IEEE802.1x技术白皮书V10(doc 44页).doc

IEEE 802 1x 技术白皮书 V10 北京港湾网络有限公司产品部 2002 年 2 月 目目录录 第一部分第一部分 IEEE 802 1X 协议介绍协议介绍 1 1 协议的开发背景 1 2 几个名词的定义 1 3 工作机制 3 3 1 各组成部分的功能 3 3 2 受控和非受控的访问 Controlled and uncontrolled access 5 3 3 IEEE 802 1x协议的体系结构 9 3 4 IEEE 802 1x协议的工作机制 11 3 5 协议实现内容 15 3 6 基本的认证过程 19 3 7 几个注意的问题 20 4 几种认证方式的比较 21 4 1 PPPOE认证 21 4 2 WEB认证 22 4 3 802 1x认证 24 4 4 小结几种认证方式的比较 26 第二部分第二部分 IEEE 802 1X 协议在港湾网络的应用协议在港湾网络的应用 27 1 IEEE 802 1X解决方案 27 1 1 端口控制模式 27 1 2 802 1x解决方案 28 2 IEEE 802 1X应用方案 29 2 1 802 1x认证应用在新建小区 29 2 2 802 1x认证应用在旧小区 31 3 港湾 802 1X认证计费系统介绍 34 3 1 计费管理系统功能 35 3 2 港湾计费管理系统解决方案 36 第三部分第三部分 港湾港湾 802 1X 认证应用案例认证应用案例 41 1 802 1X在宁波网通的应用 41 2 802 1X 在通化电信的应用 42 IEEE 802 1x 技术白皮书 V10 1 第一部分第一部分 IEEE 802 1x 协议介绍协议介绍 1 协议的开发背景协议的开发背景 在 IEEE 802 LAN 所定义的局域网环境中 只要存在物理的连接口 未经 授权的网络设备就可以接入局域网 或者是未经授权的用户可以通过连接到局 域网的设备进入网络 例如 一个可以访问公共网络的大厦的办公网 或者是 某个组织机构与其他组织连接的网络 在这样的网络环境中 往往不希望未经 授权的设备或用户连接到网络 使用网络提供的服务 后来 随着局域网技术的广泛应用 特别是在运营网络中的应用 对其安 全认证的要求已经提到了议事日程上 如何既能够利用局域网技术简单 廉价 的组网特点 同时又能够对用户或设备访问网络的合法性提供认证 是目前业 界讨论的焦点 IEEE 802 1x 协议正是在这样的背景下提出的 IEEE 802 1x 称为基于端口的访问控制协议 Port based network access control protocol 基于端口的访问控制 Port based network access control 能够 在利用 IEEE 802 LAN 的优势基础上提供一种对连接到局域网 LAN 设备或 用户进行认证和授权的手段 通过这种方式的认证 能够在 LAN 这种多点访 问环境中提供一种点对点的识别用户的方式 这里端口是指连接到 LAN 的一个 单点结构 可以是被认证系统的 MAC 地址 也可以是服务器或网络设备连接 LAN 的物理端口 或者是在 IEEE 802 11 无线 LAN 环境中定义的工作站和访 问点 2 几个名词的定义几个名词的定义 以下的名词为 802 1x 协议中的重要组成部分 SupplicantSupplicant 客户端客户端 客户端指 LAN 所连接的一端的实体 entity 它向认证系统 Authenticator 如下 发起请求 对其身份的合法性进行检验 Authenticator 认证系统认证系统 IEEE 802 1x 技术白皮书 V10 2 认证系统指在 LAN 连接的一端用于认证另一端设备的实体 entity Authentication Server 认证服务器认证服务器 认证服务器指为认证系统提供认证服务的实体 这里认证服务器所提供的 服务是指通过检验客户端发送来的身份标识 来判断该请求者是否有权使用认 证系统所提供的网络服务 注意注意 认证服务器与认证系统配合工作 可以集成在一起 也可以分开 放 在认证系统通过网络可以远程访问的地方 Network Access Port 网络访问端口网络访问端口 网络访问端口指用户系统连接到 LAN 的访问端口 访问端口可以是物理端 口 例如连接到用户的网络设备端口 也可以是逻辑端口 例如用户设备的 MAC 地址 注意注意 下文所指的端口均可以是物理端口或用户设备的 MAC 地址 如果 设备支持全程 VLAN 也可以指 VLAN ID Port Access Entity PAE 端口访问实体端口访问实体 指一个端口的相关协议实体 PAE 能够支持的功能包括 客户端 Supplicant 完成的功能 认证系统 Authenticator 完成的功能或者 两者功能同时具备 System 系统系统 系统是指通过一个或更多端口连接到 LAN 的设备 例如 终端 服务 器 交换机或路由器等设备都称为系统 IEEE 802 1x 技术白皮书 V10 3 图 2 1 IEEE 802 1X 认证体系组成部分 3 工作机制工作机制 下面将描述基于端口访问控制的结构框架 