8021X協(xié)議培訓(xùn)膠片.ppt

1、寬帶技術(shù)支持部，802.1X協(xié)議培訓(xùn)課程，我們今天的目標(biāo)，初步了解和理解802.1X協(xié)議的背景，并了解802.1X協(xié)議的具體特點(diǎn)。它是干什么用的？有什么樣的系統(tǒng)？采用什么樣的認(rèn)證程序？對設(shè)備有什么特殊要求？它適合在什么范圍內(nèi)使用？最后，我們需要了解EAPOL議定書的具體內(nèi)容。我們今天要談什么？802.1X是從哪里來的？802.1X用于什么？802.1x認(rèn)證系統(tǒng)的結(jié)構(gòu)802.1x認(rèn)證過程802.1X認(rèn)證端口EAPOL協(xié)議介紹，展望目標(biāo)，我們想了解的是，802.1X這個(gè)東西是從哪里來的？802.1X是干什么用的？802.1x認(rèn)證系統(tǒng)的結(jié)構(gòu)，802.1X的認(rèn)證過程，802.1X協(xié)議的認(rèn)證端口，EAP

2、OL協(xié)議的引入，802.1X從何而來？802.1x協(xié)議源于802.11協(xié)議，這是一種標(biāo)準(zhǔn)的無線局域網(wǎng)協(xié)議。802.1x協(xié)議的主要目的是解決無線局域網(wǎng)用戶的接入認(rèn)證問題?，F(xiàn)在它已經(jīng)被應(yīng)用于一般的有線局域網(wǎng)接入(微軟視窗操作系統(tǒng)、思科、北電、港灣等廠商的設(shè)備已經(jīng)開始支持802.1X協(xié)議)。802.1X是從哪里來的？在802.1x出現(xiàn)之前，沒有辦法將企業(yè)網(wǎng)絡(luò)上的有線局域網(wǎng)應(yīng)用直接控制到端口。沒有必要控制端口。然而，隨著無線局域網(wǎng)的應(yīng)用和電信網(wǎng)絡(luò)局域網(wǎng)接入的大規(guī)模發(fā)展，有必要通過控制端口來實(shí)現(xiàn)用戶級的接入控制。802.1x是由IEEE定義的標(biāo)準(zhǔn)，用于解決基于端口的訪問控制。我們要學(xué)什么？802.1X是

3、干什么的？802.1x認(rèn)證系統(tǒng)的結(jié)構(gòu)，802.1X的認(rèn)證過程，802.1X協(xié)議的認(rèn)證端口，EAPOL協(xié)議的引入，802.1X從何而來？802.1X這東西是干什么用的？首先，802.1X是一種認(rèn)證協(xié)議，是一種對用戶進(jìn)行認(rèn)證的方法和策略。802.1X是基于端口的身份驗(yàn)證策略(這里的端口可以是真實(shí)的物理端口，也可以是邏輯端口，就像VLAN一樣，“端口”是無線局域網(wǎng)的通道)。802.1X身份驗(yàn)證的最終目的是確定端口是否可用。對于端口，如果認(rèn)證成功，則“打開”端口并允許所有消息通過；如果身份驗(yàn)證不成功，此端口將保持“關(guān)閉”，并且只允許802.1X身份驗(yàn)證消息eapol(局域網(wǎng)上的可擴(kuò)展身份驗(yàn)證協(xié)議)通過

4、。我們將學(xué)習(xí)什么，s，802.1x用于什么？802.1x認(rèn)證系統(tǒng)的結(jié)構(gòu)，802.1X的認(rèn)證過程，802.1X協(xié)議的認(rèn)證端口，EAPOL協(xié)議的引入，802.1X從何而來？802.1X認(rèn)證系統(tǒng)的結(jié)構(gòu)，PAE:在認(rèn)證機(jī)制中負(fù)責(zé)處理算法和協(xié)議的實(shí)體。Eap:可擴(kuò)展認(rèn)證協(xié)議，802.1X認(rèn)證系統(tǒng)的結(jié)構(gòu)，分為三個(gè)部分：請求者系統(tǒng)、客戶端(個(gè)人電腦/網(wǎng)絡(luò)設(shè)備)、認(rèn)證者系統(tǒng)和認(rèn)證系統(tǒng)。認(rèn)證服務(wù)器系統(tǒng)、認(rèn)證服務(wù)器、802.1X認(rèn)證系統(tǒng)的結(jié)構(gòu)、請求者系統(tǒng)、客戶端(個(gè)人計(jì)算機(jī)/網(wǎng)絡(luò)設(shè)備)、請求者系統(tǒng)客戶端(客戶端)是需要接入局域網(wǎng)并享受交換機(jī)提供的服務(wù)的設(shè)備(如個(gè)人計(jì)算機(jī))?？蛻舳诵枰С諩APOL協(xié)議，必須運(yùn)行8

