1 接入网技术第 12章 用户接入管理协议
12.1 引言
12.2 接入链路协议
12.3 接入认证 /控制协议
12.4 接入管理协议
12.5 小结和推荐资料
2 接入网技术
12.1 引言
接入网的核心功能之一是对用户进行接入管理
参与用户接入管理的协议主要分为三个层次
接入链路协议
接入认证 /控制协议
以及接入管理协议
3 接入网技术用户接入管理的协议模型用户 BAS 接入管理服务器接入管理协议接入认证 /控制协议接入链路协议物理层接入链路协议接入认证 /
控制协议物理层数据链路层网络层接入管理协议物理层接入链路协议接入认证 /
控制协议物理层数据链路层网络层接入管理协议
4 接入网技术
12.2 接入链路协议
接入链路协议作用:
提供链路通信服务
提供或便于实现基于用户的接入控制功能
典型的接入链路协议有:
以太网协议,IEEE 802.3
无线局域网协议( IEEE 802.11系列)
PPP( Point-to-Point Protocol,点到点协议)
PPPoE:以太网上的点到点协议)
Point to Point Protocol over Ethernet
本章主要介绍 PPP和 PPPoE协议。
5 接入网技术
PPP协议
概念
Point-to-Point Protocol 点到点的协议目前使用的版本,RFC 1661
协议作用范围
点到点的链路上 (数据链路 )
功能
实现点到点链路的两个节点之间,
数据链路的建立与拆除
链路质量检测 身份认证
网络层协议协商与配置 (如 IP协议的 IP的地址等 )
两个子协议,LCP 与 NCP
6 接入网技术
PPP协议 ——LCP
链路控制协议 LCP
Link Control Protocol
链路建立
链路参数协商(如 MRU等)与配置
是否认证或认证协议协商
链路拆除等
7 接入网技术
PPP协议 ——NCP
网络层控制协议 NCP
Network Control Protocol
不同的网络层协议可复用在同一 PPP链路上
PPP为不同的网络层设计了相应的 NCP
如对应 IP协议的 NCP为 IPCP
对应 IPX协议的 NCP为 IPXCP
不同的 NCP处理不同网络层特殊要求(如 IP地址分配等)
同一个 PPP连接下可开启多个 NCP
8 接入网技术
PPP的协议的封装格式
类似 HDLC的 UI帧(无编号帧)
地址 控制 协议 数据 FCS
字节 1 1 2 变长 2
地址 控制 数据 FCS HDLC UI帧
PPP 帧固定值
OxFF
固定值
Ox03
封装数据的协议类型
9 接入网技术
PPP的协议操作过程五个阶段及各阶段转换图
UP OPEND SUCCESS/NONE
FAIL
DOWN CLOSING
链路死亡链路建立 认证网络层协议链路终止
FAIL
10 接入网技术
PPP协议的五个阶段
死亡阶段
物理层未准备好,PPP的初始阶段
链路建立阶段,由 LCP完成
建立请求、协商 MRU、认证协议、链路质量监测协议
认证阶段,由 LCP完成
可选项,对用户身份的鉴别。是否选或选择何种认证协议在建立连接阶段协商
网络层协议阶段,由 NCP完成
对网络层协议进行配置,如网络层地址( IP地址)分配
链路终止阶段,由 LCP完成
可以在任何时候终止链路,链路的正常终止由 LCP分组完成,
一个 NCP的关闭不一定引起链路的关闭
11 接入网技术
PPPoE协议
概念
PPP Over Ethernet 以太网的点到点的协议
目前使用的版本,RFC 2516
PPPoE的引入
PPP只适应点到点链路的接入控制
点到多点链路 PPP仍然适应吗?否 !
