，用EAP消息封裝的信息域?qū)⒊袚乱淮紊矸蒡炞C的所有任務，下一次EAP身份驗證將

13、通過它來執(zhí)行。典型的EAP認證過程分為請求、響應、成功或失敗階段，每個階段的消息傳輸由信息域中攜帶的EAP消息承擔。EAP報文的格式為：代碼、標識符、長度、數(shù)據(jù)、eapol協(xié)議介紹、代碼、標識符、長度、數(shù)據(jù)，代碼字段為一個字節(jié)，表示EAP數(shù)據(jù)包的類型。EAP代碼的值指定和含義如下：代碼1請求代碼2響應代碼3成功代碼4失敗，標識符字段是一個字節(jié)，每個請求應該有一個對應的響應。這種標識符字段建立了與相同對應相匹配的標識符。EAPOL協(xié)議介紹，代碼、標識符、長度、數(shù)據(jù)和長度字段是兩個字節(jié)，表示EAP包的長度，包括代碼、標識符、長度和數(shù)據(jù)。長度字段以外的字節(jié)應被視為數(shù)據(jù)鏈路層的填充，在接收時應被忽略。

14、數(shù)據(jù)字段為0或更多字節(jié)，數(shù)據(jù)字段的格式由代碼的值決定。EAPOL協(xié)議的介紹，分別介紹了當代碼不同時消息格式和各個域的定義。，當代碼字段為1或2時，它是EAP請求和響應消息，消息的格式為：代碼、標識符、長度、類型、類型數(shù)據(jù)，當代碼為1時，它是請求消息，當代碼為2時，它是響應消息。標識符字段是一個字節(jié)。等待響應時根據(jù)超時重新傳輸?shù)恼埱蟮臉俗R符字段必須相同。任何新的(未重發(fā)的)請求都必須修改標識符字段。如果另一方收到重復的請求，并且已經(jīng)發(fā)送了對該請求的響應，則另一方必須重新發(fā)送該響應。如果另一方在發(fā)送對原始請求的響應之前收到了重復的請求(也就是說，它正在等待用戶輸入)，它必須悄悄地丟棄重復的請求。EAPOL協(xié)議簡介，字段代碼、標識符、長度、類型、類型數(shù)據(jù)和長度是兩個字節(jié)，表示EAP數(shù)據(jù)包的長度，包括代碼、標識符、長度、類型和類型數(shù)