用户接入管理技术课件.pptVIP

接入网技术 RADIUS （EAP） IP 网络 RADIUS服务器 用户 BAS 802.1X（EAP） WLAN 接入管理服务器 无线AP WLAN用户的802.1X接入管理实例 8.3.5 WLAN用户的接入管理 接入网技术 接入管理协议 接入认证/控制协议 接入链路协议 以太网 电话网 LAN 用户 无线 用户 无线 AP 拨号接入设备 IP 网 络 ADSL Modem 话带Modem RADIUS 服务器 用户 BAS 接入管理服务器 BRAS 以太网 交换机 拨号 用户 ADSL 用户 用户环路 基于RADIUS的用户接入管理应用实例 接入网技术 8.3.6 小结和推荐资料 本章主要介绍了 对拨号用户的PPP接入管理 对ADSL用户的PPPoE接入管理 对以太网用户的802.1X接入管理 对WLAN用户的802.1X接入管理 接入网技术 推荐资料 [1] RFC 1661: PPP Protocol. 1994-07. [2] DSL Forum TR-092: BRAS Requirements Document. 2004-08. [3] RFC 2516: PPPoE. 1999-02. [4] RFC 3748: EAP Protocol. 2004-06. [5] IEEE Std 802.1X-2004: Port-Based Network Access Control. 2004-12. [6] RFC 2865: RADIUS. 2000-06. [7] RFC 3579: RADIUS Support For EAP. 2003-09. [8] RFC 3580: IEEE 802.1X RADIUS Usage Guidelines. 2003-09. 接入网技术 PPPoE协议操作（运行）的两个阶段 两个阶段：PPPoE发现与PPP会话 发现阶段 主机广播一个PPPoE有效发现启动分组，寻找合适的PPPoE服务器 可能有多个服务器收到该消息，满足要求的服务器发送有效发现提供分组应答，否则不发应答 主机选择一个合适的接入服务器，发有效发现请求分组 接入服务器为主机分配唯一的会话标识。发现过程结束 主机 PPPoE 接入服务器 ① 广播PADI ② 单播PADO ③ 单播PADR ④ 单播PADS 接入网技术 PPPoE协议操作（运行）的两个阶段 PPP会话阶段 发现结束后，主机和PPPoE接入服务器建立点到点隧道，进入会话阶段 PPP帧封装在PPPoE帧中 而PPPoE帧封装在Ethernet帧中，通过以太网或其它接入网承载或运送 接入网技术 8.2.3 接入认证/控制协议 口令认证协议 PAP 质询认证协议 CHAP 可扩展的认证协议 EAP 基于端口的接入认证与控制协议 802.1X 接入网技术 口令认证协议PAP PAP（由RFC 1334描述） Password Authentication Protocol 口令认证协议 PAP认证过程 被认证方向认证方发认证请求信息（明文）　请求信息含“用户名、口令”　 认证方向被认证方发认证应答信息（明文）　　 Auth-Ack or Auth-Nak 　 认证请求 （Auth-Request） 认证成功/失败 （Auth-Ack / Auth-Nak） A （被认证方） B （认证方） PAP认证的问题 　明文传输认证信息容易被窃取，存在安全隐患 接入网技术 质询认证协议 CHAP CHAP Challenge Authentication Protocol 质询认证协议 由RFC 1994描述 CHAP认证的特点 认证信息采用密文传送 采用共享密钥 与PAP相比 安全性更高 认证所花时间更长 接入网技术 质询认证协议 CHAP 　 CHAP认证的交互过程 2) 响应（Response） （密文） 1) 质询（Challenge）(明文） A （被认证方） B （认证方） 3) 认证成功/失败 （Auth-Ack / Auth-Nak） 1) 由认证方向被认证方发送质询分组 质询值为随机数 ２) 由被认证方向认证方发送响应分组 将质询值通过共享密钥加密后传送到对方 ３) 由认证方向被认证方发送响应分组 认证方用共享密钥解密，正确发Ack，错误发Nak 接入网技术 可扩展认证协议 EAP EAP的含义 Extensible Authentication Protocol 可扩展的认证协议 由RFC 2284描述 并非一个具体的认证协议 是一个认证协议的封装协议 定义了一种封装的框架、格式 具体的认证协议和认证信息封装在EAP分组中，如 PAP over EAP、CHAP over EAP et