安全与VPN-802.1x技术介绍-D.docx

， ， 安全与VPN-802.1x技术介绍 技术介绍 安全和 VPN 技术介绍 安全和 VPN 目 录 i i 目 录 802.1X 1 802.1X的体系结构 1 802.1X的认证方式 1 802.1X的基本概念 2 EAPOL消息的封装 3 EAP属性的封装 4 802.1X的认证触发方式 5 802.1X的认证过程 5 802.1X的接入控制方式 8 802.1X的定时器 8 和 802.1X配合使用的特性 9 802.1X支持EAD快速部署配置 11 技术介绍 安全和 VPN 技术介绍 安全和 VPN 802.1X PAGE PAGE 10 802.1X IEEE802 LAN/WAN 委员会为解决无线局域网网络安全问题，提出了 802.1X 协议。后来，802.1X 协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。 802.1X 协议是一种基于端口的网络接入控制协议（port based network access control protocol）。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证， 则无法访问局域网中的资源。 X 的体系结构 802.1X系统为典型的Client/Server结构，如 图 1所示，包括三个实体：客户端（Client）、设备端 （Device）和认证服务器（Server）。 图 1 802.1X 认证系统的体系结构 客户端是位于局域网段一端的一个实体，由该链路另一端的设备端对其进行认证。客户端一般为一个用户终端设备，用户可以通过启动客户端软件发起 802.1X 认证。客户端必须支持EAPOL（Extensible Authentication Protocol over LAN，局域网上的可扩展认证协议）。 设备端是位于局域网段一端的另一个实体，对所连接的客户端进行认证。设备端通常为支持802.1X 协议的网络设备，它为客户端提供接入局域网的端口，该端口可以是物理端口，也可以是逻辑端口。 认证服务器是为设备端提供认证服务的实体。认证服务器用于实现对用户进行认证、授权和计费，通常为 RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务） 服务器。 X 的认证方式 802.1X 认证系统使用 EAP（Extensible Authentication Protocol，可扩展认证协议），来实现客户端、设备端和认证服务器之间认证信息的交换。 在客户端与设备端之间，EAP 协议报文使用 EAPOL 封装格式，直接承载于 LAN 环境中。 在设备端与 RADIUS 服务器之间，可以使用两种方式来交换信息。一种是 EAP 协议报文由设备端进行中继，使用 EAPOR（EAP over RADIUS）封装格式承载于 RADIUS 协议中；另一种是 EAP 协议报文由设备端进行终结，采用包含 PAP（Password Authentication Protocol， 密码验证协议）或 CHAP（Challenge Handshake Authentication Protocal，质询握手验证协议）属性的报文与 RADIUS 服务器进行认证交互。 X 的基本概念 受控/非受控端口 设备端为客户端提供接入局域网的端口，这个端口被划分为两个逻辑端口：受控端口和非受控端口。任何到达该端口的帧，在受控端口与非受控端口上均可见。 非受控端口始终处于双向连通状态，主要用来传递 EAPOL 协议帧，保证客户端始终能够发出或接收认证报文。 受控端口在授权状态下处于双向连通状态，用于传递业务报文；在非授权状态下禁止从客户端接收任何报文。 授权/非授权状态 设备端利用认证服务器对需要接入局域网的客户端执行认证，并根据认证结果（Accept 或 Reject） 对受控端口的授权/非授权状态进行相应地控制。 图 2显示了受控端口上不同的授权状态对通过该端口报文的影响。图中对比了两个 802.1X认证系统的端口状态。系统 1 的受控端口处于非授权状态（相当于端口开关打开），系统 2 的受控端口处于授权状态（相当于端口开关关闭）。 图 2 受控端口上授权状态的影响 用户可以通过在端口下配置的接入控制的模式来控制端口的授权状态。端口支持以下三种接入控制 模式： 强制授权模式（authorized-force）：表示端口始终处于授权状态，允许用户不经认证授权即可访问网络资源。 强制