PPPoE可以实现对点到多点链路的接入控制
PPPoE的功能
对以太网上每个用户与 NAS之间建立一条 PPP会话通道
每一条 PPP会话通道有唯一的连接标识
实现对太网上每个用户进行单独的管理
12 接入网技术
PPPoE接入模型
图中:接入桥接设备可为:交换机,ADSL Modem
接入集中器可为,PPPoE服务器,DSLAM
主机主机主机接入集中器
Access Concentrator
主机主机
ISP
局域网
(以太网)
PPP会话桥接接入设备
Bridging Access Device
13 接入网技术
PPPoE协议分层模型以太网物理层
PPPoE 数据链路层网络层
PPP
IP
14 接入网技术
PPPoE分组(帧)格式
PPPoE协议封装在以太帧中(以太帧的载荷)
字节目的 MAC地址 源 MAC地址 类型 有效载荷( PPPoE分组 ) FCS
6 6 2 变长 4
PPPoE封装在以太帧中发现阶段类型,0x8863
会话阶段类型,0x8864
版本 代码类型有效载荷会话标识比特
0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7
长度
PPPoE分组格式固定值 不同阶段的 分组类型
PPPoE 载荷长度标识一个特定的
PPPoE会话发现阶段:为空会话阶段,PPP帧
15 接入网技术
PPPoE协议操作(运行)的两个阶段两个阶段,PPPoE发现与 PPP会话
发现阶段
主机广播一个 PPPoE有效发现启动分组,寻找合适的 PPPoE服务器
可能有多个服务器收到该消息,满足要求的服务器发送有效发现提供分组应答,否则不发应答
主机选择一个合适的接入服务器,
发有效发现请求分组
接入服务器为主机分配唯一的会话标识。发现过程结束主机
PPPoE
接入服务器
① 广播 PADI
② 单播 PADO
③ 单播 PADR
④ 单播 PADS
16 接入网技术
PPPoE协议操作(运行)的两个阶段
PPP会话阶段
发现结束后,主机和 PPPoE接入服务器建立点到点隧道,进入会话阶段
PPP帧封装在 PPPoE帧中
而 PPPoE帧封装在 Ethernet帧中,通过以太网或其它接入网承载或运送
17 接入网技术
12.3 接入认证 /控制协议
口令认证协议 PAP
质询认证协议 CHAP
可扩展的认证协议 EAP
基于端口的接入认证与控制协议 802.1X
18 接入网技术口令认证协议 PAP
PAP(由 RFC 1334描述)
Password Authentication Protocol
口令认证协议
PAP认证过程
被认证方向认证方发认证请求信息(明文) 请求信息含,用户名、口令,
认证方向被认证方发认证应答信息(明文)
Auth-Ack or Auth-Nak
认证请求
( Auth-Request)
认证成功 /失败
( Auth-Ack / Auth-Nak)
A
(被认证方)
B
(认证方)?PAP认证的问题明文传输认证信息容易被窃取,存在安全隐患
19 接入网技术质询认证协议 CHAP
CHAP
Challenge Authentication Protocol
质询认证协议
由 RFC 1994描述
CHAP认证的特点
认证信息采用密文传送
采用共享密钥
与 PAP相比
安全性更高
认证所花时间更长
20 接入网技术质询认证协议 CHAP
CHAP认证的交互过程
2) 响应( Response) (密文)
1) 质询( Challenge) (明文)
A
(被认证方)
B
(认证方)
3) 认证成功 /失败
( Auth-Ack / Auth-Nak)
1) 由认证方向被认证方发送质询分组质询值为随机数
2 ) 由被认证方向认证方发送响应分组将质询值通过共享密钥加密后传送到对方
3 ) 由认证方向被认证方发送响应分组认证方用共享密钥解密,正确 发 Ack,错误发 Nak
21 接入网技术可扩展认证协议 EAP
EAP的含义
Extensible Authentication Protocol
可扩展的认证协议
由 RFC 2284描述
并非一个具体的认证协议
是一个认证协议的封装协议
定义了一种封装的框架、格式
具体的认证协议和认证信息封装在 EAP分组中,如 PAP over EAP,CHAP over
EAP etc.
