銳捷协议分析.docVIP

锐捷802.1x客户端认证协议分析方法 作者：soar 2005-12-31 0:12:19 ? 工具：Sniffer Pro 4.7 相关内容IEEE802.1x（Port-Based Network Access Control）是一个基于端口的网络接入控制标准，为LAN接入提供点对点式的安全接入。这是IEEE标准委员会针对以太网的安全缺陷而专门制定的标准，能够在利用IEEE 802 LAN的优势基础上，提供一种对连接到局域网设备或用户进行认证的手段。IEEE 802.1x标准定义了一种基于“客户端——服务器”（Client-Server）模式实现了限制未认证用户对网络的访问。客户端要访问网络必须先通过认证服务器的认证。 在客户端通过认证之前，只有EAPOL报文（Extensible Authentication Protocol over LAN）可以在网络上通行。在认证成功之后，通常的数据流便可在网络上通行。认证的发起及认证过程中的报文交互恳请者和认证者之间通过EAPOL协议交换信息，而认证者和认证服务器通过RADIUS协议交换信息，通过这种转换完成认证过程。EAPOL协议封装于MAC层之上，类型号为0x888E。同时，标准为该协议申请了一个组播MAC地址01-80-C2-00-00-03，用于初始认证过程中的报文传递。下图是一次典型的认证过程中，三个角色设备的报文交互过程 锐捷网络产品特有的功能 ?? 为了方便宽带运营商及其他特殊场合的用途，锐捷对802.1x的功能在标准的基础上进行了扩展（该扩展是完全基于标准之上，没有任何的与IEEE 802.1x不兼容） IP授权模式 ????锐捷网络实现的802.1x，可以强制要求已认证的用户使用固定的IP。管理员通过配置IP授权模式来限定用户获得IP地址的方式。IP授权模式有三种：DISABLE模式、DHCP SERVER模式、RADIUS SERVER模式。下面分别介绍这三种工作模式的特性：DISABLE模式（默认）：在该模式下，交换机不对用户的IP做限制，用户只需认证通过便可以使用网络。DHCP SERVER模式：用户的IP通过指定的DHCP SERVER获得，只有指定的DHCP SERVER分配的IP才是合法的IP。RADIUS SERVER模式：用户的IP通过RADIUS SERVER指定。用户只能用RADIUS SERVER指定的IP访问网络。 三种模式下的应用模型： DISABLE模式：适合不对用户限定IP的场合。用户只需通过认证便可以访问网络。 DHCP SERVER模式：用户PC通过DHCP获得IP地址，管理员通过配置交换机的DHCP RELAY来限定用户访问的DHCP SERVER，这样，只有指定的DHCP SERVER分配的IP才是合法的。 RADIUS SERVER模式：用户PC使用固定的IP，RADIUS SERVER配置了用户—IP的对应关系，并通过RADIUS 的Framed-IP-Address属性告知交换机，用户只能用该IP才能访问网络。 发布广告信息 锐捷网络实现的802.1x，可以在Radius Server端配置Reply-Message字段，当认证成功后，该字段的信息可以在锐捷网络推出的802.1x客户端Star-Supplicant上显示出来，便于运营商发布一些信息。 该消息只有在用户第一次认证时显示，重认证时，不会显示，这样就避免了对用户的频繁打扰。 广告信息的显示窗口支持html，会自动把消息中的http://XXX.XXX.XX转换成可直接跳转的连接，便于用户查看详细的信息。 广告信息的发布：1、运行商在Radius Server端，配置Reply Message属性的内容2、只有1锐捷的客户端Star-才支持（对本公司交换机的用户免费），其它的客户端supplicant看不到信息但不影响使用 、在交换机端无需设置 某端口下的可认证主机列表 ????为了增强802.1x的安全性，锐捷在不影响IEEE 802.1x的基础上进行了扩展，网管可以限定某个端口的认证的主机列表。如果一个端口下的可认证主机列表为空，则任何用户均可认证；若可认证主机列表不为空，那么只有列表中的主机允许认证。允许认证的主机用MAC标识。 授权 ????为了方便运营商，我们的产品可以对不同类型的用户提供不同质量的服务，如：提供给用户的最大带宽不同。而这些信息集中于Radius Server上，管理员不必对每台交换机进行配置。 由于Radius没有标准的属性来表示最大数据率。锐捷只能通过厂商自定义属性来传递授权信息。我们定义的通用格式如下：0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4