DOT1X培训.pdfVIP

802.1X培训 游德添 2016-03-26 目录 802.1x认证流程 常用命令行讲解 典型环境级配置 常见问题故障排查 第一章、802.1x认证流程 概述 802.1x认证体系结构 802.1x认证方式 概述 IEEE 802.1x规定了基于端口的网络接入控制机制，能 够对IEEE 802局域网上以点对点方式连接到网络端口的设备 进行认证、授权，同时阻止认证失败的设备接入网络。 规范文件 IEEE 802.1x 基于端口的网络接入控制 RFC 2284 PPP可扩展认证协议（EAP） RFC 2516 PPP over Ethernet协议（PPPoE） RFC 2716 PPP EAP TLS身份验证协议 RFC 2865 RADIUS协议 RFC 2866 RADIUS计费协议 RFC 2869 RADIUS扩展 概述 缩略语 CHAP 质询握手认证协议 EAP 可扩展认证协议 EAPOL 局域网承载的EAP EAPOR RADIUS协议承载的EAP PAE 端口接入实体 PAP 密码认证协议 PPP 点对点通信协议 TLS 传输层安全 BRAS 宽带接入服务器 802.1x认证体系结构 802.1x认证系统包含三部分：客户端、设备端和认证服务器。 客户端：通常为一个用户终端设备，用户通过启动客户端软件发起 802.1x认证。 设备端：通常为支持802.1x的网络设备，为客户端提供接入设备端 口，设备有两个逻辑端口：受控端口和不受控端口。不受控端口始 终处于双向连通状态，主要用来保证客户端始终可以发出或接受认 证。受控端口只有在认证通过的状态下才打开，用于传递网络资源 和服务。 认证服务器：为设备端提供认证服务的实体。用于实现用户的认证、 授权和计费，例如RADIUS服务器。 802.1x认证体系结构（续） 802.1x认证体系结构（续） 设备端PAE和客户端PAE 间，EAP协议报文使用EAPOL 封装格式，直接承载于LAN MAC环境，客户端和设备 端之间的所有网络设备必须支持目的地址为组地址01- 80-c2-00-00-03 的报文通过。 设备端PAE与RADIUS服务器中可以采用EAPOR封装格 式，也可以采用RADIUS传送PAP或CHAP协议报文。 802.1x认证方式 认证发起 802.1x标准中，认证可以由客户端发起，也可以由设备端发起。 通常，认证过程由客户端主动发起，客户端向设备端发送 EAPOL-Start报文，设备端收到EAPOL-Start报文后，发送EAP- Request/Identity作为响应。 设备作为Radius服务器客户端将用户认证请求转发给Radius服 务器 用户下线 客户端可以在随时发起EAPOL-Logoff下