802.1X的认证过程.ppt

第6章 交换机的高级配置(四) 6.4 基于端口的认证配置 主讲人 王毅 本课内容 6.4.1 IEEE802.1X简介 IEEE802LAN中，用户只要能接到网络设备上，不需要经过认证和授权即可直接使用。这样，一个未经授权的用户，他可以没有任何阻碍地通过连接到局域网的设备进入网络。随着局域网技术的广泛应用，特别是在运营网络的出现，对网络的安全认证的需求已经提到了议事日程上。如何在以太网技术简单、廉价的组网特点的基础上，提供用户对网络或设备访问合法性认证的手段，已经成为业界关注的焦点。IEEE 802.1x协议正是在这样的背景下提出的。 6.4.1 IEEE802.1X简介 IEEE802.1x（Port-Based Network Access Control）是一个基于端口的网络存取控制标准，为LAN接入提供点对点式的安全接入。这是IEEE标准委员会针对以太网的安全缺陷而专门制定的标准，能够在利用IEEE 802 LAN的优势基础上，提供一种对连接到局域网设备或用户进行认证的手段。 IEEE 802.1x 标准定义了一种基于“客户端——服务器”（Client-Server）模式实现了限制未认证用户对网络的访问。客户端要访问网络必须先通过认证服务器的认证。 6.4.1 IEEE802.1X简介 802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略。 802.1X是基于端口的认证策略（这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口，对于无线局域网来说个“端口”就是一条信道） 802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通过。 6.4.1 IEEE802.1X简介 在客户端通过认证之前，只有EAPOL报文可以在网络上通行。在认证成功之后，通常的数据流便可在网络上通行。 应用802.1x我们的交换机提供了Authentication，Authorization，and Accounting三种安全功能，简称AAA。 Authentication：认证，用于判定用户是否可以获得访问权，限制非法用户。 Authorization：授权，授权用户可以使用哪些服务，控制合法用户的权限 。 Accounting：计账，记录用户使用网络资源的情况；为收费提供依据。 6.4.1 IEEE802.1X简介 设备的角色 IEEE802.1x 标准认证体系由客户端、认证系统、认证服务器三个角色构成，在实际应用中，三者分别对应为：工作站（Client） 、交换机(network access server，NAS)、Radius-Server。 6.4.1 IEEE802.1X简介 Supplicant System，客户端(PC/网络设备) Supplicant System——— Client（客户端）是—需要接入LAN，及享受switch提供服务的设备（如PC机），客户端需要支持EAPOL协议，客户端必须运行802.1X客户端软件，如：802.1X-complain，Microsoft Windows XP. 802.1X认证体系的结构 6.4.1 IEEE802.1X简介 ◢Authenticator System，认证系统) 认证系统—— Switch （边缘交换机或无线接入设备）是根据客户的认证状态控制物理接入的设备，switch在客户和认证服务器间充当代理角色。switch与client间通过EAPOL协议进行通讯，switch与认证服务器间通过EAPoRadius或EAP承载在其他高层协议上，以便穿越复杂的网络到达 认证服务器；switch要求客户端提供identity，接收到后将EAP报文承载在Radius格式的报文中，再发送到认证服务器，返回等同；switch根据认证结果控制端口是否可用； 需要指出的是：我们的802.1x协议在设备内终结并转换成标准的RADIUS协议报文，加密算法采用PPP的CHAP认证算法，所有支持PPP CHAP认证算法的认证计费服务器都可以对接成功。 6.4.1 IEEE802.1X简介 ◢Authentication Sever System，认证服务器) Authentication server ———（认证服务器）对客户进行实际认证，认证服务器核实客户的identity，通知swtich是否允许客户端访问LAN和交换机提供的服务Authentication Sever 接受