介绍教程(经典教程).pptVIP

培训目的 了解802.1x基本概念及协议 了解802.1x相关功能及应用 学会802.1x基本配置 内容介绍 802.1x基本概念简介 802.1x认证方式 EAP和RADIUS协议介绍 802.1x配置实例 802.1x相关特性 测试中遇到的问题和体会 802.1x的背景 1、802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题， 　 但由于它的原理对于所有符合IEEE 802标准的局域网具有普适性，因此后来它在有线局域网中也得到了广泛的应用。 　 该协议是IEEE在2001.6通过的正式标准，标准的起草者包括Microsoft，Cisco，Extreme，Nortel等； 2、IEEE 802.1x定义了基于端口的网络接入控制协议（port based network access control），其中端口可以是物理端口，也可以是逻辑端口，对于无线局域网来说 “端口”就是一条信道。 3、802.1x认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LANs）通过。 802.1x和其它认证的比较 802.1x的核心概念 受控端口是802.1x系统的核心概念 1、 认证系统Autheticator内部有受控端口（Controlled Port）和非受控端口（Uncontrolled Port） 1）非受控端口始终处于双向连通状态，不必经过任何授权就可以访问或传递网络资源和服务；受控端口则反之，必须经过授权才能访问或传递网络资源和服务。启动802.1X的端口就是受控端口，用户通过认证获得授权。 2）受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用环境。双向受控对受控端口的输入流和输出流都进行控制，在端口未授权前，两个方向的流量都不能通过受控端口。输入受控仅对端口的输入流进行控制，不管端口是否授权，出端口流量不受限制。 3) 目前我们的交换机上的实现仅支持输入受控。 802.1x的核心概念（续） 802.1x的核心概念（续） 2、端口接入控制的模式（目前我司设备有以下三种）： Authorized-force：常开模式 端口一直维持控制模式，下挂用户无需认证过程就可访问网络资源 Auto：协议控制模式 初始状态为非授权状态，仅允许EAPOL报文收发。802.1X认证通过后，将此端口状态切换到授权状态，这时用户才可访问网络资源 Unauthorized-force：常关模式 端口一直维持非授权状态，忽略所有客户端发起的认证请求，用户不能访问网络资源。 802.1x的核心概念（续） 3、端口接入控制方式（目前我司设备支持以下两种） ： Macbased ： 基于MAC地址的认证方式 对共用同一个物理端口的多个用户分别进行认证控制，限制同时使用同一个物理端口的用户数目（限制MAC地址数目），但不指定MAC地址，让系统根据先到先得原则进行MAC地址学习，系统将拒绝超过限制数目的请求，若有用户退出，则可以覆盖已退出的MAC地址。 只有认证通过的用户可以访问网络资源。 Portbased：基于PORT的认证方式 　　　仅对使用同一物理端口的任何一个用户进行认证（仅对一个用户进行认证，认证过程中忽略其他用户的认证请求），认证通过后其他用户也就可以利用该物理端口访问网络资源。 802.1x的体系结构 802.1x的体系结构（续） IEEE 802.1x的体系结构中包括三个部分： Supplicant System-接入系统；即认证客户端 Authenticator System-认证系统；即NAS(Network Access Server） Authentication Sever System-认证服务器。 802.1x体系与设备软件对应关系 接入系统（如PC）需要安装802.1x客户端软件，例如Windows XP的802.1x客户端,我司提供的802.1x客户端； NAS(如交换机)需要实现 802.1x的认证系统功能 认证服务器系统一般驻留在运营商的AAA中心，典型的是传统的Radius服务器。如windows2k/2003自带的Radius服务器。 PAE: 端口认证实体(port access entity) 认证机制中负责处理算法和协议的实体。