802.1x原理及测试80.1x原理及测试802.1x原理及测试802.1x原理及测试.docVIP

802.1X原理及测试 目 录 第一章 802.1X简介 4 1.1 引言 4 1.2 802.1X认证体系 4 1.3 802.1X认证流程 5 第二章 802.1X协议介绍 7 2.1 802.1X协议的工作机制 7 2.2 协议实现内容 9 2.3 典型应用的拓扑结构 11 第三章 实验拓扑及抓包 13 3.1 TL-SL3226P实验拓扑及认证软件 13 3.2 TL-SL3226P认证过程抓包分析 14 3.3 H3C S5100认证实验 19 3.4 TL-SL3226P与H3C S5100的比较 29 第四章 802.1X功能测试 31 4.1 认证发起测试 31 4.2 退出认证测试 32 4.3 多客户端认证测试 32 4.4 端口认证方式测试 33 4.5 Guest VLAN测试 34 4.6 时间参数测试 35 802.1X简介 引言 802.1X协议起源于802.11协议，后者是IEEE的无线局域网协议，制订802.1X协议的初衷是为了解决无线局域网用户的接入认证问题。 IEEE802LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制设备(如LANS witch)，就可以访问局域网中的设备或资源。这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。 随着移动办公及驻地网运营等应用的大规模发展，服务提供者需要对用户的接入进行控制和配置。尤其是WLAN的应用和LAN接入在电信网上大规模开展，有必要对端口加以控制 以实现用户级的接入控制，802.1X就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Control)而定义的一个标准。 802.1X认证体系 802.1X是一种基于端口的认证协议，是一种对用户进行认证的方法和策略。端口可以是一个物理端口，也可以是一个逻辑端口(如VLAN)。对于无线局域网来说，一个端口就是一个信道。802.1X认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，即只允许802.1X的认证协议报文通过。 802.1X的体系结构如图1所示。它的体系结构中包括三个部分，即请求者系统、认证系统和认证服务器系统三部分： 图1 802.1X认证的体系结构 1.请求者系统 请求者是位于局域网链路一端的实体，由连接到该链路另一端的认证系统对其进行认证。请求者通常是支持802.1X认证的用户终端设备，用户通过启动客户端软件发起802.1X认证，后文的认证请求者和客户端二者表达相同含义。 2.认证系统 认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802.1X协议的网络设备，它为请求者提供服务端口，该端口可以是物理端口也可以是逻辑端口，一般在用户接入设备(如LAN Switch和AP)上实现802.1X认证。后文的认证系统、认证点和接入设备三者表达相同含义。 3.认证服务器系统 认证服务器是为认证系统提供认证服务的实体，建议使用RADIUS服务器来实现认证服务器的认证和授权功能。 请求者和认证系统之间运行802.1X定义的EAPOL (Extensible Authentication Protocol over LAN)协议。当认证系统工作于中继方式时，认证系统与认证服务器之间也运行EAP协议，EAP帧中封装认证数据，将该协议承载在其它高层次协议中(如RADIUS)，以便穿越复杂的网络到达认证服务器；当认证系统工作于终结方式时，认证系统终结EAPOL消息，并转换为其它认证协议(如 RADIUS)，传递用户认证信息给认证服务器系统。 认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双向连通状态，主要用来传递EAPOL协议帧，可随时保证接收认证请求者发出的EAPOL认证报文；受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。 802.1X认证流程 基于802.1X的认证系统在客户端和认证系统之间使用EAPOL格式封装EAP协议传送认证信息，认证系统与认证服务器之间通过RADIUS协议传送认证信息。由于EAP协议的可扩展性，基于EAP协议的认证系统可以使用多种不同的认证算法，如EAP-MD5，EAP-TLS，EAP-SIM，EAP -TTLS以及EAP-AKA等认证方法。 以EAP-MD5为例，描述802.1X的认证流程。EAP-MD5是一种单向认证机制，可以完成网络对用户的认证，但认证过程不支持加密密钥的生成。基于EAP- MD5的802.1X认证流程如图2所示，认证流程包括以下步骤： (1)客户端向接入设备发送一个EAPOL-Start报文，开始