迄今 EAP支持的认证协议达 42种
22 接入网技术用户接入控制协议 802.1X
概念
IEEE802.1X 基于端口的接入控制协议
目前使用标准版本,IEEE Std 802.1X-2001
一个专用于 802网络用户接入认证与控制的协议
接入要求
LAN用户以点到点方式接入到 LAN的端口上
端口可以是物理端口(如以太网交换机端口)
端口也可以是逻辑端口(如 WLAN中的 AP端口)
功能
为 LAN用户提供接入认证及授权的服务功能
23 接入网技术
802.1X协议模型的三种实体
客户系统( Supplicant System)
运行 802.1X客户软件的用户终端系统
认证系统( Authenticator System)
为 802.1X客户系统(即 LAN用户)提供授权的接入服务,通常为支持 802.1X协议的网络接入设备
认证服务器系统( Authentication Server
System)
为认证系统提供认证服务
24 接入网技术
802.1X的协议运行模型
PAE,Port Access Entity,端口接入实体客户系统 认证系统 认证服务器系统客户
PAE
提供授权的服务 认证 PAE
受控端口认 证服务器
LAN
不受控端口运行 802.1X客户软件的用户终端
支持 802.1X的网络接入设备
为 801.1x客户提供授权的接入服务为认证系统 提供认证服务
802.1X的不受控 /受控端口
不受控端口
传输认证信息
始终连通
受控端口
传输用户业务数据
受控方式:双向受控或仅输入受控
端口默认状态为未授权状态,即断开状态
双向受控:端口此时禁止收、发业务数据
仅输入受控:端口此时只能发送数据
通过认证后,处于授权状态,即接通状态
LAN
认证系统受控端口 不受控端口
26 接入网技术
802.1X协议运行
协议运行实体
客户 PAE、认证 PAE、认证服务器
认证协议封装类型
客户 PAE与认证 PAE之间,EAPOL(EAP Over Ethernet)
认证 PAE与认证服务器之间,EAP
认证的发起者
客户 PAE或认证 PAE
27 接入网技术
802.1X的认证与接入过程
1)客户 PAE将认证信息由 EAPOL封装,并通过认证系统的不受控端口传输到认证 PAE
2)认证 PAE将认证信息由 EAP封装传输到认证服务器
3)认证服务器验证用户认证信息,并将认证结果返回到认证 PAE(成功或失败)
4)认证 PAE将认证结果反馈给客户 PAE
认证成功:受控端口设为授权状态,向用户提供接入服务
认证失败:受控端口继续断开,拒绝向用户提供接入服务
28 接入网技术
通过以太网交换机接入的交换式以太网
每台主机以点到点方式接入到交换机每个端口
接入点为交换机的物理端口
通过 AP接入的无线局域网
每台无线主机以点到点方式接入 AP的同一无线端口
控制端口为逻辑端口
不同的逻辑端口可由
MAC地址区分注,PC中安装客户 PAE
交换机或 AP中安装认证 PAE
PCPC
以太网交换机
PC
PC
AAA
Server
AP
PC
PC
PC
802.1X协议的应用
29 接入网技术
概念
RADIUS的含义
协议的发展
协议的功能
协议模型
协议运行
报文格式和类型(自学)
RADIUS代理
协议应用
12.4 接入管理协议
30 接入网技术
RADIUS 的含义
Remote Authentication Dial In User Service
远程认证拨号用户服务
协议标准,RFC2865,RFC2866
扩展版本,RFC2867,RFC2868 等
协议发展与应用范围
最初仅针对拨号用户,实现 AAA的管理功能
现已发展成一种通用的、广泛使用的实现 AAA功能的协议
适用于各种方式接入的用户的集中管理
协议的功能
对接入用户提供认证、授权和记帐功能
支持对漫游用户的接入管理用户接入管理协议 – RADIUS
31 接入网技术协议模型
LAN
用户 NAS RADIUS server
接入
client
接入
server
RADIUS
client
用户接 入认证协议
RADIUS
