[精选]IEEE8021X协议培训胶片.pptx

宽带技术支持部宽带技术支持部宽带技术支持部宽带技术支持部802.1X802.1X协议培训教程协议培训教程协议培训教程协议培训教程我们今天要到达的目标我们今天要到达的目标我们今天要到达的目标我们今天要到达的目标初步认识和了解802.1X协议的背景，了解802.1X协议具体有什么特点？是做什么用的？有什么样的体系机构？采用什么样的认证流程？对于设备有什么特殊的要求？适合在何种范围下面使用？最后我们还要学习EAPOL协议的具体内容。今天我们要讲什么？今天我们要讲什么？今天我们要讲什么？今天我们要讲什么？l802.1X这个东东是从什么地方来的？这个东东是从什么地方来的？l802.1X这个东东是做什么用的？这个东东是做什么用的？l802.1X认证体系的结构认证体系的结构l802.1X的认证过程的认证过程l802.1x协议的认证端口协议的认证端口lEAPOL协议的介绍协议的介绍期期 望望 目目 标标我们要学的内容我们要学的内容我们要学的内容我们要学的内容Support.huawei.802.1X这个东东是从什么地方来的？这个东东是从什么地方来的？802.1X这个东东是做什么用的？这个东东是做什么用的？802.1X认证体系的结构认证体系的结构802.1X的认证过程的认证过程802.1x协议的认证端口协议的认证端口EAPOL协议的介绍协议的介绍802.1X802.1X这个东东是从什么地方来的？这个东东是从什么地方来的？l802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入微软的Windows XP，以及cisco，北电，港湾等厂商的设备已经开始支持802.1X协议。802.1X802.1X这个东东是从什么地方来的？这个东东是从什么地方来的？l在802.1x出现之前，企业网上有线LAN应用都没有直接控制到端口的方法。也不需要控制到端口。但是随着无线LAN的应用以及LAN接入在电信网上大规模开展，有必要对端口加以控制，以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制Port-Based Access Control而定义的一个标准。我们要学的内容我们要学的内容我们要学的内容我们要学的内容802.1X这个东东是做什么用的？这个东东是做什么用的？802.1X认证体系的结构认证体系的结构802.1X的认证过程的认证过程802.1x协议的认证端口协议的认证端口EAPOL协议的介绍协议的介绍802.1X这个东东是从什么地方来的？这个东东是从什么地方来的？Support.huawei.802.1X802.1X这个东东是做什么用的？这个东东是做什么用的？这个东东是做什么用的？这个东东是做什么用的？802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略。802.1X是基于端口的认证策略这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口，对于无线局域网来说个“端口就是一条信道802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“翻开这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭，此时只允许802.1X的认证报文EAPOLExtensible Authentication Protocol over LAN通过。我们要学的内容我们要学的内容我们要学的内容我们要学的内容Support.huawei.802.1X这个东东是做什么用的？这个东东是做什么用的？802.1X认证体系的结构认证体系的结构802.1X的认证过程的认证过程802.1x协议的认证端口协议的认证端口EAPOL协议的介绍协议的介绍802.1X这个东东是从什么地方来的？这个东东是从什么地方来的？802.1X802.1X认证体系的结构认证体系的结构认证体系的结构认证体系的结构PAE：认证机制中负责处理算法和协议的实体。EAP：Extensible Authentication Protocol802.1X802.1X认证体系的结构认证体系的结构认证体系的结构认证体系的结构802.1X的认证体系分为三局部结构：Supplicant System，客户端PC/网络设备 Authenticator System，认证系统Authentication Server System，认证效劳器802.1X802.1X认证体系的结构认证体系的结构认证体系的结构认证体系的结构Supplicant System，客户端PC/网络设备Supplicant System Client客户端是需要接入LAN，及享受switch提供效劳的设备如PC机，客户端需要支持EAPOL协议，客户端必须运行802.1X客户端软件，如：802.1X-plain，Microsoft Windows XP802.1X802.1X认证体系的结构认证体系的结构认证体系的结构认证体系的结构在win98下提供的客户端：在winXP下提供的客户端：802.1X802.1X认证体系的结构认证体系的结构认证体系的结构认证体系的结构Authenticator System，认证系统Authenticator System Switch 边缘交换机或无线接入设备是根据客户的认证状态控制物理接入的设备，switch在客户和认证效劳器间充当代理角色proxy。