以及访问控制功能和设备实体 之间的关系 3 1 各组成部分的功能 3 1 1 系统 Systems 端口 Ports 连接到 LAN 的设备 这里指 2 6 定义的系统 System 通常与 LAN 会有一 个或多个连接点 这里指 2 4 定义的网络访问端口 注意注意 1 一个终端一般通过网卡与 LAN 有一个连接点 有些终端如服务 IEEE 802 1x 技术白皮书 V10 4 器可能会有多个网卡 与网络有多个连接 一个网络设备与网络一般有两个或 多个连接点 一个系统的端口与网络连接 该系统就可以通过这个端口获得其他系统的 服务 同时也可以为其他系统提供服务 基于端口的访问控制能够控制系统的 端口状态 以保证只为授权的用户开放自己的服务 注意注意 2 2 一个系统提供的服务包括根据 MAC 地址的转发功能 网络层 的路由功能 文件服务器的功能等 为了便于描述基于端口的访问控制过程 一个系统的端口 确切的讲应该 是协议实体 PAE 可以在整个控制过程中充当多个不同的角色 如下为在基于端口访问控制过程中 端口所充当的角色 a Authenticator 2 2 在允许用户访问之前执行认证的端口 该端口 充当认证系统的角色 b Supplicant 2 1 访问认证系统所提供服务的端口 该端口充当客 户端的角色 c Authentication Server 2 3 认证服务器代表认证系统执行对用户身 份的合法性进行检验功能 从以上描述可以看出 为了完成一个认证过程 所有的三个角色是必须的 一个特定系统可以承担一种或多种角色 例如 一个认证系统和认证服务器能 集成在一个系统中 实现认证功能而无需设置专门的外置认证服务器 同样 一个端口在一个认证过程中充当客户端的角色 而在另一个认证过程中可能充 当认证系统的角色 例如 在一个桥接 LAN 中 一个新的交换设备添加到网络 中 这个设备要能够对连接到其端口的设备实现认证 自身必须先通过其上端 设备的认证 该新设备通过上端设备接入到 LAN 中 注意注意 3 尽管理论上认证服务器可以和认证系统集成在一起 但实际使 用中都是分开成两个体系 IEEE 802 1x 技术白皮书 V10 5 3 1 2 端口访问实体 PAE Port Access Entity 在客户端中 PAE 主要负责响应来自认证系统建立信任关系的请求 称为 客户端 PAE 在认证系统中 PAE 负责与客户端的通信 把从客户端收到的信息传送给 认证服务器以便完成认证 该 PAE 称为认证系统 PAE 认证系统 PAE 根据认证服务器提供的关于用户合法性的信息来控制受控端 口 controlled 下面会讲述 的状态是认证状态或未认证状态 3 2 受控和非受控的访问 Controlled and uncontrolled access IEEE 802 1x 协议的精华就是关于受控和非受控的访问 以下将详细描述关 于受控和非受控的访问 3 2 1 端口的类型 图图 3 1 受控端口 受控端口 Controlled Port 和不受控端口 和不受控端口 Uncontrolled Port IEEE 802 1x 技术白皮书 V10 6 如图 3 1 所示 认证系统的端口分成两个逻辑端口 受控端口和不受控端 口 不受控端口只能传送认证的协议报文 而不管此时受控端口的状态是已认 证状态 Autherized 还是未认证状态 Unautherized 受控端口传送业务报文 如果用户通过认证 则受控端口的状态为已认证 状态 可以传送业务报文 如果用户未通过认证 则受控端口的状态为未认证 状态 不能传送业务报文 如图 3 2 所示 当用户未通过认证时 受控端口处于开路 端口状态为未 认证状态 此时交换机的交换功能是关闭的 也就是说交换机无法像传统的通 过查找目标 MAC 地址来进行交换 如果用户有业务报文是无法通过的 当用户通过认证后 受控端口闭合 端口状态为通过认证状态 此时交换 机的交换功能打开 就和传统的交换方式一致了 用户的业务报文就可以顺利 通过 端口的状态受相关的协议参数控制 如 AuthControlledPortStatus 参数控制 交换功能的打开和关闭等 这里不做详细讲解 图图 3 2 受控端口的状态变化受控端口的状态变化 IEEE 802 1x 技术白皮书 V10 7 3 2 2 端口控制方式 对于端口的控制 可以有很多种方式 端口可以是物理的端口 也可以是 用户设备的 MAC 地址 如果设备支持全程的 VLAN 也可以把 VLAN ID 看成 是端口 基于物理端口的控制方式 每个物理端口包含两个逻辑端口 受控端口和 不受控端口 不受控端口传递认证的协议报文 受控端口传递业务报文 采用 这种端口控制方式 则必须在与最终用户直接相连的交换机实现 802 1x 认证 在相应的端口进行控制 这样会导致低端交换机的成本上升 势必增加整个网 络的建网成本 另一种端口控制方式就是基于用户设备的 MAC 地址进行控制 把用户设备 的 MAC 地址看成端口 每个 MAC 地址有两个逻辑端口 受控和不受控端口 如果用户要访问 LAN 的资源 则首先其 MAC 地址必须处于激活状态 然 后才能有协议报文通过不受控的端口传递 开始整个认证过程 如果其 MAC 