802.1x的培训v2.ppt

接入控制的功能 接入层通过各种接入技术和线路资源实现对用户的覆盖，并提供多业务的用户接入，必要时配合完成用户流量控制功能。 宽带接入，计费先行。计费问题是接入技术中最关键、最复杂的问题。 现有的宽带用户接入认证方式 用户主机与网络设备的通信方式，大致可分为PPPoE、WEB（也称Portal）和802.1x 方式 网络设备与AAA Server的通信方式主要有RADIUS、LDAP、TACACS等，但国内厂商大多采用RADIUS协议。 简洁高效：纯以太网技术内核，保持IP网络无连接特性，去除冗余昂贵的多业务网关设备，消除网络认证计费瓶颈和单点故障，易于支持多业务； 容易实现：可在普通L3、L2、IP DSLAM上实现，网络综合造价成本低。 安全可靠：在二层网络上实现用户认证，结合MAC、端口、账户和密码等绑定技术具有很高的安全性； 行业标准：IEEE标准，微软操作系统内置支持； 易于运营：控制流和业务流完全分离，易于实现多业务运营，少量改造传统包月制网络即可升级成运营级网络； 802.1x认证特点总结 Portal/Web认证方式的优缺点分析 认证计费中心 LAN VDSL ADSL 主要优点： －不需要客户端软件 －控制流和业务流无需封装 －容易支持多业务 Portal/Web 恶意攻击 控制流？？ 业务流？？ 主要问题： －认证层次过高，不合逻辑 －不区分控制流和业务流 －连接性差，不容易检测用户离线 －实现成本高 －认证效率和转发性能低 －安全性较差 －设备和Portal/web之间是私有协议 私有协议 PPPOE认证方式的优缺点分析 ATM网络 IP城域网 ADSL ADSL L3/L2 BAS DSLAM 三个优点： －相对成熟、标准化 －认证可以返回IP地址 －容易检测用户离线 －现有窄带拨号认证计费系统不用改变 主要问题： －认证和业务全部要封装成PPPOE －不易支持组播应用 －容易产生认证瓶颈 －BAS设备成本高 控制流/业务流 ICP IP DSLAM VDSL LAN PPPOE应用相对成熟 PPPOE应用有待检验 骨干 汇集 接入 L3 L3 L3 L3 L2/L3 VDSL GSR IPDSLAM 用户 LAN接入 VDSL接入 ADSL接入 802.1x认证点 认证计费中心 802.1x在网络上的实现位置 骨干 汇集 接入 L3 L3 L3 L3 L2/L3 VDSL GSR IPDSLAM 用户 LAN接入 VDSL接入 ADSL接入 802.1x认证点 二 层 透 传 认证计费中心 802.1x在网络上的实现位置 XX公司的接入认证方式 XX公司采用802.1x+RADIUS的接入认证方式 支持最通用的EAP-MD5加密方式 对802.1X协议进行了扩充，支持PAP和CHAP加密方式。 自有的异常下线检测功能，有效降低了网络流量。 802.1x协议概述 802.1x报文又称EAPOL报文，即Extensible Authentication Protocol Over LAN。 802.1x是基于端口的访问控制协议。 端口可以是物理端口，例如连接到用户的网络设备端口；也可以是逻辑端口，例如 用户设备的MAC地址。 端口分为受控端口和非受控端口。 受控端口有授权和非授权两种状态。 802.1X通过重认证机制来确保用户的正常离线。 RADIUS协议概述 RADIUS是远程拨入用户认证服务的简写。其定义了在RADIUS Client和RADIUS Server之间传输认证、授权和配置信息的协议。 RADIUS以Client/Server模式工作，实现了对远程用户的身份认证、授权和计费功能。 RADIUS Client主要用来将用户信息传递给RADIUS Server；Server则对用户进行认证，并返回用户的配置信息。 为保证传输的安全性，在Client和Server之间传送的数据均以MD5方式加密。 802.1X基本报文类型 EAP-Packet EAPOL-Start EAPOL-Logoff RADIUS基本报文类型 Access-Request Access-Accept Access-Reject Access-Challenge Accounting-Request Accounting-Response 802.1x+RADIUS模型 802.1x +RADIUS基本认证过程 802.1X中的参与者 客户端（Supplicant）——客户端指向认证系统（Authenti