iMCUAM产品培训导论.ppt

802.1x的起源 802.1x的起源 802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题，但由于它的原理对于所有符合IEEE 802标准的局域网具有普适性，因此后来它在有线局域网中也得到了广泛的应用。 该协议是IEEE在2001.6通过的正式标准，标准的起草者包括Microsoft，Cisco，Extreme，Nortel等。 802.1x的特点 802.1x优势较为明显，是理想的低成本运营解决方案。 802.1x架构 IEEE 802.1X 定义了基于端口的控制协议 802.1X 认证通过EAP帧承载认证信息 设备和认证服务器之间通过Radius报文交互 PAE(port access entity)认证机制中负责处理算法和协议的实体 受控端口 受控端口是802.1X系统的核心概念 Authenticator 内部有受控端口（Controlled Port）和非受控端口（Uncontrolled Port）。非受控端口始终处于双向连通状态，不必经过任何授权就可以访问或传递网络资源和服务。受控端口必须经过授权才能访问或传递网络资源和服务。 通常情况下设置端口初始状态为非授权状态，使端口仅允许EAPOL报文和广播报文收发。由EAPOL报文触发并进行认证，如果认证流程通过，则将该端口切换到授权状态。 端口受控模式 基于端口的认证 仅对使用同一物理端口的任何一个用户进行认证，认证通过后其他用户也就可以利用该物理端口访问网络服务。 基于MAC的认证 对共用同一个物理端口的多个用户分别进行认证控制。H3C公司交换机缺省设置为基于MAC的认证。 EAP协议介绍 EAP：扩展验证协议（Extensible Authentication Protocol） EAP数据包帧格式： EAPOL封装 EAPOL概念： 一种封装技术，EAP over LAN，支持客户端PAE和设备端PAE在LAN环境中进行EAP报文的交换。 目前，EAPOL有802.3/Ethernet 和Token Ring/FDDI两种封装。 802.3/以太网封装EAPOL格式 RADIUS概述 RADIUS定义 RADIUS 是Remote Authentication Dial In User Service （远程认证拨号用户服务）的简称。它是一种分布式的c/s系统，能提供AAA功能。 RADIUS基于标准RFC2865，2866协议在UDP/IP层定义了其帧格式及消息传输机制，并定义1812为认证端口，1813为计费端口。 RADIUS报文格式 RADIUS协议的报文结构 Attribute域 RADIUS报文的Attribute域 EAPOR封装 EAPOR即 EAP over RADIUS 是通过为RADIUS添加两个新属性EAP-Message和Message-Authenticator来实现对EAP的支持。以便EAP报文穿越复杂的网络到达认证服务器。 EAP-Message属性 EAP-Message为79号属性 设备端从客户端接收到EAP报文后，将它封装在一个或多个EAP-Message属性中，作为Access-Request的一部分转发给RADIUS服务器。RADIUS服务器可以在Access-Challenge，Access-Accept或Access-Reject报文中返回EAP-Message属性。 Guest VLAN 交换机端口下起用Guest VLAN，全局和端口起用802.1x后，该端口将被划分到Guest VLAN所指定的VLAN。用户在未通过身份认证之前以及认证失败的情况下允许访问Guest VLAN内的资源。 Portal的起源 Portal协议的起源 Portal在英语中是入口的意思。Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。 基本思想：未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。 Portal协议概述 Portal认证相对于802.1x认证的优势 支持网页方式认证，免客户端安装 部署方式灵活、快捷，适合旧网改造 Portal认证的不足之处 没有802.1x认证对客户端的控制严格 IP层的认证，对网络稳定性的要求相对更高 三层Portal与二层Portal比较 Portal协议框架 Portal协议框架 Portal Kernel：Portal Server的核心处理模块。 Portal Web：用于向Web方式认证的用户提供强制认证页面，用户浏览器通过它