华为802.1x协议
发布时间:2010/9/15 10:28:50 来源:城市学习网 编辑:ziteng
802.1x协议作为局域网端口的一个普通接入控制机制用在以太网中,主要解决以太网内认证和安全方面的问题。
802.1x协议是一种基于端口的网络接入控制(Port Based Network Access Control)协议。“基于端口的网络接入控制”是指在局域网接入控制设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源——相当于连接被物理断开。
1、 三个实体:客户端、设备端、认证服务器
客户端:一般为PC终端
是位于局域网段一端的一个实体,由连接到该链接另一端的设备端对其进行认证。客户端需要安装dot1x客户端软件。客户端软件必须支持EAPOL(EAP over LANs,局域网上的EAP)协议。
设备端
位于局域网段一端的一个实体,用于对连接到该链接另一端的实体进行认证。设备端通常为支持802.1x协议的网络设备(如Quidway系列交换机),它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口。
认证服务器
为设备端提供认证服务的实体。认证服务器用于实现用户的认证、授权和计费,通常为RADIUS服务器。该服务器可以存储用户的相关信息,例如用户的账号、密码以及用户所属的VLAN、优先级、用户的访问控制列表等。
2、 四个基本概念:端口PAE、受控端口、受控方向、端口受控方式。
PAE(Port Access Entity,端口访问实体)
PAE是认证机制中负责执行算法和协议操作的实体。设备端PAE利用认证服务器对需要接入局域网的客户端执行认证,并根据认证结果相应地控制受控端口的授权/非授权状态。客户端PAE负责响应设备端的认证请求,向设备端提交用户的认证信息。客户端PAE也可以主动向设备端发送认证请求和下线请求。
受控端口
设备端为客户端提供接入局域网的端口,这个端口被划分为两个虚端口:受控端口和非受控端口。
非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,保证客户端始终能够发出或接受认证。
受控端口在授权状态下处于连通状态,用于传递业务报文;在非授权状态下处于断开状态,禁止传递任何报文。
受控端口和非受控端口是同一端口的两个部分;任何到达该端口的帧,在受控端口与非受控端口上均可见。
受控方向
在非授权状态下,受控端口可以被设置成单向受控:实行单向受控时,禁止从客户端接收帧,但允许向客户端发送帧。默认情况下,受控端口实行单向受控。
端口受控方式
Quidway系列交换机支持以下两种端口受控方式:
基于端口的认证:只要该物理端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,当第一个用户下线后,其他用户也会被拒绝使用网络。
基于MAC地址认证:该物理端口下的所有接入用户都需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
3、 802.1X工作机制
IEEE 802.1x认证系统利用EAP(Extensible Authentication Protocol,可扩展认证协议)协议,作为在客户端和认证服务器之间交换认证信息的手段。
在客户端PAE与设备端PAE之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN环境中。
在设备端PAE与RADIUS服务器之间,EAP协议报文可以使用EAPOR封装格式(EAP over RADIUS),承载于RADIUS协议中;也可以由设备端PAE进行终结,而在设备端PAE与RADIUS服务器之间传送PAP协议报文或CHAP协议报文。
当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE根据RADIUS服务器的指示(Accept或Reject)决定受控端口的授权/非授权状态。