图图 3 3 MAC 地址的激活和禁止地址的激活和禁止 IEEE 802 1x 技术白皮书 V10 8 地址未激活或者被管理性的禁止 则无法进行认证 3 3 IEEE 802 1x 协议的体系结构 IEEE 802 1x 协议的体系结构 通过上文的说明可以知道 包括三个重要的 部分 Supplicant System 客户端 Authenticator System 认证系统 Authentication Server System 认证服务器 图 3 4 描述了三者之间的关系以及互相之间的通信 客户端系统一般为一个用户终端系统 该终端系统通常要安装一个客户端 软件 用户通过启动这个客户端软件发起 802 1x 协议的认证过程 为支持基于 端口的接入控制 客户端系统 需支持 EAPOL Extensible Authentication Protocol Over LAN 协议 认证系统通常为支持 802 1x 协议的网络设备 该设备对应于不同用户的端 口 可以是物理端口 也可以是用户设备的 MAC 地址 有两个逻辑端口 受 控 controlled Port 端口和不受控端口 uncontrolled Port 不受控端口始终 图图 3 4 802 1x 协议的体系结构协议的体系结构 IEEE 802 1x 技术白皮书 V10 9 处于双向连通状态 主要用来传递 EAPOL 协议帧 可保证客户端 始终可以 发出或接受认证 受控端口只有在认证通过的状态下才打开 用于传递网络资 源和服务 受控端口可配置为双向受控 仅输入受控两种方式 以适应不同的 应用环境 如果用户未通过认证 则受控端口处于未认证状态 则用户无法访 问认证系统提供的服务 图中认证系统的受控端口处于未认证状态 因此无法访问认证系统提供的 服务 认证系统的 PAE 通过不受控端口与 Supplicant PAE 进行通信 二者之间运 行 EAPOL 协议 认证系统的 PAE 与认证服务器之间运行 EAP Extensible Authentication Protocol 协议 认证系统和认证服务器之间的通信可以通过网络进行 也可以使用其他的 通信通道 例如如果认证系统和认证服务器集成在一起 二个实体之间的通信 就可以不采用 EAP 协议 认证服务器通常为 RADIUS 服务器 该服务器可以存储有关用户的信息 比如用户所属的 VLAN CAR 参数 优先级 用户的访问控制列表等等 当用 户通过认证后 认证服务器会把用户的相关信息传递给认证系统 由认证系统 构建动态的访问控制列表 用户的后续流量就将接受上述参数的监管 认证服 务器和 RADIUS 服务器之间通过 EAP 协议进行通信 对于终端用户的认证可以采用如上所示的机制进行 而对于网络设备之间 的认证则采用如下的方式 图 3 5 描述了这样一种情况 当一个网络设备 A 要求访问网络设备 B 所 提供的服务 则系统 A 的 PAE 就成为客户端 Suppliant 系统 B 的 PAE 为 认证系统 Authenticator 如果 B 要求访问 A 所提供的服务 则 B 的 PAE 就 成为客户端 A 的 PAE 就成为认证系统 IEEE 802 1x 技术白皮书 V10 10 3 4 IEEE 802 1x 协议的工作机制 802 1x 作为一个认证协议 在实现的过程中有很多重要的工作机制 图图 3 5 系统的两种工作模式系统的两种工作模式 图图 3 6 IEEE 802 1x 协议的工作机制协议的工作机制 IEEE 802 1x 技术白皮书 V10 11 3 4 1 认证发起 认证的发起可以由用户主动发起 也可以由认证系统发起 当认证系统探 测到未经过认证的用户使用网络 就会主动发起认证 用户端则可以通过客户 端软件向认证系统发送 EAPOL Start 报文发起认证 由认证系统发起的认证由认证系统发起的认证 当认证系统检测到有未经认证的用户使用网络时 就会发起认证 在认证 开始之前 端口的状态被强制为未认证状态 如果客户端的身份标识不可知 则认证系统会发送 EAP Request Identity 报 文 请求客户端发送身份标识 这样 就开始了典型的认证过程 客户端在收到来自认证系统的 EAP Request 报文后 将发送 EAP Response 报文响应认证系统的请求 认证系统支持定期的重新认证 可以随时对一个端口发起重新认证的过程 如果端口状态为已认证状态 则当认证系统发起重新认证时 该端口通过认证 那么状态保持不便 如果未通过认证 则端口的状态改变为未认证状态 由客户端发起认证由客户端发起认证 如果用户要上网 则可以通过客户端软件主动发起认证 客户端软件会向 认证系统发送 EAPOL Start 报文主动发起认证 认证系统在收到客户端发送的 EAPOL Start 报文后 会发送 EAP Request Identity 报文响应用户请求 要求用户发送身份标识 这样就启动了一 个认证过程 3 4 2 退出已认证态 有几种方式可以造成认证系统把端口状态从已认证状态改变成未认证状态 a 客户端未通过认证服务器的认证 b 由于管理性的控制端口始终处于未认证状态 而不管是否通过认证 c 与端口对应的 MAC 地址出现故障 