switch与client间通过EAPOL协议进行通讯，switch与认证效劳器间通过EAPoRadius或EAP承载在其他高层协议上，以便穿越复杂的网络到达 Authentication Server EAP Relay；switch要求客户端提供identity，接收到后将EAP报文承载在Radius格式的报文中，再发送到认证效劳器，返回等同；switch根据认证结果控制端口是否可用；需要指出的是：需要指出的是：我们的802.1x协议在设备内终结并转换成标准的RADIUS协议报文，加密算法采用PPP的CHAP认证算法，所有支持PPP CHAP认证算法的认证计费效劳器都可以与我们对接成功。802.1X802.1X认证体系的结构认证体系的结构认证体系的结构认证体系的结构Authentication Sever System，认证效劳器Authentication server 认证效劳器对客户进行实际认证，认证效劳器核实客户的identity，通知swtich是否允许客户端访问LAN和交换机提供的效劳Authentication Sever 接受 Authenticator 传递过来的认证需求，认证完成后将认证结果下发给 Authenticator，完成对端口的管理。由于 EAP 协议较为灵活，除了 IEEE 802.1x 定义的端口状态外，Authentication Server 实际上也可以用于认证和下发更多用户相关的信息，如VLAN、QOS、加密认证密钥、DHCP响应等。我们要学的内容我们要学的内容我们要学的内容我们要学的内容Support.huawei.802.1X这个东东是做什么用的？这个东东是做什么用的？802.1X认证体系的结构认证体系的结构802.1X的认证过程的认证过程802.1x协议的认证端口协议的认证端口EAPOL协议的介绍协议的介绍802.1X这个东东是从什么地方来的？这个东东是从什么地方来的？802.1X802.1X的认证过程的认证过程的认证过程的认证过程802.1X802.1X的认证过程的认证过程的认证过程的认证过程认证前后端口的状态802.1X的认证中，端口的状态决定了客户端是否能接入网络，在启用802.1x认证时端口初始状态一般为非授权unauthorized，在该状态下，除802.1X 报文和播送报文外不允许任何业务输入、输出通讯。当客户通过认证后，则端口状态切换到授权状态authorized，允许客户端通过端口进行正常通讯。802.1X802.1X的认证过程的认证过程的认证过程的认证过程认证通过前认证通过前，通道的状态为unauthorized，此时只能通过EAPOL的802.1X认证报文；认证通过时，认证通过时，通道的状态切换为authorized，此时从远端认证效劳器可以传递来用户的信息，比方VLAN、CAR参数、优先级、用户的访问控制列表等等；认证通过后认证通过后，用户的流量就将接受上述参数的监管，此时该通道可以通过任何报文，注意只有认证通过后才有DHCP等过程。基本的认证过程：基本的认证过程：802.1X802.1X的认证过程的认证过程的认证过程的认证过程认证通过之后的保持：认证通过之后的保持：认证端Authenticator可以定时要求Client重新认证，时间可设。重新认证的过程对User是透明的应该是User不需要重新输入密码。下线方式：下线方式：物理端口Down；重新认证不通过或者超时；客户端发起EAP_Logoff帧；网管控制导致下线；802.1X802.1X的认证过程的认证过程的认证过程的认证过程现在的设备现在的设备switch端口有三种认证方式：端口有三种认证方式：ForceAuthorized：端口一直维持授权状态，switch的 Authenticator不主动发起认证；ForceUnauthorized：端口一直维持非授权状态，忽略所有客户端发起的认证请求；Auto：激活802.1X，设置端口为非授权状态，同时通知设备管理模块要求进行端口认证控制，使端口仅允许EAPOL报文收发，当发生UP事件或接收到EAPOL-start报文，开始认证流程，请求客户端Identify，并中继客户和认证效劳器间的报文。认证通过后端口切换到授权状态，在退出前可以进行重认证。我们要学的内容我们要学的内容我们要学的内容我们要学的内容802.1X这个东东是做什么用的？这个东东是做什么用的？802.1X认证体系的结构认证体系的结构802.1X的认证过程的认证过程802.1x协议的认证端口协议的认证端口EAPOL协议的介绍协议的介绍802.1X这个东东是从什么地方来的？这个东东是从什么地方来的？Support.huawei.802.1x802.1x协议的认证端口协议的认证端口协议的认证端口协议的认证端口受控端口受控端口：在通过认证前，只允许认证报文EAPOL报文和播送报文DHCP、ARP通过端口，不允许任何其他业务数据流通过；逻辑受控端口逻辑受控端口：多个Supplicant共用一个物理端口，当某个Supplicant没有通过认证前，只允许认证报文通过该物理端口，不允许业务数据，但其他已通过认证的Supplicant业务不受影响。802.1x802.1x协议的认证端口协议的认证端口协议的认证端口协议的认证端口现在在使用中有下面三种情况：现在在使用中有下面三种情况：仅对使用同一物理端口的任何一个用户进行认证仅对一个用户进行认证，认证过程中忽略其他用户的认证请求，认证通过后其他用户也就可以利用该物理端口访问网络效劳 对共用同一个物理端口的多个用户分别进行认证控制，限制同时使用同一个物理端口的用户数目限制MAC地址数目，但不指定MAC地址，让系统根据先到先得原则进行MAC地址学习，系统将拒绝超过限制数目的请求，假设有用户退出，则可以覆盖已退出得MAC地址。