协议 用户管理数据库用户接入管理协议 – RADIUS
模型结构为集中 /分布式
协议作用范围,NAS与 RADIUS服务器之间
注意,RADIUS并未对用户与 NAS之间的认证协议进行规定
32 接入网技术用户接入管理协议 – RADIUS
RADIUS 协议运行
NAS与 RADIUS服务器之间的操作
但必须有用户与 NAS之间认证协议的配合
协议运行分为两个过程:
认证操作(包括授权)
记帐操作
协议实体交互过程中采用重传机制
33 接入网技术用户接入管理协议 – RADIUS
认证操作
操作实体
NAS与 RADIUS认证服务器
认证操作的方式
请求 /响应方式
质询 /响应方式
34 接入网技术用户接入管理协议 – RADIUS
请求 /响应方式 (一问一答)
用户名、口令接入认证结果用户 NAS RADIUS认证服务器接入请求报文接入许可 /拒绝报文
NAS从用户处获得用户认证信息
NAS将认证信息生成一个 RADIUS接入请求报文发向
RADIUS认证服务器(含用户名、口令等)
RADIUS认证服务器验证用户的合法性,并通过接入许可 /
拒绝报文回应 NAS
35 接入网技术接入许可 /拒绝报文接入质询报文用户接入管理协议 – RADIUS
质询 /响应方式用户名、口令接入认证结果用户 NAS RADIUS认证服务器接入请求报文质询值,提示消息响应值 接入请求报文
NAS第 1次发出的接入请求报文中含用户名和口令信息
NAS第 2次发出的接入请求报文中将口令换成用户的质询响应值
36 接入网技术用户接入管理协议 – RADIUS
记帐请求报文接入许可开始记帐
RADIUS
记帐服务器记帐响应报文
NAS
a) 开始记帐记帐请求报文服务终止结束记帐
RADIUS
记帐服务器记帐响应报文
NAS
b) 结束记帐
记帐操作
操作实体,NAS与 RADIUS记帐服务器
操作时机:授权许可提供服务开始时和服务终止时
37 接入网技术用户接入管理协议 – RADIUS
RADIUS 代理
一个 RADIUS服务器可以同时为某些管理域的中继服务器和其它域的远程服务器
一个中继服务器可以为多个远程服务器中继
典型应用:为漫游用户提供接入 AAA管理
38 接入网技术用户接入管理协议 – RADIUS
RADIUS 代理假设用户 A的认证信息存放在一个远程服务器中中继服务器 远程服务器
1)接入请求报文
4)接入许可 /拒绝报文
NAS
2)接入请求报文
3)接入许可 /拒绝报文
RADIUS
服务器NAS用户 A
RADIUS
服务器 网络
39 接入网技术
12.5小结和推荐资料
本章要点小结
用户接入管理的功能(核心是 AAA)
用户接入管理的结构与特点
分散、分布、集中、集中 /分布
用户接入管理的模型
用户,NAS,AAA服务器
接入链路协议
PPP(协议功能,LCP和 NCP的功能)
PPPoE(协议功能、如何实现点对多点链路的单个用户的管理)
接入认证协议
PAP
CHAP
802.1X(实体、模型、协议运行原理)
接入管理协议
RADIAUS(模型、协议功能、作用范围、操作过程)
40 接入网技术推荐资料
[1] RFC 1661,PPP Protocol,1994-07.
[2] RFC 2516,PPPoE Protocol,1999-02.
[3] RFC 1334,PPP Authentication Protocols,1992-10.
[4] RFC 1994,CHAP Protocol,1996-08.
[5] RFC 3748,EAP Protocol,2004-06.
[6] IEEE Std 802.1X-2004,Port-Based Network Access
Control,2004-12
[7] RFC 2865,RADIUS,2000-06.
[8] RFC 2866,RADIUS Accounting,2000-06.
[9] RFC 3579,RADIUS Support For EAP,2003-09.
[10] RFC 3580,IEEE 802.1X RADIUS Usage Guidelines,
2003-09.
