常用认证计费方式对比.ppt

卢江宇 认证计费系统简介 PPPOE认证介绍 WEB认证介绍 802.1X认证介绍 * 提纲 * 认证计费系统简介 认证的目的：对网络的安全访问控制、计费运营 组成：用户终端、NAS、Radius Server、数据库 AAA平台 Radius Server 、DB BRAS NAS SR 汇聚交换机 接入交换机 用户终端 认证计费系统简介 PPPOE认证介绍 WEB认证介绍 802.1X认证介绍 * 提纲 PPPOE介绍 PPP协议要求进行通信的双方之间是点到点的关系，不适于广播型的以太网和另外一些多点访问型的网络，于是就产生了PPPOE协议(Point-to-Point Protocol Over Ethernet)。它不仅为使用桥接以太网接入的用户提供了一种宽带接入手段，同时还能提供方便的接入控制和计费。每个接入用户均建立一个独一无二PPP的会话，因此会话建立之前必需知道远端访问集中设备的MAC地址，PPPOE协议可通过发现协议来获取到。 PPPOE介绍 PPPOE协议分为发现阶段和PPP会话阶段 发现阶段 当主机希望开始一个PPPOE会话时，它首先要执行一个发现过程来识别对方的MAC地址，然后建立一个唯一的PPPOE会话ID。PPPOE使用一个发现协议来解决这个问题，它是基于客户/服务器模型的。由于以太网的广播特性，在这个过程中主机(客户)能发现所有的访问集中器(服务器)，并选择其中一个，根据所获信息在两者之间建立点对点的连接。当一个PPP会话被建立起来之后，就完成了PPPOE的整个发现阶段。 会话阶段 PPPOE的会话阶段开始后，主机和访问集中器之间就依据PPP协议传送PPP数据，进行PPP的各项协商和数据传输。在这一阶段传输的数据包中必须包含在发现阶段确定的会话标识并保持不变。正常情况下，会话阶段的结束是由PPP协议控制完成的，但在PPPOE中定义了一个PADT 包用来结束会话，主机或者访问集中器可以在PPP会话开始后的任何时候通过发送这个数据包来结束会话。 认证计费系统简介 PPPOE认证介绍 WEB认证介绍 802.1X认介绍 * 提纲 WEB认证介绍 系统中各个元素分别执行不同的功能： WEB Server(Portal Server) ：认证系统与用户交互的接口，提供以WEB方式输入用户名与密码进行认证的界面。 DHCP Server：动态为用户分配IP地址。 Radius Server：根据用户提供的用户名及密码进行认证操作。 BAS：认证系统的核心，根据用户的认证状态实行相应的访问控制策略。 认证计费系统简介 PPPOE认证介绍 WEB认证介绍 802.1X认证介绍 * 提纲 802.1X介绍---IEEE802.1X协议概述 IEEE802.1x（Port-Based Network Access Control）是一个基于端口的网络访问控制标准，为LAN接入提供点对点式的安全接入。这是IEEE标准委员会针对以太网的安全缺陷而专门制定的标准，能够在利用IEEE 802 LAN的优势基础上，提供一种对连接到局域网设备或用户进行认证的手段。 IEEE 802.1x标准定义了一种基于“客户端——服务器”（Client-Server）模式实现了限制未认证用户对网络的访问。客户端要访问网络必须先通过认证服务器的认证。在客户端通过认证之前，只有EAPOL报文（Extensible Authentication Protocol over LAN）可以在网络上通行。在认证成功之后，通常的数据流便可在网络上通行。 802.1X介绍---IEEE802.1X协议的目标 802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略。 802.1X是基于端口的认证策略（这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口，对于无线局域网来说个“端口”就是一条信道） 802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通过。 802.1X介绍---认证前后端口的状态 802.1X的认证中，端口的状态决定了客户端是否能接入网络，在启用802.1x认证时端口初始状态一般为非授权（unauthorized），在该状态下，除802.1X 报文和广播报文外不允许任何业务输入、输出通讯。当客户通过认证后，则端口状态切换到授权状态（authorized），允许客户端通过端口进行正常通讯。 802.1X的认证过程 1)?????? 当用户