华为LAN Switch 8021X组网解决方案.pptVIP

本文观看结束！！！ 本文观看结束！！！ 华为LAN Switch 802.1X 解决方案 对于简单管理的网络，现有的认证技术过于复杂，对网络认证系统设备要求较高 PPPOE－－封装方式增加了开销，流量大时形成网络瓶颈；提高处理能力则会导致增加设备成本 WEB/PORTAL－－需要完整的协议栈支持；很难实时检测用户离开；认证过程操作烦琐 802.1X的背景和概念--市场需求 IEEE在2001.6正式通过IEEE 802.1X协议，标准的支持者包括Microsoft，Cisco，Extreme，Huawei等 IEEE 802.1X定义了基于端口的网络接入控制协议（Port based network access control protocol） 该协议适用于接入设备与接入端口间点到点的连接方式，实现对局域网用户接入的认证与服务管理 802.1X的认证接入基于逻辑端口 802.1X的背景和概念--802.1X的来源 802.1X协议的典型应用： IEEE 802.11定义的无线 LAN 接入方式（基于逻辑端口） LanSwitch 的一个物理端口仅连接一个 End Station（基于物理端口） 华为VRP平台的802.1X软件子系统对802.1X协议认证方式进行了扩展，支持一个物理端口下多个End Station的应用场合，多个End Station的识别具体到其源MAC地址 802.1X的背景和概念--802.1X的典型应用 802.1X的背景和概念--802.1X系统的组成 802.1X的背景和概念--802.1X的典型消息序列图 802.1X客户端 802.1X设备端 802.1X服务器 Initial EAPoL-start/DHCP Connecting Challenge Response Success EAPoL-Request/Id EAPoL-Response/ID用户名 EAPoL-Req/MD5-Challenge EAPoL-Response/MD5-Password 认证请求[ID,MD5-Challenge, MD5-Password] 认证结果[授权信息] EAPoL-Success EAPoL-Handshake 受控端口是802.1X系统的核心概念 接入控制单元（Authenticator） 内部有受控端口（Controlled Port）和非受控端口（Uncontrolled Port） 非受控端口 非受控端口不受802.1X认证的限制，用户通信数据可以畅通无阻 受控端口 只有在客户通过802.1X的认证后才切换到授权状态(authorized)，允许用户数据通过 根据不同的应用环境，受控端口可配置为双向受控、仅输入受控两种方式 华为的LANSWITCH产品可以选择开启或关闭802.1X对指定端口的控制，使该端口成为受控端口或非受控端口 802.1X的背景和概念--802.1X的受控端口（一） 端口未启动802.1X， 为非受控端口，通 信数据可以畅通无 阻。 端口启动了802.1X， 成为受控端口，客户 只有在通过802.1X认 证后才能访问网络资 源。 802.1X客户端软件（Supplicant） 根据组网情况决定哪些端口需要启动802.1X使之成为受控端口。 QuidWay S3526(Authenticator) 802.1X的背景和概念--802.1X的受控端口（二） 受控端口支持三种认证授权模式 ForceAuthorized：常开模式 端口一直维持授权状态，下挂用户无需认证过程就可访问网络资源 ForceUnauthorized：常关模式 端口一直维持非授权状态，忽略所有客户端发起的认证请求 Auto：协议控制模式 端口初始状态为非授权状态，仅允许EAPOL报文收发。802.1X认证通过后，将此端口状态切换到授权状态，用户才能访问网络资源 802.1X的背景和概念--802.1X的受控端口（三） 华为LANSWITCH中的802.1X－－端口受控方式 基于端口的控制 一旦某端口上有一位用户通过了802.1X的认证，整个端口都将被授权，允许多台主机通过此端口访问网络资源 基于MAC的控制（端口＋源MAC） 某端口人有用户通过802.1X认证时，仅授权给发起该认证的主机通过此端口访问网络资源，不允许其它主机通过此端口访问网络资源 基于VLAN的控制（端口＋VLAN ID＋源MAC） 某端口人有用户通过802.1X认证时，仅授权给发起该认证的主机通过此端口访问网络资源，并且所访问的资源被限定在特定的VLAN内 华为公司对802.1X协议的端口