02-802.1x协议介绍VIP专享VIP免费

802.1x协议介绍ISSUE3.0日期：2009-04-27杭州华三通信技术有限公司版权所有，未经授权不得使用与传播随着网络的发展，我们关注的已经不仅仅是单个设备的功能，而是一个全网解决方案。通过在网络核心部署AAA服务器，完成终端用户的认证、授权和计费，实现网络的可管理、可运营，保证网络和用户信息的安全。引入掌握802.1X认证方式的基本原理掌握802.1x认证的典型配置掌握LDAP认证的原理及配置掌握常用的排错方法课程目标学习完本课程，您应该能够：802.1X协议介绍802.1x典型配置LDAP认证典型配置FAQ目录www.h3c.com5802.1X的起源802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题，但由于它的原理对于所有符合IEEE802标准的局域网具有普适性，因此后来它在有线局域网中也得到了广泛的应用。该协议是IEEE在2001.6通过的正式标准，标准的起草者包括Microsoft，Cisco，Extreme，Nortel等。www.h3c.com6802.1X的特点802.1xPPPOEWEB认证是否需要安装客户端软件是XP不需要是否业务报文效率高低，有封装开销高组播支持能力好低，对设备要求高好有线网上的安全性扩展后可用可用可用设备端的要求低高较高增值应用支持简单复杂复杂802.1x优势较为明显，是理想的低成本运营解决方案。www.h3c.com7802.1x认证方式802.1x认证概述IEEE802.1x称为基于端口的访问控制协议（Portbasednetworkaccesscontrolprotocol）。主要是为了解决局域网用户的接入认证问题。IEEE802.1x协议的体系结构包括三个重要的部分：客户端（SupplicantSystem）认证系统(AuthenticatorSystem)认证服务器(AuthenticationServerSystem)。www.h3c.com8802.1X体系架构IEEE802.1X定义了基于端口的网络接入控制协议（portbasednetworkaccesscontrol），其中端口可以是物理端口，也可以是逻辑端口。802.1X通过EAP帧承载认证信息进行认证。设备和认证服务器之间通过RADIUS报文进行通信。PAE(portaccessentity)认证机制中负责处理算法和协议的实体EAPOLRADIUS协议承载的EAP/PAP/CHAP交换客户端PAE设备端PAE认证服务器www.h3c.com9受控端口受控端口是802.1X系统的核心概念Authenticator内部有受控端口（ControlledPort）和非受控端口（UncontrolledPort）。非受控端口始终处于双向连通状态，不必经过任何授权就可以访问或传递网络资源和服务。受控端口必须经过授权才能访问或传递网络资源和服务。通常情况下设置端口初始状态为非授权状态，使端口仅允许EAPOL报文和广播报文收发。由EAPOL报文触发并进行认证，如果认证流程通过，则将该端口切换到授权状态。www.h3c.com10端口受控模式基于端口的认证：仅对使用同一物理端口的任何一个用户进行认证，认证通过后其他用户也就可以利用该物理端口访问网络服务。基于MAC的认证：对共用同一个物理端口的多个用户分别进行认证控制，限制同时使用同一个物理端口的用户数目（限制MAC地址数目），但不指定MAC地址。H3C公司交换机缺省设置为基于MAC的认证。www.h3c.com11受控端口客户端客户端PAE设备端端口非授权受控端口非受控端口认证服务器认证服务器设备端PAE设备端提供的服务LAN/WLANwww.h3c.com12EAP协议介绍EAP：扩展验证协议（ExtensibleAuthenticationProtocol）EAP数据包帧格式：Code：EAP类型Request(eap-request)Request(eap-request)Response(eap-response)Response(eap-response)Success(eap-success)Success(eap-success)FailureFailure(eap-failure)CodeIdentifierLengthTypeDatawww.h3c.com13EAPOL封装AssignmentValuePAEgroupaddress01-80-C2-00-00-03EAPOL概念：一种封装技术，EAPoverLAN，支持客户端PAE和设备端PAE在LAN环境中进行EAP报文的交换。目前，EAPOL有802.3/Ethernet和TokenRing/FDDI两种封装。EAPOL帧的目的MAC：www.h3c.com14EAPOL封装EAPOL帧格式:字节数2112NPacketTypePacketBodyLengthPacketBodyProtocolVersionPAEEthernetTypeEAPOLframeformatfor802.3/EthernetPAEEthernetType:888eProtocolVer...