帧中继培训-cisco网络技术(net130.com).ppt

802.1X协议培训教程 宽带技术支持部 我们今天要达到的目标 今天我们要讲什么？ 802.1X这个东东是从什么地方来的？ 802.1X这个东东是做什么用的？ 802.1X认证体系的结构 802.1X的认证过程 802.1x协议的认证端口 EAPOL协议的介绍 我们要学的内容 802.1X这个东东是从什么地方来的？ 802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入（微软的Windows XP，以及cisco，北电，港湾等厂商的设备已经开始支持802.1X协议）。 802.1X这个东东是从什么地方来的？ 在802.1x出现之前，企业网上有线LAN应用都没有直接控制到端口的方法。也不需要控制到端口。但是随着无线LAN的应用以及LAN接入在电信网上大规模开展，有必要对端口加以控制，以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制（Port-Based Access Control）而定义的一个标准。 我们要学的内容 802.1X这个东东是做什么用的？ 我们要学的内容 802.1X认证体系的结构 802.1X认证体系的结构 802.1X认证体系的结构 802.1X认证体系的结构 802.1X认证体系的结构 802.1X认证体系的结构 802.1X的认证过程 802.1X的认证过程 802.1X的认证过程 802.1X的认证过程 802.1X的认证过程 我们要学的内容 802.1x协议的认证端口 802.1x协议的认证端口 我们要学的内容 EAPOL协议的介绍 EAPOL协议的介绍 EAPOL协议的介绍 EAPOL协议的介绍 EAPOL协议的介绍 EAPOL协议的介绍 EAPOL协议的介绍 EAPOL协议的介绍 总结 谢谢大家 分别介绍Code为不同的值的时候报文的格式和各个域的定义。 ◆当Code域为1或者2的时候，这个时候为EAP的request和response报文，报文的格式为： Code Identifier Length Type Type Data 当Code为1的时候是request报文，当Code为2的时候是response报文。 Identifier域为一个字节。在等待Response时根据timeout而重发的Request的Identifier域必须相同。任何新的（非重发的）Request必须修改Identifier域。如果对方收到了重复的Request，并且已经发送了对该Request的Response，则对方必须重发该Response。如果对方在给最初的Request发送Response之前收到重复的Request（也就是说，它在等待用户输入），它必须悄悄的丢弃重复的Request。 EAPOL协议的介绍 Code Identifier Length Type Type Data Length域为两个字节，表明EAP数据包的长度，包括Code，Identifier，Length，Type以及Type-Data等各域。超出Length域的字节应视为数据链路层填充（padding），在接收时应该被忽略掉。 Type域为一个字节,该域表明了Request或Response的类型。在EAP的Request或Response中必须出现且仅出现一个Type。通常Response中的Type域和Request中的Type域相同。但是，Response可以有个Nak类型，表明Request中的Type不能被对方接受。当对方发送Nak来响应一个Request时，它可以暗示它所希望使用并且支持的认证类型。Type Data域随Request和相对应的Response的Type的不同而不同。 Code Identifier Length Type Type Data Type域的说明如下： Type域总共分为6个值域，其中头3种Type被认为特殊情形的Type，其余的Type定义了认证的交换流量。Nak类型仅对Response数据包有效，不允许把它放在Request中发送。 Type＝1————→Identifier Type＝2————→Notification Type＝3————→Nak（Response Only） Type＝4————→MD5-Challenge Type＝5————→One-Time Password (OTP) Type＝4————→Generic Token Card 分别介绍Code为不同的值的时候报文的格式和各个域的定义。 ◆当Code域为3或者4的时候，这个时候为EAP的Success和Failure报文，报文的格式为： Code I