对利用不同物理端口的用户进行VLAN认证控制，即只允许访问指定VLAN，限制用户访问非授权VLAN；用户可以利用受控端口，访问指定VLAN，同一用户可以在不同的端口访问相同的VLAN。我们要学的内容我们要学的内容我们要学的内容我们要学的内容802.1X这个东东是做什么用的？这个东东是做什么用的？802.1X认证体系的结构认证体系的结构802.1X的认证过程的认证过程802.1x协议的认证端口协议的认证端口EAPOL协议的介绍协议的介绍802.1X这个东东是从什么地方来的？这个东东是从什么地方来的？Support.huawei.EAPOLEAPOL协议的介绍协议的介绍Extensible Authentication Protocol over LANIEEE 802.1x定义了基于端口的网络接入控制协议，需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式。为了在点到点链路上建立通信，在链路建立阶段PPP链路的每一端都必须首先发送LCP数据包来对该数据链路进行配置。在链路已经建立起来后，在进入网络层协议之前，PPP提供一个可选的认证阶段。而EAPOL就是PPP的一个可扩展的认证协议。EAPOLEAPOL协议的介绍协议的介绍下面是一个典型的下面是一个典型的PPP协议的帧格式：协议的帧格式：FlagAddressControlProtocolInformation当PPP帧中的protocol域说明协议类型为C227PPP EAP时，在PPP数据链路层帧的Information域中封装且仅封装PPP EAP数据包，此时说明将应用PPP的扩展认证协议EAP。这个时候这个封装着EAP报文的information域就担负起了下一步认证的全部任务，下一步的EAP认证都将通过它来进行。EAPOLEAPOL协议的介绍协议的介绍一个典型的EAP认证的过程分为：request、response、success或者failure阶段，每一个阶段的报文传送都由Information域所携带的EAP报文来承担。EAP报文的格式为：CodeIdentifierLengthDataEAPOLEAPOL协议的介绍协议的介绍CodeIdentifierLengthDataCode域域为一个字节，表示了EAP数据包的类型，EAP的Code的值指定和意义如下：Code1Request Code2 Response Code3 Success Code4 FailureIndentifier域域为一个字节，辅助进行request和response的匹配每一个request都应该有一个response相对应，这样的一个Indentifier域就建立了这样的一个对应关系相同的Indentifier相匹配。EAPOLEAPOL协议的介绍协议的介绍CodeIdentifierLengthDataLength域域为两个字节，说明了EAP数据包的长度，包括Code,Identifier,Length以及Data等各域。超出Length域范围的字节应该视为数据链路层填充padding,在接收时应该被忽略掉。Data域域为0个或者多个字节，Data域的格式由Code的值来决定。EAPOLEAPOL协议的介绍协议的介绍分别介绍分别介绍Code为不同的值的时候报文的格式和各个域的定义。为不同的值的时候报文的格式和各个域的定义。当Code域为1或者2的时候，这个时候为EAP的request和response报文，报文的格式为：CodeIdentifierLengthTypeType Data当Code为1的时候是request报文，当Code为2的时候是response报文。Identifier域为一个字节。在等待Response时根据timeout而重发的Request的Identifier域必须相同。任何新的非重发的Request必须修改Identifier域。如果对方收到了重复的Request，并且已经发送了对该Request的Response，则对方必须重发该Response。如果对方在给最初的Request发送Response之前收到重复的Request也就是说，它在等待用户输入，它必须悄悄的丢弃重复的Request。EAPOLEAPOL协议的介绍协议的介绍CodeIdentifierLengthTypeType DataLength域为两个字节，说明EAP数据包的长度，包括Code，Identifier，Length，Type以及Type-Data等各域。超出Length域的字节应视为数据链路层填充padding，在接收时应该被忽略掉。Type域为一个字节,该域说明了Request或Response的类型。在EAP的Request或Response中必须出现且仅出现一个Type。通常Response中的Type域和Request中的Type域相同。但是，Response可以有个Nak类型，说明Request中的Type不能被对方接受。当对方发送Nak来响应一个Request时，它可以暗示它所希望使用并且支持的认证类型。Type Data域随Request和相对应的Response的Type的不同而不同。EAPOLEAPOL协议的介绍协议的介绍CodeIdentifierLengthTypeType DataType域的说明如下：域的说明如下：Type域总共分为6个值域，其中头3种Type被认为特殊情形的Type，其余的Type定义了认证的交换流量。