第12章 用户接入管理协议.ppt

接入网技术 第12章用户接入管理协议 12 1引言12 2接入链路协议12 3接入认证 控制协议12 4接入管理协议12 5小结和推荐资料 接入网技术 12 1引言 接入网的核心功能之一是对用户进行接入管理参与用户接入管理的协议主要分为三个层次接入链路协议接入认证 控制协议以及接入管理协议 接入网技术 用户接入管理的协议模型 用户 BAS 接入管理服务器 接入管理协议 接入认证 控制协议 接入链路协议 物理层 接入链路协议 接入认证 控制协议 物理层 数据链路层 网络层 接入管理协议 物理层 接入链路协议 接入认证 控制协议 物理层 数据链路层 网络层 接入管理协议 接入网技术 12 2接入链路协议 接入链路协议作用 提供链路通信服务提供或便于实现基于用户的接入控制功能典型的接入链路协议有 以太网协议 IEEE802 3无线局域网协议 IEEE802 11系列 PPP Point to PointProtocol 点到点协议 PPPoE 以太网上的点到点协议 PointtoPointProtocoloverEthernet本章主要介绍PPP和PPPoE协议 接入网技术 PPP协议 概念Point to PointProtocol点到点的协议目前使用的版本 RFC1661协议作用范围点到点的链路上 数据链路 功能实现点到点链路的两个节点之间 数据链路的建立与拆除链路质量检测身份认证网络层协议协商与配置 如IP协议的IP的地址等 两个子协议 LCP与NCP 接入网技术 PPP协议 LCP 链路控制协议LCPLinkControlProtocol链路建立链路参数协商 如MRU等 与配置是否认证或认证协议协商链路拆除等 接入网技术 PPP协议 NCP 网络层控制协议NCPNetworkControlProtocol不同的网络层协议可复用在同一PPP链路上PPP为不同的网络层设计了相应的NCP如对应IP协议的NCP为IPCP对应IPX协议的NCP为IPXCP不同的NCP处理不同网络层特殊要求 如IP地址分配等 同一个PPP连接下可开启多个NCP 接入网技术 PPP的协议操作过程 五个阶段及各阶段转换图 接入网技术 PPP协议的五个阶段 死亡阶段物理层未准备好 PPP的初始阶段链路建立阶段 由LCP完成建立请求 协商MRU 认证协议 链路质量监测协议认证阶段 由LCP完成可选项 对用户身份的鉴别 是否选或选择何种认证协议在建立连接阶段协商网络层协议阶段 由NCP完成对网络层协议进行配置 如网络层地址 IP地址 分配链路终止阶段 由LCP完成可以在任何时候终止链路 链路的正常终止由LCP分组完成 一个NCP的关闭不一定引起链路的关闭 接入网技术 PPPoE协议 概念PPPOverEthernet以太网的点到点的协议目前使用的版本 RFC2516PPPoE的引入PPP只适应点到点链路的接入控制点到多点链路PPP仍然适应吗 否 PPPoE可以实现对点到多点链路的接入控制PPPoE的功能对以太网上每个用户与NAS之间建立一条PPP会话通道每一条PPP会话通道有唯一的连接标识实现对太网上每个用户进行单独的管理 接入网技术 PPPoE接入模型 图中 接入桥接设备可为 交换机 ADSLModem接入集中器可为 PPPoE服务器 DSLAM 主机 主机 主机 接入集中器AccessConcentrator 主机 主机 ISP 局域网 以太网 PPP会话 桥接接入设备BridgingAccessDevice 接入网技术 PPPoE协议操作 运行 的两个阶段 两个阶段 PPPoE发现与PPP会话发现阶段主机广播一个PPPoE有效发现启动分组 寻找合适的PPPoE服务器可能有多个服务器收到该消息 满足要求的服务器发送有效发现提供分组应答 否则不发应答主机选择一个合适的接入服务器 发有效发现请求分组接入服务器为主机分配唯一的会话标识 发现过程结束 主机 PPPoE接入服务器 广播PADI 单播PADO 单播PADR 单播PADS 接入网技术 PPPoE协议操作 运行 的两个阶段 PPP会话阶段发现结束后 主机和PPPoE接入服务器建立点到点隧道 进入会话阶段PPP帧封装在PPPoE帧中而PPPoE帧封装在Ethernet帧中 