第12章 用户接入管理协议..pptVIP

AccNet * EAP协议运行 EAP共有4种分组： Request（请求）、Response（响应）、Success（成功）和Failure（失败） EAP是一种“停-等”协议 认证器（Authenticator）必须在收到对上一次请求的有效响应后才能向对等端（Peer）发送新的请求。 认证过程： 在链路建立阶段完成后，认证方发送一个或多个请求（Request）分组来对Peer进行认证 该数分组中有一个类型域表明请求的类型 Peer发送一个响应（Response）分组对每一个请求做出应答 认证方发送一个成功（Success）或失败（Failure）数据包结束认证阶段 AccNet * EAP小结 EAP是一个便于扩展的认证框架 定义了认证的标准化封装与标准化交互 可装载多种认证方法 EAP并未定义也未任何限定特定认证算法 在EAP分组中可以封装认证方法数十种 可封装在几种前台认证协议外壳中 典型的是：PPPoE和IEEE 802.1X AccNet * EAP小结 EAP成为接入控制前台协议的核心 前台协议中封装的核心内容：EAP分组 前后台协议协同：EAP与后台协议 认识EAP EAP的核心价值 装载多种认证方法，封装入多种外壳协议 标准化封装格式，标准化分组交互 对比集装箱： 装载多种类货物，使用多种运输手段 标准化封装，标准化转运 集装箱改变了物流的世界 EAP改变了认证的世界 AccNet * 概念 IEEE802.1X 基于端口的接入控制协议 最新标准版本: IEEE Std 802.1X-2010 一个专用于802网络用户接入认证与控制的协议 接入要求 LAN用户以点到点方式接入到LAN的端口上 端口可以是物理端口（如以太网交换机端口） 端口也可以是逻辑端口（如WLAN中的AP端口） 功能 基于端口为LAN用户提供接入认证及授权服务 用户接入控制协议 802.1X AccNet * 802.1X协议模型的三种实体 客户系统（Supplicant System） 运行802.1X客户软件的用户终端系统 认证系统（Authenticator System） 为客户接入实施控制，通常为支持802.1X协议的接入设备 认证服务器系统（Authentication Server System） 为认证系统提供认证授权服务 802.1X与RSA模型的等同性 NAR：客户（系统） NAS：认证器（系统） NAA：认证服务器（系统） AccNet * 802.1X协议模型的三种实体 802.1X-2004 定义由三种实体构成的系统为三系统架构 802.1X-2010 取消了三系统架构的总体描述，但未改变三系统地位 802.1X仅定义客户与认证器之间的交互 AccNet * PAE: Port Access Entity，端口接入实体 即执行802.1X协议的实体 支持802.1X的网络 接入设备 为801.1x客户提供 授权的接入服务 为认证系统 提供认证服务 802.1X的协议运行模型 运行802.1X客户 软件的用户终端 802.1X的端口 802.1X协议是基于端口的接入控制 802.1X端口是用来连接客户系统和认证系统的LAN端口 可以是物理端口，也可以是逻辑端口 取决于该端口的接入方式 AccNet * AccNet * 基于端口的接入控制 在物理端口上定义逻辑端口 数据口与控制口 分别位于数据平面和控制平面 基于逻辑端口实施接入控制 控制口：仅承载认证信息 非受控口、始终连通 数据口：传送用户业务数据 受控口、受PAE控制 端口默认状态为断开状态：未授权接入 认证通过，端口处于接通状态：授权接入 LAN 认证系统 受控端口 （数据口） 非受控端口 （控制口） 802.1X的不受控/受控端口 AccNet * 802.1X协议的运行 协议运行实体 客户PAE、认证PAE、认证服务器 认证协议封装类型 客户PAE与认证PAE之间： EAPOL（EAP Over LAN） 认证PAE与认证服务器之间： EAP 认证的发起者 客户PAE或认证PAE AccNet * 1)客户PAE将认证信息由EAPOL封装，并通过认证系统的非受控端口传输到认证PAE 2)认证PAE将认证信息封装成EAP格式，传输到认证服务器 3)认证服务器验证用户认证信息，并将认证结果返回到认证PAE（成功或失败） 4)认证PAE将认证结果反馈给客户PAE 认证成功：受控端口设为授权状态，向用户提供接入服务 认证失败：受控端口继续断开，拒绝向用户提供接入服务 802.1X的认证与接入过程 AccNet * 通过以太网交换机接入的交换式以太网 每台主机以点到点方式接入到交换机每