管理性禁止或硬件故障 d 客户端与认证系统之间的连接失败 造成认证超时 IEEE 802 1x 技术白皮书 V10 12 e 重新认证超时 f 客户端未响应认证系统发起的认证请求 g 客户端发送 EAPOL Logoff 报文 主动下线 退出已认证状态的直接结果就是导致用户下线 如果用户要继续上网则要 再发起一个认证过程 为什么要专门提供一个 EAPOL Logoff 机制 是处于如下安全的考虑 当一个用户从一台终端退出后 很可能其他用户不通过发起一个新的登录 请求 就可以利用该设备访问网络 提供专门的退出机制 以确保用户与认证 系统专有的会话进程被中止 可以防止用户的访问权限被他人盗用 通过发送 EAPOL Logoff 报文 可以使认证系统将对应的端口状态改变为未认证状态 3 4 3 重新认证 根据时间 为了保证用户和认证系统之间的链路处于激活状态 而不因为用户端设备 发生故障造成异常死机 从而影响对用户计费的准确性 认证系统可以定期发 起重新认证过程 该过程对于用户是透明的 也即用户无需再次输入用户名 密 码 重新认证由认证系统发起 时间是从最近一次成功认证后算起 重新认证 可以激活或关闭 协议状态参数 reAuthEnabled 控制是否定期进行重新认证 重 新认证的时间由参数 reAuthPeriod 控制 默认值为 3600 秒 一个小时 而且默 认重新认证是关闭的 注意注意 重新认证的时间设定需要认真的规划 认证系统对端口进入的 MAC 地址的检测能力会影响到该时间的设定 如果对 MAC 地址的检测比较可 靠 则重新认证时间可以设长一些 3 4 4 认证报文丢失重传 对于认证系统和客户端之间通信的 EAP 报文 如果发生丢失 由认证系统 负责进行报文的重传 在设定重传的时间时 考虑网络的实际环境 通常会认 IEEE 802 1x 技术白皮书 V10 13 为认证系统和客户端之间报文丢失的几率比较低以及传送延迟低 因此一般通 过一个超时计数器来设定 默认重传时间为 30 秒钟 对于有些报文的丢失重传比较特殊 如 EAPOL Star 报文的丢失 由客户端 负责重传 而对于 EAP Failure 和 EAP Success 报文 由于客户端无法识别 认 证系统不会重传 如果 EAP Failure 或 EAP Success 报文发生丢失 则客户端会 在 auth While 计数器超时后 自动转变为 CONNECTING 状态 由于对用户身份合法性的认证最终由认证服务器执行 认证系统和认证服 务器之间的报文丢失重传也很重要 另外注意 对于用户的认证 在执行 802 1x 认证时 只有认证通过后 才 有 DHCP 发起 如果配置为 DHCP 的自动获取 和 IP 分配的过程 由于客户 终端配置了 DHCP 自动获取 则可能在未启动 802 1x 客户端之前 就发起了 DHCP 的请求 而此时认证系统处于禁止通行状态 这样认证系统会丢掉初始 化的 DHCP 帧 同时会触发认证系统发起对用户的认证 由于 DHCP 请求超时过程为 64 秒 所以如果 802 1x 认证过程能在这 64 秒 内完成 则 DHCP 请求不会超时 能顺利完成地址请求 如果终端软件支持认 证后再执行一次 DHCP 就不用考虑 64 秒的超时限制 3 4 5 与不支持 802 1x 的设备的兼容 对于从一个没有认证的系统过渡到认证系统 最理想的状态是希望能够平 滑的进行过渡 由于 802 1x 协议是一个比较新的协议 如果应用在原有的旧网 络中 则可能会存在与不支持设备的兼容性问题 如果客户端支持 802 1x 协议 而网络设备不支持 也就是没有认证系统 则客户端是不会收到认证系统响应的 EAP Request Identity 报文 在 802 1x 认证 发起阶段 客户端首先发送 EAPOL Star 报文到 802 1x 协议组申请的组播 MAC 地址 以查询网络上可以处理 802 1x 的设备 即认证系统 由于网络中没有 设备充当认证系统 所以客户端是得不到响应的 因此客户端在发起多次连接 请求无响应后 自动认为已经通过认证 如果客户端不支持 802 1x 协议 而网络中存在 802 1x 协议的认证系统 则 客户端是不会响应认证系统发送的 EAP Request Identity 报文 因此端口会始终 IEEE 802 1x 技术白皮书 V10 14 处于未认证状态 在这种情况下 客户端只能根据协议参数 OperControlledDirections 设定的值通过受控端口访问认证系统 通过未受控端 口访问某些通过设置可以访问的服务 3 4 6 EAP 帧的中继转发 Relay 由于认证系统与客户端之间是采用 EAPOL 协议进行通信 而认证系统与认 证服务器之间则是采用 EAP 协议进行通信 可以看出认证系统充当了把客户端 的 EAPOL 协议帧转变为 EAP 协议帧的中继功能 客户端将 EAPOL Start 和 EAPOL Logoff 帧发送给认证系统 而认证系统把 EAPOL Key 帧发送给客户端 认证系统不能把这些帧中继给认证服务器 EAP Request Identity 帧只能由认证系统发送给客户端 而不会发送给认证 服务器 除了以上的这些特殊帧外 