802.1X 基础培训课件整理.pptVIP

服务器上配置 2.服务器主要配置: 设置NAS-ip；添加服务；用户开户并指定使用的服务 802.1X配置实例 客户端配置 在客户端软件上填写刚才配置的用户名和密码，选择正确的网卡就可进行认证了 802.1X配置实例 802.1x基本概念简介 802.1x认证方式 EAP和RADIUS协议介绍 802.1x配置实例 802.1x相关特性 测试中遇到的问题和体会 内容介绍 802.1X相关特性列表 我司产品802.1x还有以下特性（当然有些特性在某些产品可能不支持）： 握手机制 代理检测 版本检测 消息透传　 重认证 ACCOUNTING－ON DHCP－LAUNCH　 动态绑定　 GUEST VLAN 动态VLAN下发 SmartOn 其它特性简介　 802.1X相关特性 802.1x与AAA和RADIUS的关系（续） 　业务控制体系模型及流程 802.1X基本概念简介 决定用户采用的认证、计费、授权方案以及该域支持的业务。 完成接入认证协议的状态管理和维护、消息转换。 根据用户所在域，调用域控制模块提供的接口，确定该域所使用的认证授权计费方案，将用户的认证授权计费消息发送到的相应的认证授权计费协议队列。 802.1x基本概念简介 802.1x认证方式 EAP和RADIUS协议介绍 802.1x配置实例 802.1x相关特性 测试中遇到的问题和体会 内容介绍 认证方式 1、认证方式种类： PAP、CHAP、EAP(MD5-Challenge、EAP_TLS、PEAP等) 2、对认证服务器的兼容支持 1）第一种是802.1x标准规定的，将EAP承载在其他高层协议中，如ERPOR(EAP over Radius)，以便EAP报文穿越复杂的网络到达认证服务器 ，,这种方式称为EAP Relay或中继方式。优点是LANSWITCH设备处理更简单，支持更多的认证方式；缺点是认证服务器必须支持EAP。 （ MD5-Challenge，EAP_TLS，PEAP ） 2）第二种是VRP平台802.1x子系统扩展的，将EAP在LANSWITCH设备终结并映射到Radius报文，利用Radius协议完成认证和计费，这种方式称为EAP终结方式。优点是认证服务器无需升级，现有的Radius Server可以继续使用；缺点是LANSWITCH设备处理更复杂。（我司实现CHAP，PAP ） 802.1X认证方式 配置命令： [Quidway]dot authentication-method ? chap 　CHAP(Challenge Handshake Authentication Protocol) authentication method.Its default. eap 　 EAP(Extensible Authentication Protocol) authentication method(support eap-tls, eap-md5, peap) pap PAP(Password Authentication Protocol) authentication method PAP 认证方式 1、PAP验证原理： 1) PAP即密码验证协议（ Password Authentication Protocol） 2) 密码通过明文的方式传输 用户以明文的形式把用户名和他的密码传递给路由器。 使用本地认证时，NAS会根据用户名在NAS端查找本地数据库，如果存在相同的用户名和密码表明验证通过,否则表明验证未通过。如果使用远程认证，NAS会把信息传到server上进行验证。 802.1X认证方式 PAP 认证方式（续） 2、PAP认证过程 802.1X认证方式 CHAP 认证方式 1、CHAP验证原理 1)CHAP即质询握手验证协议（Challenge Handshake Authentication Protocol） 2) 密码是通过密文方式 当用户请求上网时，NAS产生一个16字节的随机码给用户（同时还有一个ID号，本地路由器的 hostname）。用户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密，生成一个response传给NAS。如果使用本地验证，NAS根据用户名在NAS端查找本地数据库，得到和用户端进行加密所用的一样的密码，然后根据原来的16字节的随机码进行加密，将其结果与Response作比较，如果相同表明验证通过，如果不相同表明验证失败。如果使用远程认证，则信息送到server上进行验证。 802.1X认证方式 CHAP 认证方式（续） 2、CHAP认证过程 802.