[11] IETF,http://www.ietf.org/
[12] IANA,http://www.iana.org/
12.1 引言
12.2 接入链路协议
12.3 接入认证 /控制协议
12.4 接入管理协议
12.5 小结和推荐资料
2 接入网技术
12.1 引言
接入网的核心功能之一是对用户进行接入管理
参与用户接入管理的协议主要分为三个层次
接入链路协议
接入认证 /控制协议
以及接入管理协议
3 接入网技术用户接入管理的协议模型用户 BAS 接入管理服务器接入管理协议接入认证 /控制协议接入链路协议物理层接入链路协议接入认证 /
控制协议物理层数据链路层网络层接入管理协议物理层接入链路协议接入认证 /
控制协议物理层数据链路层网络层接入管理协议
4 接入网技术
12.2 接入链路协议
接入链路协议作用:
提供链路通信服务
提供或便于实现基于用户的接入控制功能
典型的接入链路协议有:
以太网协议,IEEE 802.3
无线局域网协议( IEEE 802.11系列)
PPP( Point-to-Point Protocol,点到点协议)
PPPoE:以太网上的点到点协议)
Point to Point Protocol over Ethernet
本章主要介绍 PPP和 PPPoE协议。
5 接入网技术
PPP协议
概念
Point-to-Point Protocol 点到点的协议目前使用的版本,RFC 1661
协议作用范围
点到点的链路上 (数据链路 )
功能
实现点到点链路的两个节点之间,
数据链路的建立与拆除
链路质量检测 身份认证
网络层协议协商与配置 (如 IP协议的 IP的地址等 )
两个子协议,LCP 与 NCP
6 接入网技术
PPP协议 ——LCP
链路控制协议 LCP
Link Control Protocol
链路建立
链路参数协商(如 MRU等)与配置
是否认证或认证协议协商
链路拆除等
7 接入网技术
PPP协议 ——NCP
网络层控制协议 NCP
Network Control Protocol
不同的网络层协议可复用在同一 PPP链路上
PPP为不同的网络层设计了相应的 NCP
如对应 IP协议的 NCP为 IPCP
对应 IPX协议的 NCP为 IPXCP
不同的 NCP处理不同网络层特殊要求(如 IP地址分配等)
同一个 PPP连接下可开启多个 NCP
8 接入网技术
PPP的协议的封装格式
类似 HDLC的 UI帧(无编号帧)
地址 控制 协议 数据 FCS
字节 1 1 2 变长 2
地址 控制 数据 FCS HDLC UI帧
PPP 帧固定值
OxFF
固定值
Ox03
封装数据的协议类型
9 接入网技术
PPP的协议操作过程五个阶段及各阶段转换图
UP OPEND SUCCESS/NONE
FAIL
DOWN CLOSING
链路死亡链路建立 认证网络层协议链路终止
FAIL
10 接入网技术
PPP协议的五个阶段
死亡阶段
物理层未准备好,PPP的初始阶段
链路建立阶段,由 LCP完成
建立请求、协商 MRU、认证协议、链路质量监测协议
认证阶段,由 LCP完成
可选项,对用户身份的鉴别。是否选或选择何种认证协议在建立连接阶段协商
网络层协议阶段,由 NCP完成
对网络层协议进行配置,如网络层地址( IP地址)分配
链路终止阶段,由 LCP完成
可以在任何时候终止链路,链路的正常终止由 LCP分组完成,
一个 NCP的关闭不一定引起链路的关闭
11 接入网技术
PPPoE协议
概念
PPP Over Ethernet 以太网的点到点的协议
目前使用的版本,RFC 2516
PPPoE的引入
PPP只适应点到点链路的接入控制
点到多点链路 PPP仍然适应吗?否 !