5、02.1X客戶端軟件，如：802.1X-抱怨、微軟Windows XP、802.1X認(rèn)證架構(gòu)、win98下提供的客戶端、winXP下提供的客戶端、802.1 X認(rèn)證架構(gòu)。認(rèn)證器系統(tǒng)，認(rèn)證器系統(tǒng)交換機(jī)(邊緣交換機(jī)或無線接入設(shè)備)是根據(jù)客戶的認(rèn)證狀態(tài)控制物理接入的設(shè)備，交換機(jī)充當(dāng)客戶和認(rèn)證服務(wù)器之間的代理。交換機(jī)和客戶端之間的通信是通過EAPOL協(xié)議進(jìn)行的，交換機(jī)和認(rèn)證服務(wù)器之間的通信是通過EAPoRadius或EAP在其他高層協(xié)議上進(jìn)行的，從而通過復(fù)雜的網(wǎng)絡(luò)到達(dá)認(rèn)證服務(wù)器(EAP中繼)。交換機(jī)要求客戶端提供身份，接收到身份后，以Radius格式攜帶EAP消息，然后發(fā)送給認(rèn)證服務(wù)器，并返回身份；交

6、換機(jī)根據(jù)認(rèn)證結(jié)果控制端口是否可用；應(yīng)該指出的是，我們的802.1x協(xié)議在設(shè)備中終止，并轉(zhuǎn)換成標(biāo)準(zhǔn)的RADIUS協(xié)議消息。加密算法采用PPP CHAP認(rèn)證算法，所有支持PPP CHAP認(rèn)證算法的認(rèn)證和計(jì)費(fèi)服務(wù)器都可以與我們成功對接。802.1X認(rèn)證系統(tǒng)的結(jié)構(gòu)，認(rèn)證服務(wù)器系統(tǒng)，認(rèn)證服務(wù)器，它實(shí)際上認(rèn)證客戶，認(rèn)證服務(wù)器驗(yàn)證客戶的身份。通知swtich是否允許客戶端訪問局域網(wǎng)和交換機(jī)提供的服務(wù)。認(rèn)證服務(wù)器接受認(rèn)證者發(fā)送的認(rèn)證請求，并在認(rèn)證完成后將認(rèn)證結(jié)果發(fā)送給認(rèn)證者，從而完成端口管理。因?yàn)镋AP協(xié)議是靈活的，除了由IEEE 802.1x定義的端口狀態(tài)之外，認(rèn)證服務(wù)器實(shí)際上可以用于認(rèn)證和分發(fā)更多與用戶相

7、關(guān)的信息，例如VLAN、QOS、加密的認(rèn)證密鑰、DHCP響應(yīng)等。我們要學(xué)什么，s，802.1x？802.1x認(rèn)證系統(tǒng)的結(jié)構(gòu)，802.1X的認(rèn)證過程，802.1X協(xié)議的認(rèn)證端口，EAPOL協(xié)議的引入，802.1X從何而來？802.1X認(rèn)證過程、認(rèn)證前后的端口狀態(tài)。在802.1X身份驗(yàn)證中，端口狀態(tài)決定客戶端是否可以訪問網(wǎng)絡(luò)。啟用802.1X身份驗(yàn)證時(shí)，端口的初始狀態(tài)通常是未經(jīng)授權(quán)的。在這種狀態(tài)下，除了802.1x消息和廣播消息之外，不允許任何業(yè)務(wù)輸入和輸出通信。當(dāng)客戶端通過身份驗(yàn)證時(shí)，端口狀態(tài)切換到授權(quán)狀態(tài)，允許客戶端通過端口正常通信。802.1X認(rèn)證過程，在認(rèn)證通過之前，信道的狀態(tài)為未授權(quán)，此

