九乡新闻网马蓉微博 关了:dot.1x(802.1x)原理解析!
来源:百度文库 编辑:九乡新闻网 时间:2024/04/29 11:36:29
802.1X这个东东是从什么地方来的? 802.1X这个东东是从什么地方来的? 下面是一个典型的PPP协议的帧格式
802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。
-------------------------
802.1X这个东东是做什么用的
"802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略。
"802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道)
802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。
-------------------------
802.1X这个东东是做什么用的
"802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略。
"802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道)
802.1X的认证的最终目的就是确定一个端口是否可用,对于一个端口,如果认证成功那么就“打开”这个端口允许文所有的报文通过,如果认证不成功就使这个端口保持“关闭” ,此时只允许802.1X的认证报文EAPOL( ExtensibleAuthentication
--------------------------
802.1X认证体系的结构
802.1X的认证体系分为三部分结构
◢Supplicant System ---客户端(PC/网络设备)
◢Authenticator System ---认证系统
◢Authentication Server ---System 认证服务器
--------------------------
Supplicant System— — — Client 客户端,是— 需要接入LAN ,及享受switch提供服务的设备,如PC机,客户端需要支持EAPOL协议,客户端必须运行802.1X客户端软件,如:802.1X-complain、 Microsoft Windows XP。
--------------------------
Authenticator System— — — Switch (边缘交换机或无线接入设备)是— 根据客户的认证状态控制物理接入的设备,switch在客户和认证服务器间充当代理角色proxy.switch与client间通过EAPOL协议进行通讯,switch与认证服务器间通过EAPoRadius或EAP承载在其他高层协议上,以便穿越复杂的网络到达Authentication Server.switch要求客户端提供identity, 接收到后将EAP报文承载在Radius格式的报文中,再发送到认证服务器,返回等同. switch根据认证结果控制端口是否可用.
---------------------------
Authentication server — — — (认证服务器)对客户进行实际认证认证服务器核实客户的identity ,通知swtich是否允许客户端访问LAN和交换机提供的服务Authentication Sever 接受 Authenticator 传递过来的认证需求认证完成后将认证结果下发给 Authenticator, 完成对端口的管理.由于 EAP 协议较为灵活,除了 IEEE802.1x 定义的端口状态外,Authentication Server 实际上也可以用于认证和下发更多用户相关的信息,如VLAN 、QOS 、加密认证密钥、DHCP响应等
---------------------------
802.1X的认证过程
---------------------------
基本的认证过程
1.认证通过前,通道的状态为unauthorized ,此时只能通过EAPOL的802.1X认证报文;
2.认证通过时,通道的状态切换为authorized ,此时从远端认证服务器可以传递来用户的信息,比如VLAN、 CAR参数、优先级、用户的访问控制列表等等;
3.认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等过程。
---------------------------
现在的设备switch 端口有三种认证方式
ForceAuthorized: 端口一直维持授权状态,switch的Authenticator不主动发起认证;
ForceUnauthorized 端口一直维持非授权状态,忽略所有客户端发起的认证请求;
Auto 激活802.1X 设置端口为非授权状态,同时通知设备管理模块要求进行端口认证控制,使端口仅允许EAPOL报文收发,当发生UP事件或接收到EAPOL-start报文,开始认证流程,请求客户端Identify ,并中继客户和认证服务器间的报文.认证通过后端口切换到授权状态,在退出前可以进行重认证.
----------------------------
现在在使用中有下面三种情况
" 仅对使用同一物理端口的任何一个用户进行认证(仅对一个用户进行认证,认证过程中忽略其他用户的认证请求),认证通过后其他用户也就可以利用该物理端口访问网络服务
" 对共用同一个物理端口的多个用户分别进行认证控制,限制同时使用同一个物理端口的用户数目(限制MAC地址数目)但不指定MAC地址,让系统根据先到先得原则进行MAC地址学习,系统将拒绝超过限制数目的请求,若有用户退出,则可以覆盖已退出的MAC地址.
" 对利用不同物理端口的用户进行VLAN认证控制,即只允许访问指定VLAN. 限制用户访问非授权VLAN; 用户可以利用受控端口,访问指定VLAN ,同一用户可以在不同的端口访问相同的VLAN.
-----------------------------
EAPOL协议的介绍
IEEE 802.1x定义了基于端口的网络接入控制协议,需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式. 为了在点到点链路上建立通信,在链路建立阶段PPP链路的每一端都必须首先发送LCP
数据包来对该数据链路进行配置.在链路已经建立起来后,在进入网络层协议之前,PPP提供一个可选的认证阶段.而EAPOL就是PPP的一个可扩展的认证协议.
|Flag|Address|Control|Protocol|Information|
当PPP帧中的protocol域表明协议类型为C227(PPP EAP)时,在PPP数据链路层帧的Information域中封装且仅封装PPP EAP数据包,此时表明将应用PPP的扩展认证协议EAP. 这个时候这个封装着EAP报文的information域就担负起了下一步认证的全部任务,下一步的EAP认证都将通过它来进行.
--------------------------------
一个典型的EAP认证的过程分为:request response success或者failure阶段,每一个阶段的报文传送都由Information域所携带的EAP报文来承担.EAP报文的格式为:
|Code|Identifier|Length|Data|
当Code域为1或者2的时候,这个时候为EAP的request和response报文.当Code域为3或者4的时候,这个时候为EAP的Success和Failure报文.