通过以太网或其它接入网承载或运送 接入网技术 12 3接入认证 控制协议 口令认证协议PAP质询认证协议CHAP可扩展的认证协议EAP基于端口的接入认证与控制协议802 1X 接入网技术 口令认证协议PAP PAP 由RFC1334描述 PasswordAuthenticationProtocol口令认证协议PAP认证过程被认证方向认证方发认证请求信息 明文 请求信息含 用户名 口令 认证方向被认证方发认证应答信息 明文 Auth AckorAuth Nak 认证请求 Auth Request 认证成功 失败 Auth Ack Auth Nak A 被认证方 B 认证方 PAP认证的问题明文传输认证信息容易被窃取 存在安全隐患 接入网技术 质询认证协议CHAP CHAPChallengeAuthenticationProtocol质询认证协议由RFC1994描述CHAP认证的特点认证信息采用密文传送采用共享密钥与PAP相比安全性更高认证所花时间更长 接入网技术 质询认证协议CHAP CHAP认证的交互过程 2 响应 Response 密文 1 质询 Challenge 明文 A 被认证方 B 认证方 3 认证成功 失败 Auth Ack Auth Nak 接入网技术 可扩展认证协议EAP EAP的含义ExtensibleAuthenticationProtocol可扩展的认证协议由RFC2284描述并非一个具体的认证协议是一个认证协议的封装协议定义了一种封装的框架 格式具体的认证协议和认证信息封装在EAP分组中 如PAPoverEAP CHAPoverEAPetc 迄今EAP支持的认证协议达42种 接入网技术 用户接入控制协议802 1X 概念IEEE802 1X基于端口的接入控制协议目前使用标准版本 IEEEStd802 1X 2004一个专用于802网络用户接入认证与控制的协议接入要求LAN用户以点到点方式接入到LAN的端口上端口可以是物理端口 如以太网交换机端口 端口也可以是逻辑端口 如WLAN中的AP端口 功能为LAN用户提供接入认证及授权的服务功能 接入网技术 802 1X协议模型的三种实体 客户系统 SupplicantSystem 运行802 1X客户软件的用户终端系统认证系统 AuthenticatorSystem 为802 1X客户系统 即LAN用户 提供授权的接入服务 通常为支持802 1X协议的网络接入设备认证服务器系统 AuthenticationServerSystem 为认证系统提供认证服务 接入网技术 802 1X的协议运行模型 PAE PortAccessEntity 端口接入实体 客户系统 认证系统 认证服务器系统 客户PAE 提供授权的服务 认证PAE 受控端口 认证服务器 LAN 不受控端口 运行802 1X客户软件的用户终端 支持802 1X的网络接入设备为801 1x客户提供授权的接入服务 为认证系统提供认证服务 802 1X的不受控 受控端口 不受控端口传输认证信息始终连通受控端口传输用户业务数据受控方式 双向受控或仅输入受控端口默认状态为未授权状态 即断开状态双向受控 端口此时禁止收 发业务数据仅输入受控 端口此时只能发送数据通过认证后 处于授权状态 即接通状态 受控端口 不受控端口 接入网技术 802 1X协议运行 协议运行实体客户PAE 认证PAE 认证服务器认证协议封装类型客户PAE与认证PAE之间 EAPOL EAPOverLAN 认证PAE与认证服务器之间 EAP认证的发起者客户PAE或认证PAE 接入网技术 802 1X的认证与接入过程 1 客户PAE将认证信息由EAPOL封装 并通过认证系统的不受控端口传输到认证PAE2 认证PAE将认证信息由EAP封装传输到认证服务器3 认证服务器验证用户认证信息 并将认证结果返回到认证PAE 成功或失败 4 认证PAE将认证结果反馈给客户PAE认证成功 受控端口设为授权状态 向用户提供接入服务认证失败 受控端口继续断开 拒绝向用户提供接入服务 接入网技术 通过以太网交换机接入的交换式以太网每台主机以点到点方式接入到交换机每个端口接入点为交换机的物理端口通过AP接入的无线局域网每台无线主机以点到点方式接入AP的同一无线端口控制端口为逻辑端口不同的逻辑端口可由MAC地址区分 