8、時(shí)只能通過EAPOL的802.1X認(rèn)證消息；當(dāng)認(rèn)證通過時(shí)，信道的狀態(tài)被切換到授權(quán)。此時(shí)，用戶信息，如VLAN、汽車參數(shù)、優(yōu)先級、用戶訪問控制列表等?？梢詮倪h(yuǎn)程認(rèn)證服務(wù)器傳輸；認(rèn)證通過后，用戶的流量將由上述參數(shù)監(jiān)控。此時(shí)，該通道可以傳遞任何消息。只有通過身份驗(yàn)證后，才注意DHCP過程?；菊J(rèn)證過程：802.1X認(rèn)證過程，認(rèn)證通過后保留：認(rèn)證端的認(rèn)證者可以定期請求客戶端重新認(rèn)證，時(shí)間可以設(shè)置。重新認(rèn)證過程對用戶是透明的(應(yīng)該是用戶不需要重新輸入密碼)。離線模式：物理端口關(guān)閉；重新身份驗(yàn)證失敗或超時(shí)；客戶端啟動EAP _注銷框架；網(wǎng)絡(luò)管理控制導(dǎo)致離線；在802.1X認(rèn)證過程中，當(dāng)前交換機(jī)端口有三種認(rèn)

9、證方式：強(qiáng)制授權(quán)：端口始終保持授權(quán)狀態(tài)，交換機(jī)的認(rèn)證方不主動發(fā)起認(rèn)證；強(qiáng)制未授權(quán)：端口總是保持未授權(quán)狀態(tài)，忽略所有客戶端發(fā)起的身份驗(yàn)證請求；自動：激活802.1X，將端口設(shè)置為未授權(quán)狀態(tài)，并通知設(shè)備管理模塊要求端口認(rèn)證控制，使端口只允許發(fā)送和接收EAPOL報(bào)文。當(dāng)發(fā)生“啟動”事件或收到“EAPOL啟動”消息時(shí)，身份驗(yàn)證過程開始，客戶端被請求識別，客戶端和身份驗(yàn)證服務(wù)器之間的消息被中繼。通過身份驗(yàn)證后，端口切換到授權(quán)狀態(tài)，在退出之前可以執(zhí)行重新身份驗(yàn)證。我們要學(xué)什么？802.1X是干什么的？802.1x認(rèn)證系統(tǒng)的結(jié)構(gòu)，802.1X的認(rèn)證過程，802.1X協(xié)議的認(rèn)證端口，EAPOL協(xié)議的引入，80

10、2.1X從何而來？802.1x協(xié)議的認(rèn)證端口，受控端口：在通過認(rèn)證之前，只允許認(rèn)證報(bào)文、EAPOL報(bào)文和廣播報(bào)文(DHCP、ARP)通過該端口，不允許其他業(yè)務(wù)數(shù)據(jù)流通過；邏輯控制端口：多個(gè)請求者共享一個(gè)物理端口。在請求方未能通過身份驗(yàn)證之前，僅允許身份驗(yàn)證消息通過物理端口，不允許業(yè)務(wù)數(shù)據(jù)通過，但已通過身份驗(yàn)證的其他請求方服務(wù)不受影響。802.1x協(xié)議的認(rèn)證端口在使用中有以下三種情況：只有任何使用相同物理端口的用戶被認(rèn)證(只有一個(gè)用戶被認(rèn)證，其他用戶的認(rèn)證請求在認(rèn)證過程中被忽略)。通過認(rèn)證后，其他用戶可以使用該物理端口訪問網(wǎng)絡(luò)服務(wù)，并分別對共享同一物理端口的多個(gè)用戶進(jìn)行認(rèn)證控制。限制同時(shí)使用同一

11、物理端口的用戶數(shù)量(限制媒體訪問控制地址的數(shù)量)，但不要指定媒體訪問控制地址，這樣系統(tǒng)就可以根據(jù)先來先服務(wù)的原則學(xué)習(xí)媒體訪問控制地址。系統(tǒng)將拒絕超過限制數(shù)量的請求，如果用戶退出，它可以覆蓋退出的媒體訪問控制地址。對使用不同物理端口的用戶進(jìn)行VLAN認(rèn)證控制，即只允許訪問指定的虛擬局域網(wǎng)，限制用戶訪問未經(jīng)授權(quán)的虛擬局域網(wǎng)；用戶可以通過受控端口訪問指定的VLAN，同一用戶可以通過不同的端口訪問同一VLAN。我們要學(xué)什么？802.1X是干什么的？802.1x認(rèn)證系統(tǒng)的結(jié)構(gòu)，802.1X的認(rèn)證過程，802.1X協(xié)議的認(rèn)證端口，EAPOL協(xié)議的引入，802.1X從何而來？802.1x定義了基于端口的網(wǎng)絡(luò)