客户端和认证系统之间通信的其他的帧都可以 转发给认证服务器 不过帧格式要从 EAPOL 格式转变为 EAP 格式 相反 认 证系统会把所有从认证服务器收到的 EAP 格式的帧转变为 EAPOL 格式发送给 客户端 3 4 7 加密 EAPOL 认证报文的传送 EAPOL 协议支持在客户端和认证系统之间加密传送认证报文 可以通过协 议参数 KeyTransmissionEnabled 控制是否加密 如果该值为 TRUE 表示对认 证报文进行加密 如果值为 FALSE 则表示不对认证报文加密 如果客户端或 认证系统不支持加密 则 KeyTransmissionEnabled 参数设置为 FALSE 3 5 协议实现内容 802 1x 协议在实现整个安全认证的过程中 其三个关键部分 客户端 认 证系统 认证服务器 之间是通过通信协议进行交互的 因此有必要对其相关 的通信协议做个介绍 IEEE 802 1x 技术白皮书 V10 15 3 5 1 EAP 协议 802 1x 协议采用 EAP 协议在客户端 认证系统和认证服务器之间进行通信 EAP Extensible Authentication Protocol 扩展的认证协议 RFC 2284 是 PPP 认证的一个通用协议 支持多种认证机制 例如 smart cards Kerberos Public Key Encryption One Time Passwords 等 EAP 在链路控制 LCP 阶段并 不选择好一种认证机制 而把这一步推迟到认证阶段 这样就允许认证系统在 确定某种特定认证机制之前请求更多的信息 通过支持 EAP 协议 认证系统只需控制其受控端口的状态 但是并不干涉 通过非受控端口在客户端和认证服务器之间传递的认证信息 这样 就实现了 认证流和业务流的完全分离 可以使用一个 后端 服务器 认证服务器 来 实际实现各种认证机制 认证系统仅仅需要传送认证信息 并根据认证返回的 结果控制受控端口的状态 3 5 3 1EAP 的简单认证过程的简单认证过程 在链路建立阶段完成后 认证系统发送一个或多个 Request 来对对方进行认 证 Request 中有一个 type 域表明请求的类型 Request 中 type 的实例包括 Identity MD5 challenge One Time Passwords Generic Token Card 等等 MD5 challenge 类型与 CHAP 认证协议紧紧对应 典型情况下 认证系统将发送一个 最初的 Identity 请求 然后是一个或多个请求认证信息的 Request 但是 最初 的 Identity Request 并不是必需的 在 identity 能被事先假定 如租用的链路 专用拨号线路等等 的情况下可以跳过 bypass 客户端发送一个 Response 数据包对每一个 Request 做出应答 对应于每一 个 Request 数据包 Response 数据包包含一个 type 域 与 Request 中的 type 域 对应 C 认证系统发送一个 Success 或 Failure 数据包结束认证阶段 IEEE 802 1x 技术白皮书 V10 16 3 5 3 2EAP 帧结构帧结构 Code 1 个字节 表示 EAP 帧类型 EAP 代码分配如下 1 Request 2 Response 3 Success 4 Failure Identifier 1 个字节 该值用于匹配 requests 的请求 Identifier 区域 和系统端口一起单独标识一个认证过程 Length 2 个字节 该值表示 EAP 帧的总长度 Data 0 或更多字节 表示数据 3 5 2 EAPOL 协议 在 802 1x 协议中定义了一种封装技术称为 EAPOL EAP over LANs 主 要在客户端和认证系统之间传送 EAP 协议报文 可以允许 EAP 协议报文在 LAN 上传送 图图 3 7 EAP 的帧结构的帧结构 IEEE 802 1x 技术白皮书 V10 17 3 5 3 1EAPOL 帧结构帧结构 PAE Ethernet Type 2 个字节 表示协议类型 802 1x 分配的协议类型 为 888E Protocol Version 1 个字节 表示 EAPOL 帧的发送方所支持的协议 版本号 本规范使用值为 0000 0001 Packet Type 1 个字节 表示传送的帧类型 有如下几种帧类型 a EAP Packet 值为 0000 0000 表示为 EAP 帧 b EAPOL Start 值为 0000 0001 表示为 EAPOL Start 帧 c EAPOL Logoff 值为 0000 0010 表示为 EAPOL Logoff 请求帧 d EAPOL Key 值为 0000 0011 表示为 EAPOL Key 帧 e EAPOL Encapsulated ASF Alert 值为 0000 0100 Packet Body Length 2 个字节 表示 Packet Body 的长度 Packet Body 如果 Packet Type 为 EAP Packet EAPOL Key 或 