- 1、本文档共14页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
,
,
安全与VPN-802.1x技术介绍
技术介绍 安全和 VPN
技术介绍 安全和 VPN
目 录
i
i
目 录
802.1X 1
802.1X的体系结构 1
802.1X的认证方式 1
802.1X的基本概念 2
EAPOL消息的封装 3
EAP属性的封装 4
802.1X的认证触发方式 5
802.1X的认证过程 5
802.1X的接入控制方式 8
802.1X的定时器 8
和 802.1X配合使用的特性 9
802.1X支持EAD快速部署配置 11
技术介绍 安全和 VPN
技术介绍 安全和 VPN
802.1X
PAGE
PAGE 10
802.1X
IEEE802 LAN/WAN 委员会为解决无线局域网网络安全问题,提出了 802.1X 协议。后来,802.1X 协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。
802.1X 协议是一种基于端口的网络接入控制协议(port based network access control protocol)。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证, 则无法访问局域网中的资源。
X 的体系结构
802.1X系统为典型的Client/Server结构,如 图 1所示,包括三个实体:客户端(Client)、设备端
(Device)和认证服务器(Server)。
图 1 802.1X 认证系统的体系结构
客户端是位于局域网段一端的一个实体,由该链路另一端的设备端对其进行认证。客户端一般为一个用户终端设备,用户可以通过启动客户端软件发起 802.1X 认证。客户端必须支持EAPOL(Extensible Authentication Protocol over LAN,局域网上的可扩展认证协议)。
设备端是位于局域网段一端的另一个实体,对所连接的客户端进行认证。设备端通常为支持802.1X 协议的网络设备,它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口。
认证服务器是为设备端提供认证服务的实体。认证服务器用于实现对用户进行认证、授权和计费,通常为 RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务) 服务器。
X 的认证方式
802.1X 认证系统使用 EAP(Extensible Authentication Protocol,可扩展认证协议),来实现客户端、设备端和认证服务器之间认证信息的交换。
在客户端与设备端之间,EAP 协议报文使用 EAPOL 封装格式,直接承载于 LAN 环境中。
在设备端与 RADIUS 服务器之间,可以使用两种方式来交换信息。一种是 EAP 协议报文由设备端进行中继,使用 EAPOR(EAP over RADIUS)封装格式承载于 RADIUS 协议中;另一种是 EAP 协议报文由设备端进行终结,采用包含 PAP(Password Authentication Protocol, 密码验证协议)或 CHAP(Challenge Handshake Authentication Protocal,质询握手验证协议)属性的报文与 RADIUS 服务器进行认证交互。
X 的基本概念
受控/非受控端口
设备端为客户端提供接入局域网的端口,这个端口被划分为两个逻辑端口:受控端口和非受控端口。任何到达该端口的帧,在受控端口与非受控端口上均可见。
非受控端口始终处于双向连通状态,主要用来传递 EAPOL 协议帧,保证客户端始终能够发出或接收认证报文。
受控端口在授权状态下处于双向连通状态,用于传递业务报文;在非授权状态下禁止从客户端接收任何报文。
授权/非授权状态
设备端利用认证服务器对需要接入局域网的客户端执行认证,并根据认证结果(Accept 或 Reject) 对受控端口的授权/非授权状态进行相应地控制。
图 2显示了受控端口上不同的授权状态对通过该端口报文的影响。图中对比了两个 802.1X认证系统的端口状态。系统 1 的受控端口处于非授权状态(相当于端口开关打开),系统 2 的受控端口处于授权状态(相当于端口开关关闭)。
图 2 受控端口上授权状态的影响
用户可以通过在端口下配置的接入控制的模式来控制端口的授权状态。端口支持以下三种接入控制
模式:
强制授权模式(authorized-force):表示端口始终处于授权状态,允许用户不经认证授权即可访问网络资源。
强制
您可能关注的文档
- IP组播-组播VPN技术介绍-D.docx
- IP组播-组播概述-D.docx
- IRF智能弹性构架-IRF2.0技术介绍-D.docx
- 新教材2020-2021学年北师大版高中数学第二册学案-空间图形基本位置关系的认识-含解析-D.doc
- 新教材2020-2021学年北师大版高中数学第二册学案-立体几何初步-章末综合提升-含解析-D.doc
- OAA构架-ACSEI技术介绍-D.docx
- 新教材2020-2021学年北师大版高中数学第二册学案-三角恒等变换-章末综合提升-含解析-D.doc
- WLAN安全技术介绍-D.docx
- 新教材2020-2021学年北师大版高中数学第二册学案-用余弦定理、正弦定理解三角形-含解析-D.doc
- WLAN服务技术介绍-D.docx
- 2024年05月山东交通职业学院招考聘用博士研究生50人笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月安徽芜湖市弋江区老年学校(大学)工作人员特设岗位公开招聘2人笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月山东东营河口区教育类事业单位招考聘用22人笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月山东交通职业学院招考聘用100人笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月山东威海职业学院招考聘用高层次人才2人笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月安徽石台县事业单位工作人员33人笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月山东滨州市博兴县事业单位公开招聘考察笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月安徽蚌埠固镇县湖沟镇选聘村级后备干部7人笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月山东省安丘市教育和体育局所属事业单位学校公开2024年招考232名工作人员笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月山东临沂临港经济开发区工作人员(5人)笔试历年典型题及考点剖析附带答案含详解.docx
文档评论(0)