12、訪問控制協(xié)議，應(yīng)當(dāng)注意，該協(xié)議僅適用于接入設(shè)備和接入端口之間的點(diǎn)對點(diǎn)連接。為了在點(diǎn)對點(diǎn)鏈路上建立通信，PPP鏈路的每一端都必須發(fā)送LCP數(shù)據(jù)包，以便在鏈路建立階段配置數(shù)據(jù)鏈路。鏈路建立后，PPP在進(jìn)入網(wǎng)絡(luò)層協(xié)議之前提供了一個(gè)可選的身份驗(yàn)證階段。而EAPOL是一個(gè)可擴(kuò)展的PPP認(rèn)證協(xié)議。以下是典型PPP協(xié)議的幀格式：標(biāo)志、地址、控制、協(xié)議、信息。當(dāng)PPP幀中的協(xié)議字段指示協(xié)議類型為C227(PPP EAP)時(shí)，只有PPP EAP數(shù)據(jù)包被封裝在PPP數(shù)據(jù)鏈路層幀的信息字段中，這表明將應(yīng)用PPP的擴(kuò)展認(rèn)證協(xié)議EAP。此時(shí)，用EAP消息封裝的信息域?qū)⒊袚?dān)下一次身份驗(yàn)證的所有任務(wù)，下一次EAP身份驗(yàn)證將

13、通過它來執(zhí)行。典型的EAP認(rèn)證過程分為請求、響應(yīng)、成功或失敗階段，每個(gè)階段的消息傳輸由信息域中攜帶的EAP消息承擔(dān)。EAP報(bào)文的格式為：代碼、標(biāo)識符、長度、數(shù)據(jù)、eapol協(xié)議介紹、代碼、標(biāo)識符、長度、數(shù)據(jù)，代碼字段為一個(gè)字節(jié)，表示EAP數(shù)據(jù)包的類型。EAP代碼的值指定和含義如下：代碼1請求代碼2響應(yīng)代碼3成功代碼4失敗，標(biāo)識符字段是一個(gè)字節(jié)，每個(gè)請求應(yīng)該有一個(gè)對應(yīng)的響應(yīng)。這種標(biāo)識符字段建立了與相同對應(yīng)相匹配的標(biāo)識符。EAPOL協(xié)議介紹，代碼、標(biāo)識符、長度、數(shù)據(jù)和長度字段是兩個(gè)字節(jié)，表示EAP包的長度，包括代碼、標(biāo)識符、長度和數(shù)據(jù)。長度字段以外的字節(jié)應(yīng)被視為數(shù)據(jù)鏈路層的填充，在接收時(shí)應(yīng)被忽略。

14、數(shù)據(jù)字段為0或更多字節(jié)，數(shù)據(jù)字段的格式由代碼的值決定。EAPOL協(xié)議的介紹，分別介紹了當(dāng)代碼不同時(shí)消息格式和各個(gè)域的定義。，當(dāng)代碼字段為1或2時(shí)，它是EAP請求和響應(yīng)消息，消息的格式為：代碼、標(biāo)識符、長度、類型、類型數(shù)據(jù)，當(dāng)代碼為1時(shí)，它是請求消息，當(dāng)代碼為2時(shí)，它是響應(yīng)消息。標(biāo)識符字段是一個(gè)字節(jié)。等待響應(yīng)時(shí)根據(jù)超時(shí)重新傳輸?shù)恼埱蟮臉?biāo)識符字段必須相同。任何新的(未重發(fā)的)請求都必須修改標(biāo)識符字段。如果另一方收到重復(fù)的請求，并且已經(jīng)發(fā)送了對該請求的響應(yīng)，則另一方必須重新發(fā)送該響應(yīng)。如果另一方在發(fā)送對原始請求的響應(yīng)之前收到了重復(fù)的請求(也就是說，它正在等待用戶輸入)，它必須悄悄地丟棄重復(fù)的請求。EAPOL協(xié)議簡介，字段代碼、標(biāo)識符、長度、類型、類型數(shù)據(jù)和長度是兩個(gè)字節(jié)，表示EAP數(shù)據(jù)包的長度，包括代碼、標(biāo)識符、長度、類型和類型數(shù)