EAPOL Encapsulated ASF Alert 的值 则 Packet Body 对 应相应的值 对于其他帧类型 则该值为空 3 5 3 2EAPOL 帧的标记帧的标记 在 EAPOL 帧传送过程中 不带 802 1q 的 VLAN 标记 但是可以带 802 1p 的优先级标记 所有的 PAE 都能够接收带或不带优先级标记的 EAPOL 帧 图图 3 8 EAPOL 的帧结构的帧结构 IEEE 802 1x 技术白皮书 V10 18 3 5 3 3EAPOL 帧发送的目标地址帧发送的目标地址 当一个二层帧发送时 必须要有目标 MAC 地址 EAPOL 帧在发送时也不 例外 当客户端和认证系统互相之间不知道发送的目标时 其目标 MAC 地址 为 802 1x 协议中分配的组播地址 01 80 c2 00 00 03 3 6 基本的认证过程 如图 3 9 认证的步骤如下 用户开机后 通过 802 1x 客户端软件发起请求 查询网络上能处理 EAPOL EAP Over LAN 数据包的设备 如果某台验证设备能处理 EAPOL 数据包 就会向客户端发送响应包并要求用户提供合法的身份 标识 如用户名 密码 客户端收到验证设备的响应后 会提供身份标识给验证设备 由于此 时客户端还未经过验证 因此认证流只能从验证设备的未受控的逻辑 端口经过 验证设备通过 EAP 协议将认证流转发到 AAA 服务器 进 图图 3 9 802 1x 认证过程认证过程 GE FE 宽宽带带I IP P网网 uHammer 1016 FlexHammer FEFE DHCP Server 8 80 02 2 1 1x x请请求求 1 D DH HC CP P R Re el la ay y 5 3 4 R Ra ad di iu us s返返回回 认认证证结结果果 2 建建立立动动态态A AC CL L 带带宽宽 优优先先级级 向向R Ra ad di iu us s发发送送计计费费信信息息 6 8 80 02 2 1 1x x发发送送l lo og go of ff f 请请求求下下线线 用用户户死死机机或或异异常常 利利用用8 80 02 2 1 1x x的的协协议议进进行行异异常常下下线线的的检检测测 并并终终止止计计费费 7 认认证证通通过过 受受控控端端口口打打开开 客客户户端端软软件件发发送送d dh hc cp p请请求求 认认证证计计费费中中心心 GE FE 宽宽带带I IP P网网 uHammer 1016 FlexHammer FEFE DHCP Server 8 80 02 2 1 1x x请请求求 1 1 D DH HC CP P R Re el la ay y 5 5 3 3 4 4 R Ra ad di iu us s返返回回 认认证证结结果果 2 2 建建立立动动态态A AC CL L 带带宽宽 优优先先级级 向向R Ra ad di iu us s发发送送计计费费信信息息 6 6 8 80 02 2 1 1x x发发送送l lo og go of ff f 请请求求下下线线 用用户户死死机机或或异异常常 利利用用8 80 02 2 1 1x x的的协协议议进进行行异异常常下下线线的的检检测测 并并终终止止计计费费 7 7 认认证证通通过过 受受控控端端口口打打开开 客客户户端端软软件件发发送送d dh hc cp p请请求求 认认证证计计费费中中心心 IEEE 802 1x 技术白皮书 V10 19 行认证 如果认证通过 则认证系统的受控逻辑端口打开 客户端软件发起 DHCP 请求 经认证设备转发到 DHCP Server DHCP Server 为用户分配 IP 地址 DHCP Server 分配的地址信息返回给认证系统 认证系统记录用户的相 关信息 如 MAC IP 地址等信息 并建立动态的 ACL 访问列表 以 限制用户的权限 当认证设备检测到用户的上网流量 就会向认证服务器发送计费信息 开始对用户计费 如果用户要下网 可以通过客户端软件发起 LogOff 过程 认证设备检 测到该该数据包后 会通知 AAA 服务器停止计费 并删除用户的相关 信息 MAC IP 受控逻辑端口关闭 用户进入再认证状态 验证设备会通过定期的检测来保证链路的激活 如果用户异常死机 则验证设备在发起多次检测后 自动认为用户已经下线 于是向认证服务 器发送终止计费的信息 3 7 几个注意的问题 基于端口的网络接入控制是在 LAN 设备的物理接入级对接入设备进行认 证和控制 此处的物理接入级指的是 LAN 设备的端口 如 LanSwitch 的端口 连接在该类端口上的用户设备如果能通过认证 就可以访问 LAN 内的资源 如果不能通过认证 则无法访问 LAN 内的资源 相当于物理上断开连接 IEEE 802 1x 定义了基于端口的网络接入控制协议 需要注意的是该协议仅 适用于接入设备与接入端口间点到点的连接方式 其中端口可以是物理端口 也可以是逻辑端口 典型的应用方式有 LanSwitch 的一个物理端口仅连接一 个 End Station 基于物理端口 IEEE 802 11 定义的无线 LAN 接入方式 基于逻辑端口 等 连接有多个设备的共享式 LAN 