安全与VPN-802.1x技术介绍.pdf

安全与VPN-802.1x技术介绍 技术介绍 安全和 VPN 目 录 目 录 802.1X 1 802.1X的体系结构 1 802.1X的认证方式 1 802.1X的基本概念 2 EAPOL消息的封装 3 EAP属性的封装 4 802.1X的认证触发方式 5 802.1X的认证过程 5 802.1X的接入控制方式 8 802.1X的定时器 8 和 802.1X配合使用的特性 9 802.1X支持EAD快速部署配置 11 i 技术介绍 安全和 VPN 802.1X 802.1X IEEE802 LAN/WAN 委员会为解决无线局域网网络安全问题，提出了 802.1X 协议。后来，802.1X 协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安 全方面的问题。 802.1X 协议是一种基于端口的网络接入控制协议（port based network access control protocol ）。 “基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和 控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证， 则无法访问局域网中的资源。 802.1X 的体系结构 802.1X系统为典型的Client/Server结构，如 图 1所示，包括三个实体：客户端（Client ）、设备端 （Device）和认证服务器（Server ）。 图 1 802.1X 认证系统的体系结构 客户端是位于局域网段一端的一个实体，由该链路另一端的设备端对其进行认证。客户端一般 为一个用户终端设备，用户可以通过启动客户端软件发起 802.1X 认证。客户端必须支持 EAPOL （Extensible Authentication Protocol over LAN，局域网上的可扩展认证协议）。 设备端是位于局域网段一端的另一个实体，对所连接的客户端进行认证。设备端通常为支持 802.1X 协议的网络设备，它为客户端提供接入局域网的端口，该端口可以是物理端口，也可 以是逻辑端口。 认证服务器是为设备端提供认证服务的实体。认证服务器用于实现对用户进行认证、授权和计 费，通常为 RADIUS （Remote Authentication Dial-In User Service，远程认证拨号用户服务） 服务器。 802.1X 的认证方式 802.1X 认证系统使用 EAP （Extensible Authentication Protocol，可扩展认证协议），来实现客户 端、设备端和认证服务器之间认证信息的交换。 在客户端与设备端之间，EAP 协议报文使用 EAPOL 封装格式，直接承载于 LAN 环境中。 在设备端与 RADIUS 服务器之间，可以使用两种方式来交换信息。一种是 EAP 协议报文由设 备端进行中继，使用 EAPOR （EAP over RADIUS）封装格式承载于 RADIUS 协议中；另一 种是 EAP 协议报文由设备端进行终结，采用包含 PAP （Password Authenti