原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
DP500029 802.1XRadius原理 ISSUE 1.0 学习完此课程,您将会: 掌握802.1X的协议原理 掌握RADIUS协议知识 为什么需要802.1X? 802.1X的作用? 系统角色 受控端口和非受控端口 端口控制模式 工作原理 EAP报文格式 请求和回应报文 成功和无效报文 EAPOL报文格式 EAPOL报文类型 EAPOL报文的二层报文头 发起认证 EAP交换过程举例 注销机制 RADIUS设计的组网结构 RADIUS原理 客户端/服务器模式 RADIUS报文流程(完整PAP) RADIUS报文流程(CHAP) RADIUS报文流程(RADIUS产生挑战字) RADIUS协议栈结构 RADIUS报文结构 RADIUS报文说明 Code,8bit,用以标识RADIUS报文的类型 Identifier,8bit,用以匹配请求包和响应包 Length,16bit,标识报文的长度 Authenticator,32bit,用以验证报文的合法性 Attribute,不定长,TLV格式,属性具体内容 常用RADIUS报文介绍 常用属性介绍 其它属性介绍 RADIUS+1.0/1.1协议 RADIUS+1.0/1.1协议报文格式及报文类型同RADIUS协议相同,只不过对报文属性的定义和支持上面有所不同,如connect_id等,具体格式的定义请参考各产品的RADIUS属性说明文档! Extended RADIUS Practices 6 Accounting Status 7 Password Request 8 Password Ack 9 Password Reject 10 Accounting Message 21 Resource Free Request 22 Resource Free Response 23 Resource Query Request 24 Resource Query Response 25 Alternate Resource Reclaim Request 26 NAS Reboot Request 27 NAS Reboot Response Dynamic Authorization Extensions to RADIUS DM=Disconnect Message 实际报文分析 RADIUS常见故障 (一) RADIUS报文无响应:设备发出code=1/4的报文,没有收到这些报文的响应 RADIUS常见故障 (二) RADIUS认证失败,收到code=3的拒绝报文 RADIUS常见故障 (三) RADIUS属性不识别,RADIUS已经响应CODE=2报文,但我们不识别此属性 RADIUS常见故障理(四) RADIUS下发属性不生效 RADIUS常见故障 (五) RADIUS出现up/down告警,根本原因是RADIUS报文没有响应 RADIUS问题解决思路 确认配置(RADIUS没有响应)和网络正常 检查配置、PING测试路由网络是否正常 分析报文 根据RADIUS流程分析调试信息,是否有异常 协调RADIUS 一般RADIUS问题都需要协调RADIUS配合检查,除非从调试信息能定位出确认的问题原因。 必要时抓包 对于一些问题如RADIUS UP/DOWN等,需要知道报文在网络上传输的时间,此时就只有通过抓包来确认; 定时器原因: 验证成功之后,验证者周期性的发送EAP请求报文。在此EAP请求报文中,类型字段为1,类型数据字段为空,请求者收到此报文之后必须回应一个EAP回应报文。 此定时器默认为15秒,如果请求者没有响应,验证者默认最多可以重传三次。 验证成功之后,验证者可以周期性的重新认证请求者。该定时器默认为3600秒。 EAPOL注销报文: 请求者可以主动向验证者发送一个EAPOL注销报文,表示一个显式的注销请求。验证者收到此注销请求之后,应当将受控端口置为未授权状态。 RADIUS最早设置的时候是拔号网络使用的,目前在宽带网络中也广泛使用,接入层由原来的PSTN变成了城域网 对于NAS/BAS设备,对客户端来说,是server;对RADIUS服务器来说,是client 其作用是把用户的认证信息提取出来,并封装为标准的RADIUS报文送到RADIUS服务器处理。 注意:CHAP/PAP的三次握手还是二次握手是针对客户端和BAS之间的,对于BAS和RADIUS服务器间报文是固定的,认证报文总为code=1,响应报文为CODE=2/3,不存在三次/二次握手的说法。对于CHAP,验证开始由BAS先向CLIENT发challenge,然后客户端再向BAS发认证请求;对于PAP,客户端直接向BAS发认证请求;BAS都是从认证请求报文中提取认证信息,并把相关认证信息
文档评论(0)