网段如果想要提供每个设备的接入控制 可以使用两种方法 1 使用任何保护方法 为每一个接入设备建立单独的接入控制 此时 IEEE 802 1x 技术白皮书 V10 20 相当于每个 MAC 地址构成了一个逻辑端口 由于共享式网段缺乏 保护 每个 MAC 地址的认证过程都可能被其他设备监听 截获 伪造 安全性比较低 2 仍然使用每个 MAC 地址构成逻辑端口 但在认证过程中对认证数据 帧进行加密 IEEE 802 1x 提供了与加密协议的接口 从而避免其他设备的监 听 截获 伪造 提高安全性 需要说明的 由于 MAC 地址比较容易伪造 这种方式并不能提供完善的安全机制 因而 IEEE 802 1x 推荐的使用环境为点对点的物理或逻辑端口 4 几种认证方式的比较几种认证方式的比较 目前业界有几种认证方式 PPPOE WEB 和 802 1x 以下做一个比较 4 1 PPPOE 认证 4 1 1 简介 1998 年后期问世的以太网上点对点协议 PPP over Ethernet 技术是由 Redback 网络公司 客户端软件开发商 RouterWare 公司以及 Worldcom 子公司 UUNET Technologies 公司在 IETF RFC 制的基础上联合开发的 主要目的是把 最经济的局域网技术 以太网和点对点协议的可扩展性及管理控制功能结合在 一起 它使服务提供商在通过数字用户线 电缆调制解调器或无线连接等方式 提供支持多用户的宽带接入服务时更加简便易行 通过 PPPoE Point to Point Protocol over Ethernet 协议 服务提供商可以 在以太网上实现 PPP 协议的主要功能 包括采用各种灵活的方式管理用户 PPPoE Point to Point Protocol over Ethernet 协议允许通过一个连接客户的 简单以太网桥启动一个 PPP 对话 PPPoE 的建立需要两个阶段 分别是搜寻阶段 Discovery stage 和点对点 对话阶段 PPP Session stage 当一台主机希望启动一个 PPPoE 对话 它首先 必须完成搜寻阶段以确定对端的以太网 MAC 地址 并建立一个 PPPoE 的对话 IEEE 802 1x 技术白皮书 V10 21 号 SESSION ID 在 PPP 协议定义了一个端对端的关系时 搜寻阶段是一个客户 服务器的关 系 在搜寻阶段的进程中 主机 客户端 搜寻并发现一个网络设备 服务器 端 在网络拓扑中 主机能与之通信的可能有不只一个网络设备 在搜寻阶段 主机可以发现所有的网络设备但只能选择一个 当搜索阶段顺利完成 主机和 网络设备将拥有能够建立 PPPoE 的所有信息 搜索阶段将在点对点对话建立之前一直存在 一旦点对点对话建立 主机 和网络设备都必须为点对点对话阶段虚拟接口提供资源 4 1 2 特点 优点 是传统 PSTN 窄带拨号接入技术在以太网接入技术的延伸 和原有窄带网络用户接入认证体系一致 最终用户相对比较容易接收 缺点 PPP 协议和 Ethernet 技术本质上存在差异 PPP 协议需要被再次封装到 以太帧中 所以封装效率很低 PPPoE 在发现阶段会产生大量的广播流量 对网络性能产生很大的影 响 组播业务开展困难 而视频业务大部分是基于组播的 需要运营商提供客户终端软件 维护工作量过大 PPPoE 认证一般需要外置 BAS 认证完成后 业务数据流也必须经过 BAS 设备 容易造成单点瓶颈和故障 而且该设备通常非常昂贵 4 2 WEB 认证 4 2 1 简介 由于 PPPOE 技术在应用中存在很多的问题 因此目前开认证的网络主要是 IEEE 802 1x 技术白皮书 V10 22 以 WEB 认证为主 WEB 认证最初是一种业务类型的认证 通过启动一个 WEB 页面输入用户 名 密码 实现用户认证 用的最多的是在一些门户网站 例如新浪 搜狐等 如果用户申请了 WEB 邮件服务 就可以通过在其认证的 WEB 页面上输入用户 名 密码进入到门户网站的服务中 WEB 认证目前已经成为运营商网络平台的认证方式 通过 WEB 页面实现 对用户是否有使用网络权限的认证 WEB 认证的主要过程如下 a 用户机器上电启动 系统程序根据配置 通过 DHCP 由 BAS 做 DHCP Relay 向 DHCP Server 要 IP 地址 私网或公网 b BAS 为该用户构造对应表项信息 基于端口号 IP 添加用户 ACL 服务策略 让用户只能访问 portal server 和一些内部服务器 个别外部服务器如 DNS c Portal server 向用户提供认证页面 在该页面中 用户输入帐号和口令 并单击 log in 按钮 也可不输入由帐号和口令 直接单击 Log in 按钮 d 该按钮启动 portal server 上的 Java 程序 该程序将用户信息 IP 地址 帐号和口令 送给网络中心设备 BAS e BAS 利用 IP 地址将到用户的二层地址 物理端口号 如 Vlan ID ADSL PVC ID PPP session ID 利用这些信息 对用户的合法性进行检查 如果用户输入了帐号 则认为是卡号用户 使用用户输入的帐号和口令到 Radius server 