PPPoE可以实现对点到多点链路的接入控制
PPPoE的功能
对以太网上每个用户与 NAS之间建立一条 PPP会话通道
每一条 PPP会话通道有唯一的连接标识
实现对太网上每个用户进行单独的管理
12 接入网技术
PPPoE接入模型
图中:接入桥接设备可为:交换机,ADSL Modem
接入集中器可为,PPPoE服务器,DSLAM
主机主机主机接入集中器
Access Concentrator
主机主机
ISP
局域网
(以太网)
PPP会话桥接接入设备
Bridging Access Device
13 接入网技术
PPPoE协议分层模型以太网物理层
PPPoE 数据链路层网络层
PPP
IP
14 接入网技术
PPPoE分组(帧)格式
PPPoE协议封装在以太帧中(以太帧的载荷)
字节目的 MAC地址 源 MAC地址 类型 有效载荷( PPPoE分组 ) FCS
6 6 2 变长 4
PPPoE封装在以太帧中发现阶段类型,0x8863
会话阶段类型,0x8864
版本 代码类型有效载荷会话标识比特
0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7
长度
PPPoE分组格式固定值 不同阶段的 分组类型
PPPoE 载荷长度标识一个特定的
PPPoE会话发现阶段:为空会话阶段,PPP帧
15 接入网技术
PPPoE协议操作(运行)的两个阶段两个阶段,PPPoE发现与 PPP会话
发现阶段
主机广播一个 PPPoE有效发现启动分组,寻找合适的 PPPoE服务器
可能有多个服务器收到该消息,满足要求的服务器发送有效发现提供分组应答,否则不发应答
主机选择一个合适的接入服务器,
发有效发现请求分组
接入服务器为主机分配唯一的会话标识。发现过程结束主机
PPPoE
接入服务器
① 广播 PADI
② 单播 PADO
③ 单播 PADR
④ 单播 PADS
16 接入网技术
PPPoE协议操作(运行)的两个阶段
PPP会话阶段
发现结束后,主机和 PPPoE接入服务器建立点到点隧道,进入会话阶段
PPP帧封装在 PPPoE帧中
而 PPPoE帧封装在 Ethernet帧中,通过以太网或其它接入网承载或运送
17 接入网技术
12.3 接入认证 /控制协议
口令认证协议 PAP
质询认证协议 CHAP
可扩展的认证协议 EAP
基于端口的接入认证与控制协议 802.1X
18 接入网技术口令认证协议 PAP
PAP(由 RFC 1334描述)
Password Authentication Protocol
口令认证协议
PAP认证过程
被认证方向认证方发认证请求信息(明文) 请求信息含,用户名、口令,
认证方向被认证方发认证应答信息(明文)
Auth-Ack or Auth-Nak
认证请求
( Auth-Request)
认证成功 /失败
( Auth-Ack / Auth-Nak)
A
(被认证方)
B
(认证方)?PAP认证的问题明文传输认证信息容易被窃取,存在安全隐患
19 接入网技术质询认证协议 CHAP
CHAP
Challenge Authentication Protocol
质询认证协议
由 RFC 1994描述
CHAP认证的特点
认证信息采用密文传送
采用共享密钥
与 PAP相比
安全性更高
认证所花时间更长
20 接入网技术质询认证协议 CHAP
CHAP认证的交互过程
2) 响应( Response) (密文)
1) 质询( Challenge) (明文)
A
(被认证方)
B
(认证方)
3) 认证成功 /失败
( Auth-Ack / Auth-Nak)
1) 由认证方向被认证方发送质询分组质询值为随机数
2 ) 由被认证方向认证方发送响应分组将质询值通过共享密钥加密后传送到对方
3 ) 由认证方向被认证方发送响应分组认证方用共享密钥解密,正确 发 Ack,错误发 Nak
21 接入网技术可扩展认证协议 EAP
EAP的含义
Extensible Authentication Protocol
可扩展的认证协议
由 RFC 2284描述
并非一个具体的认证协议
是一个认证协议的封装协议
定义了一种封装的框架、格式
具体的认证协议和认证信息封装在 EAP分组中,如 PAP over EAP,CHAP over
EAP etc.
