网络安全接入和认证.docVIP

编号：LJ/JW-JL-23（22） 教 案 第29 次 编写时间： 2012 年 5 月 7 日 章 节8.2 网络安全接入与认证审 批 签 字 年 月 日授课时数2授课方法讲授、演示教 具多媒体 教学目的 让学生对802.1x协议及工作机制有个简单认识，并初步掌握IP地址设置与防盗用。教学重点 和 难 点难点：基于RADIUS的认证。 重点：IP地址设置与防盗用。教 学 过 程一、复习上节课程 二、新课内容 8.2.1 802.1x协议及工作机制 8.2.2 基于RADIUS的认证 8.2.3 基于802.1x的认证 8.2.4 IP地址设置与防盗用 三、总结 四、布置作业欢迎交流 HYPERLINK / / 编号：LJ/JW-JL-23（22） 教 案 主 要 教 学 内 容教法应用一、复习上节课程 二、新课内容 8.2.1 802.1x协议及工作机制 802.1x协议称为基于端口的访问控制协议（Port Based Network Access Control Protocol），该协议的核心内容如下图所示。靠近用户一侧的以太网交换机上放置一个EAP（Extensible Authentication Protocol，可扩展的认证协议）代理，用户PC机运行EAPoE（EAP over Ethernet）的客户端软件与交换机通信。 802.1x协议包括三个重要部分： 客户端请求系统（Supplicant System） 认证系统（Authenticator System） 认证服务器（Authentication Server System） 8.2.2 基于RADIUS的认证 RADIUS的工作原理 用户接入NAS，NAS向RADIUS服务器使用Access-Require数据包提交用户信息，包括用户名、口令等相关信息。其中用户口令是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播。RADIUS服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，要求进一步对用户认证，也可以对NAS进行类似的认证。如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工作，否则返回介绍 举例 演示 板书 编号：LJ/JW-JL-23（22） 教 案 主 要 教 学 内 容教法应用Access-Reject数据包，拒绝用户访问。如果允许访问，NAS向RADIUS服务??提出计费请求Account-Require，RADIUS服务器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相关操作。 8.2.3 基于802.1x的认证 （1）用户开始上网时，启动802.1x客户端软件。该软件查询网络上能处理EAPoE数据包的交换机。当支持802.1x协议的交换机接收到EAPoE数据包时，就会向请求者发送响应的包，要求用户输入登录用户名及口令。 （2）客户端收到交换机的响应后，提供身份标识给认证服务器。由于此时客户端还未经过验证，因此认证流只能从交换机未受控逻辑端口经过。交换机通过EAP协议将认证流转发到AAA服务器，进行认证。 （3）如果认证通过，则认证系统的交换机的受控逻辑端口打开。 （4）客户端软件发起DHCP请求，经认证交换机转发到DHCP Server。 （5）DHCP Server为用户分配IP地址。 介绍 举例 演示  编号：LJ/JW-JL-23（22） 教 案 主 要 教 学 内 容教法应用8.2.4 IP地址设置与防盗用 1. IP地址自动设置 2. 使用ARP命令 3. 使用802.1x的安全接入防止IP盗用 三、总结 四、布置作业 P222 2介绍 举例 演示