802.1x与radiusserver.ppt

802.1X应用简单介绍 820.1X的来历 802.1X的概念 820.1X重要组成部分名词解释 820.1X认证体系结构 802.1X认证流程 Radius server的安装配置 一、802.1X的来历 802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入（微软的Windows XP，以及cisco，北电，港湾等厂商的设备已经开始支持802.1X协议）。 在802.1x出现之前，IEEE802LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制设备(如LAN Switch)，就可以访问局域网中的设备或资源。这在早期企业有线LAN应用环境下并不存在明显的安全隐患。 随着无线LAN的应用以及LAN接入在电信网上大规模开展，有必要对端口加以控制，以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制（Port-Based Access Control）而定义的一个标准。 二、802.1X的概念 802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略。 802.1X是基于端口的认证策略（这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口，对于无线局域网来说个“端口”就是一条信道）。 802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通过。 三、名词解释 以下的名词为802.1x协议中的重要组成部分： Supplicant 客户端 客户端指LAN所连接的一端的实体（entity），它向认证系统（Authenticator 如下）发起请求，对其身份的合法性进行检验。 Authenticator认证系统 认证系统指在LAN连接的一端用于认证另一端设备的实体（entity）。 Authentication Server 认证服务器 认证服务器指为认证系统提供认证服务的实体。这里认证服务器所提供的服务是指通过检验客户端发送来的身份标识，来判断该请求者是否有权使用认证系统所提供的网络服务。 Network Access Port 网络访问端口 网络访问端口指用户系统连接到LAN的访问端口。访问端口可以是物理端口，例如连接到用户的网络设备端口；也可以是逻辑端口，例如用户设备的MAC地址。 Port Access Entity (PAE) 端口访问实体 指一个端口的相关协议实体。PAE 能够支持的功能包括：客户端（Supplicant）完成的功能、认证系统（Authenticator）完成的功能或者两者功能同时具备。 System 系统 系统是指通过一个或更多端口连接到LAN的设备，例如：终端、服务器、交换机或路由器等设备都称为系统。 四、802.1X认证体系 802.1x协议的体系结构 五、认证流程 —wireless实际效果图 Wireless认证流程 802.1X认证流程 基于802.1x的认证系统在客户端和认证系统之间使用EAPOL格式封装EAP协议传送认证信息，认证系统与认证服务器之间通过RADIUS协议传送认证信息。由于EAP协议的可扩展性，基于EAP协议的认证系统可以使用多种不同的认证算法，如EAP-MD5，EAP-TLS，EAP-TTLS以及LEAP，PEAP等认证方法。 EAP-MD5(消息摘要)验证是一种提供基本级别的EAP支持的EAP验证类型。它提供单向验证(不存在无线客户端和验证端的相互验证) EAP-TLS(传输层安全)提供了基于证书的客户端和验证端间的相互验证，并可用来动态生成基于用户和基于会话的WEP密钥，必须同时在客户端和服务器端管理证书,每个使用者在使用EAP-TLS认证的服务以前,都必须要先取得网路上负责认证CA的Certificate. EAP-TTLS(隧道传输层安全)由Funk Software和Certicom公司开发的，是EAP-TLS的一种扩展。它提供了一种基于证书的验证方法，并通过加密的隧道进行客户端和网络的相互验证，还提供了一种方法来根据每个用户、每个会话动态派生WEP密钥。与EAP-TLS