迄今 EAP支持的认证协议达 42种
22 接入网技术用户接入控制协议 802.1X
概念
IEEE802.1X 基于端口的接入控制协议
目前使用标准版本,IEEE Std 802.1X-2001
一个专用于 802网络用户接入认证与控制的协议
接入要求
LAN用户以点到点方式接入到 LAN的端口上
端口可以是物理端口(如以太网交换机端口)
端口也可以是逻辑端口(如 WLAN中的 AP端口)
功能
为 LAN用户提供接入认证及授权的服务功能
23 接入网技术
802.1X协议模型的三种实体
客户系统( Supplicant System)
运行 802.1X客户软件的用户终端系统
认证系统( Authenticator System)
为 802.1X客户系统(即 LAN用户)提供授权的接入服务,通常为支持 802.1X协议的网络接入设备
认证服务器系统( Authentication Server
System)
为认证系统提供认证服务
24 接入网技术
802.1X的协议运行模型
PAE,Port Access Entity,端口接入实体客户系统 认证系统 认证服务器系统客户
PAE
提供授权的服务 认证 PAE
受控端口认 证服务器
LAN
不受控端口运行 802.1X客户软件的用户终端
支持 802.1X的网络接入设备
为 801.1x客户提供授权的接入服务为认证系统 提供认证服务
802.1X的不受控 /受控端口
不受控端口
传输认证信息
始终连通
受控端口
传输用户业务数据
受控方式:双向受控或仅输入受控
端口默认状态为未授权状态,即断开状态
双向受控:端口此时禁止收、发业务数据
仅输入受控:端口此时只能发送数据
通过认证后,处于授权状态,即接通状态
LAN
认证系统受控端口 不受控端口
26 接入网技术
802.1X协议运行
协议运行实体
客户 PAE、认证 PAE、认证服务器
认证协议封装类型
客户 PAE与认证 PAE之间,EAPOL(EAP Over Ethernet)
认证 PAE与认证服务器之间,EAP
认证的发起者
客户 PAE或认证 PAE
27 接入网技术
802.1X的认证与接入过程
1)客户 PAE将认证信息由 EAPOL封装,并通过认证系统的不受控端口传输到认证 PAE
2)认证 PAE将认证信息由 EAP封装传输到认证服务器
3)认证服务器验证用户认证信息,并将认证结果返回到认证 PAE(成功或失败)
4)认证 PAE将认证结果反馈给客户 PAE
认证成功:受控端口设为授权状态,向用户提供接入服务
认证失败:受控端口继续断开,拒绝向用户提供接入服务
28 接入网技术
通过以太网交换机接入的交换式以太网
每台主机以点到点方式接入到交换机每个端口
接入点为交换机的物理端口
通过 AP接入的无线局域网
每台无线主机以点到点方式接入 AP的同一无线端口
控制端口为逻辑端口
不同的逻辑端口可由
MAC地址区分注,PC中安装客户 PAE
交换机或 AP中安装认证 PAE
PCPC
以太网交换机
PC
PC
AAA
Server
AP
PC
PC
PC
802.1X协议的应用
29 接入网技术
概念
RADIUS的含义
协议的发展
协议的功能
协议模型
协议运行
报文格式和类型(自学)
RADIUS代理
协议应用
12.4 接入管理协议
30 接入网技术
RADIUS 的含义
Remote Authentication Dial In User Service
远程认证拨号用户服务
协议标准,RFC2865,RFC2866
扩展版本,RFC2867,RFC2868 等
协议发展与应用范围
最初仅针对拨号用户,实现 AAA的管理功能
现已发展成一种通用的、广泛使用的实现 AAA功能的协议
适用于各种方式接入的用户的集中管理
协议的功能
对接入用户提供认证、授权和记帐功能
支持对漫游用户的接入管理用户接入管理协议 – RADIUS
31 接入网技术协议模型
LAN
用户 NAS RADIUS server
接入
client
接入
server
RADIUS
client
用户接 入认证协议
RADIUS
协议 用户管理数据库用户接入管理协议 – RADIUS
模型结构为集中 /分布式