Nak类型仅对Response数据包有效，不允许把它放在Request中发送。Type1IdentifierType2NotificationType3NakResponse OnlyType4MD5-ChallengeType5One-Time Password OTPType4Generic Token CardEAPOLEAPOL协议的介绍协议的介绍分别介绍分别介绍Code为不同的值的时候报文的格式和各个域的定义。为不同的值的时候报文的格式和各个域的定义。当Code域为3或者4的时候，这个时候为EAP的Success和Failure报文，报文的格式为：CodeIdentifierLength当Code为3的时候是Success报文，当Code为4的时候是Failure报文Identifier域为一个字节，辅助匹配Response应答。Identifier域必须与其正在应答的Response域中的Identifier域相匹配。总结总结总结总结IEEE 802.1x定义了基于端口的网络接入控定义了基于端口的网络接入控制协议，其中端口可以是物理端口，也可以制协议，其中端口可以是物理端口，也可以是逻辑端口。是逻辑端口。802.1X802.1X关心的只是一个端口物理的或者逻关心的只是一个端口物理的或者逻辑的是否翻开，而不关心翻开之后上来的辑的是否翻开，而不关心翻开之后上来的是什么样的报文。是什么样的报文。802.1x协议只是提供了一种用户接入认证的协议只是提供了一种用户接入认证的手段，它也只是对用户的认证进行控制，而手段，它也只是对用户的认证进行控制，而接入网络设备必须具备的其他的一些平安和接入网络设备必须具备的其他的一些平安和管理特性，由各厂家设备自行来提供的。管理特性，由各厂家设备自行来提供的。谢谢大家谢谢大家谢谢大家谢谢大家9、静夜四无邻，荒居旧业贫。6月-236月-23Thursday,June 1,202310、雨中黄叶树，灯下白头人。05:00:4105:00:4105:006/1/2023 5:00:41 AM11、以我独沈久，愧君相见频。6月-2305:00:4105:00Jun-2301-Jun-2312、故人江海别，几度隔山川。05:00:4105:00:4105:00Thursday,June 1,202313、乍见翻疑梦，相悲各问年。6月-236月-2305:00:4105:00:41June 1,202314、他乡生白发，旧国见青山。01 六月 20235:00:41 上午05:00:416月-2315、比不了得就不比，得不到的就不要。六月 235:00 上午6月-2305:00June 1,202316、行动出成果，工作出财富。2023/6/1 5:00:4105:00:4101 June 202317、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。5:00:41 上午5:00 上午05:00:416月-239、没有失败，只有暂时停止成功！。6月-236月-23Thursday,June 1,202310、很多事情努力了未必有结果，但是不努力却什么改变也没有。05:00:4105:00:4105:006/1/2023 5:00:42 AM11、成功就是日复一日那一点点小小努力的积累。6月-2305:00:4205:00Jun-2301-Jun-2312、世间成事，不求其绝对圆满，留一份缺乏，可得无限完美。05:00:4205:00:4205:00Thursday,June 1,202313、不知香积寺，数里入云峰。6月-236月-2305:00:4205:00:42June 1,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。01 六月 20235:00:42 上午05:00:426月-2315、楚塞三湘接，荆门九派通。六月 235:00 上午6月-2305:00June 1,202316、少年十五二十时，步行夺得胡马骑。2023/6/1 5:00:4205:00:4201 June 202317、空山新雨后，天气晚来秋。5:00:42 上午5:00 上午05:00:426月-239、杨柳散和风，青山澹吾虑。6月-236月-23Thursday,June 1,202310、阅读一切好书如同和过去最杰出的人谈话。05:00:4205:00:4205:006/1/2023 5:00:42 AM11、越是没有本领的就越加自命非凡。6月-2305:00:4205:00Jun-2301-Jun-2312、越是无能的人，越喜欢挑剔别人的错儿。05:00:4205:00:4205:00Thursday,June 1,202313、知人者智，自知者明。胜人者有力，自胜者强。6月-236月-2305:00:4205:00:42June 1,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。01 六月 20235:00:42 上午05:00:426月-2315、最具挑战性的挑战莫过于提升自我。六月 235:00 上午6月-2305:00June 1,202316、业余生活要有意义，不要越轨。2023/6/1 5:00:4205:00:4201 June 202317、一个人即使已登上顶峰，也仍要自强不息。5:00:42 上午5:00 上午05:00:426月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