注 PC中安装客户PAE交换机或AP中安装认证PAE 802 1X协议的应用 接入网技术 概念RADIUS的含义协议的发展协议的功能协议模型协议运行报文格式和类型 自学 RADIUS代理协议应用 12 4接入管理协议 接入网技术 RADIUS的含义RemoteAuthenticationDialInUserService远程认证拨号用户服务协议标准 RFC2865 RFC2866扩展版本 RFC2867 RFC2868等协议发展与应用范围最初仅针对拨号用户 实现AAA的管理功能现已发展成一种通用的 广泛使用的实现AAA功能的协议适用于各种方式接入的用户的集中管理协议的功能对接入用户提供认证 授权和记帐功能支持对漫游用户的接入管理 用户接入管理协议 RADIUS 接入网技术 协议模型 LAN 用户 NAS RADIUSserver 接入client 接入server RADIUSclient 用户接入认证协议 RADIUS协议 用户管理数据库 用户接入管理协议 RADIUS 模型结构为集中 分布式协议作用范围 NAS与RADIUS服务器之间注意 RADIUS并未对用户与NAS之间的认证协议进行规定 接入网技术 用户接入管理协议 RADIUS RADIUS协议运行NAS与RADIUS服务器之间的操作但必须有用户与NAS之间认证协议的配合协议运行分为两个过程 认证操作 包括授权 记帐操作协议实体交互过程中采用重传机制 接入网技术 用户接入管理协议 RADIUS 认证操作操作实体NAS与RADIUS认证服务器认证操作的方式请求 响应方式质询 响应方式 接入网技术 用户接入管理协议 RADIUS 请求 响应方式 一问一答 用户名 口令 接入认证结果 用户 NAS RADIUS认证服务器 接入请求报文 接入许可 拒绝报文 NAS从用户处获得用户认证信息NAS将认证信息生成一个RADIUS接入请求报文发向RADIUS认证服务器 含用户名 口令等 RADIUS认证服务器验证用户的合法性 并通过接入许可 拒绝报文回应NAS 接入网技术 接入许可 拒绝报文 接入质询报文 用户接入管理协议 RADIUS 质询 响应方式 用户名 口令 接入认证结果 用户 NAS RADIUS认证服务器 接入请求报文 质询值 提示消息 响应值 接入请求报文 NAS第1次发出的接入请求报文中含用户名和口令信息NAS第2次发出的接入请求报文中将口令换成用户的质询响应值 接入网技术 用户接入管理协议 RADIUS 记帐请求报文 接入许可开始记帐 RADIUS记帐服务器 记帐响应报文 NAS a 开始记帐 记帐请求报文 服务终止结束记帐 RADIUS记帐服务器 记帐响应报文 NAS b 结束记帐 记帐操作操作实体 NAS与RADIUS记帐服务器操作时机 授权许可提供服务开始时和服务终止时 接入网技术 用户接入管理协议 RADIUS RADIUS代理一个RADIUS服务器可以同时为某些管理域的中继服务器和其它域的远程服务器一个中继服务器可以为多个远程服务器中继典型应用 为漫游用户提供接入AAA管理 接入网技术 用户接入管理协议 RADIUS RADIUS代理假设用户A的认证信息存放在一个远程服务器中 中继服务器 远程服务器 1 接入请求报文 NAS 2 接入请求报文 接入网技术 12 5小结和推荐资料 本章要点小结用户接入管理的功能 核心是AAA 用户接入管理的结构与特点分散 分布 集中 集中 分布用户接入管理的模型用户 NAS AAA服务器接入链路协议PPP 协议功能 LCP和NCP的功能 PPPoE 协议功能 如何实现点对多点链路的单个用户的管理 接入认证协议PAPCHAP802 1X 实体 模型 协议运行原理 接入管理协议RADIAUS 模型 协议功能 作用范围 操作过程 接入网技术 推荐资料 1 RFC1661 PPPProtocol 1994 07 2 RFC2516 PPPoEProtocol 1999 02 3 RFC1334 PPPAuthenticationProtocols 1992 10 4 RFC1994 CHAPProtocol 1996 08 5 RFC3748