协议作用范围,NAS与 RADIUS服务器之间
注意,RADIUS并未对用户与 NAS之间的认证协议进行规定
32 接入网技术用户接入管理协议 – RADIUS
RADIUS 协议运行
NAS与 RADIUS服务器之间的操作
但必须有用户与 NAS之间认证协议的配合
协议运行分为两个过程:
认证操作(包括授权)
记帐操作
协议实体交互过程中采用重传机制
33 接入网技术用户接入管理协议 – RADIUS
认证操作
操作实体
NAS与 RADIUS认证服务器
认证操作的方式
请求 /响应方式
质询 /响应方式
34 接入网技术用户接入管理协议 – RADIUS
请求 /响应方式 (一问一答)
用户名、口令接入认证结果用户 NAS RADIUS认证服务器接入请求报文接入许可 /拒绝报文
NAS从用户处获得用户认证信息
NAS将认证信息生成一个 RADIUS接入请求报文发向
RADIUS认证服务器(含用户名、口令等)
RADIUS认证服务器验证用户的合法性,并通过接入许可 /
拒绝报文回应 NAS
35 接入网技术接入许可 /拒绝报文接入质询报文用户接入管理协议 – RADIUS
质询 /响应方式用户名、口令接入认证结果用户 NAS RADIUS认证服务器接入请求报文质询值,提示消息响应值 接入请求报文
NAS第 1次发出的接入请求报文中含用户名和口令信息
NAS第 2次发出的接入请求报文中将口令换成用户的质询响应值
36 接入网技术用户接入管理协议 – RADIUS
记帐请求报文接入许可开始记帐
RADIUS
记帐服务器记帐响应报文
NAS
a) 开始记帐记帐请求报文服务终止结束记帐
RADIUS
记帐服务器记帐响应报文
NAS
b) 结束记帐
记帐操作
操作实体,NAS与 RADIUS记帐服务器
操作时机:授权许可提供服务开始时和服务终止时
37 接入网技术用户接入管理协议 – RADIUS
RADIUS 代理
一个 RADIUS服务器可以同时为某些管理域的中继服务器和其它域的远程服务器
一个中继服务器可以为多个远程服务器中继
典型应用:为漫游用户提供接入 AAA管理
38 接入网技术用户接入管理协议 – RADIUS
RADIUS 代理假设用户 A的认证信息存放在一个远程服务器中中继服务器 远程服务器
1)接入请求报文
4)接入许可 /拒绝报文
NAS
2)接入请求报文
3)接入许可 /拒绝报文
RADIUS
服务器NAS用户 A
RADIUS
服务器 网络
39 接入网技术
12.5小结和推荐资料
本章要点小结
用户接入管理的功能(核心是 AAA)
用户接入管理的结构与特点
分散、分布、集中、集中 /分布
用户接入管理的模型
用户,NAS,AAA服务器
接入链路协议
PPP(协议功能,LCP和 NCP的功能)
PPPoE(协议功能、如何实现点对多点链路的单个用户的管理)
接入认证协议
PAP
CHAP
802.1X(实体、模型、协议运行原理)
接入管理协议
RADIAUS(模型、协议功能、作用范围、操作过程)
40 接入网技术推荐资料
[1] RFC 1661,PPP Protocol,1994-07.
[2] RFC 2516,PPPoE Protocol,1999-02.
[3] RFC 1334,PPP Authentication Protocols,1992-10.
[4] RFC 1994,CHAP Protocol,1996-08.
[5] RFC 3748,EAP Protocol,2004-06.
[6] IEEE Std 802.1X-2004,Port-Based Network Access
Control,2004-12
[7] RFC 2865,RADIUS,2000-06.
[8] RFC 2866,RADIUS Accounting,2000-06.
[9] RFC 3579,RADIUS Support For EAP,2003-09.
[10] RFC 3580,IEEE 802.1X RADIUS Usage Guidelines,
2003-09.
[11] IETF,http://www.ietf.org/
[12] IANA,http://www.iana.org/