对用户进行认证 如果用户未输入帐号 则认为用户是固定用户 网络设备利用 Vlan ID 或 PVC ID 查用户表得到用户的帐号和口令 将帐号 送到 Radius server 进行认证 f Radius Server 返回认证结果给 BAS g 认证通过后 BAS 修改该用户的 ACL 用户可以访问外部因特网或特 定的网络服务 h 用户离开网络前 连接到 portal server 上 单击 断开网络 按钮 系 统停止计费 删除用记的 ACL 和转发信息 限制用户不能访问外部网络 i 在以上过程中 要注意检测用户非正常离开网络的情况 如用户主机死 IEEE 802 1x 技术白皮书 V10 23 机 网络断掉 直接关机等 4 2 2 特点 优点 不需要特殊的客户端软件 降低网络维护工作量 可以提供 Portal 等业务认证 缺点 WEB 承载在 7 层协议上 对于设备的要求较高 建网成本高 用户连接性差 不容易检测用户离线 基于时间的计费较难实现 易用性不够好 用户在访问网络前 不管是 TELNET FTP 还是其它 业务 必须使用浏览器进行 WEB 认证 IP 地址的分配在用户认证前 如果用户不是上网用户 则会造成地址 的浪费 而且不便于多 ISP 的支持 认证前后业务流和数据流无法区分 4 3 802 1x 认证 前面已经对 802 1x 协议做了比较详细的介绍 这里总结一下 802 1x 协议的 特点 优点 802 1x 协议为二层协议 不需要到达三层 而且接入层交换机无需支持 802 1q 的 VLAN 对设备的整体性能要求不高 可以有效降低建网成本 通过组播实现 解决其他认证协议广播问题 对组播业务的支持性好 业务报文直接承载在正常的二层报文上 用户通过认证后 业务流和认 证流实现分离 对后续的数据包处理没有特殊要求 802 1x 与传统认证方式最本质的区别就是控制与交换相分离 一旦认证通 过 所有的业务流量就和认证系统分开 有效的解决了网络瓶颈问题 以太网 的基本特性是广播 顾名思义 以太就是一种无处不在的物质 IP 网络的简 IEEE 802 1x 技术白皮书 V10 24 单 廉价甚至是快速都基于这一点 但是也正是由于这一基本特性 IP 网络也 暴露出了安全性弱 流量控制能力差 不易管理等可以说是致命的弱点 针对 于此 人们引入了点对点的概念 在一定程度上解决了上述问题 但是点对点 和广播在本质上是矛盾的 二者很难出现一种双赢的状态 也就是说在目前的 认证方式下 网络的 可运营 可管理 的代价是牺牲了一部分网络的简单 廉价和快速的特性 802 1x 则采取一种 认证后不管 的方式 在认证完成 参数设置完成后 交换机对网络流量不做过多的干预 较好的兼顾了矛盾的两 个方面 易于实现一种合理成本下的 可运营 可管理 图图 4 1 802 1x 中交换与控制的分离中交换与控制的分离 缺点 协议的标准化问题 该协议目前还未正式标准化 但草稿已经到了第 11 稿 协议号也已分配 相信正式标准化为时不远 需要特定客户端软件 该协议已经得到了很多软件厂商的重视 目前微软新版的 windows XP 已经 自带 802 1x 客户端软件 IEEE 802 1x 技术白皮书 V10 25 4 4 小结几种认证方式的比较 认证方式认证方式WEB PORTALPPPOE802 1x 标准程度标准程度厂家私有RFC2516IEEE 标准 封装开销封装开销小较大小 接入控制方式接入控制方式设备端口用户用户 IP 地址地址认证前分配认证后分配认证后分配 多播支持多播支持好差好 VLAN 数目要求数目要求多无无 支持多支持多 ISP较差好好 客户端软件客户端软件不需要需要需要 设备支持设备支持厂家私有业界设备业界设备 用户连接性用户连接性差好好 对设备的要求对设备的要求 高 全程 VLAN 较高 BAS 低 IEEE 802 1x 技术白皮书 V10 26 第二部分第二部分 IEEE 802 1x 协议在港湾网络协议在港湾网络 的应用的应用 IEEE 802 1x 协议是目前业界最新的认证协议 一经推出就引起了广大网络 设备制造商的重视 各大厂商纷纷组织研发力量进行基于 802 1x 协议相关产品 的开发 可以说 在这一方面 港湾网络走的比较早 率先推出了包括客户端 软件 认证系统 认证服务器在内的基于 802 1x 协议的成熟的网络产品和商用 解决方案 以下将 IEEE 802 1x 协议在港湾网络的应用情况做一个详细的介绍 1 IEEE 802 1x 解决方案解决方案 1 1 端口控制模式 根据前面介绍的 802 1x 协议端口控制模式 主要可以基于物理端口控制 基于用户设备的 MAC 地址控制 如果网络设备支持全程 VLAN 还可以基于 VLAN ID 控制 选择一种好的端口控制模式 不仅要考虑到单个设备的接入实现方式 而 且要综合考虑整个方案的建网成本 根据以上两点的考虑 港湾在端口控制方 面采用基于 MAC 地址的控制方式 这样做有如下优点 基于 MAC 地址控制 可以实现点对点的控制方式 只要在上层交换机 如 FlexHammer24 16i 实现 802 1x 认证 而不需要在用户接入级交换机针对每个 物理端口进行控制 这样可以降低对接入级交换机的性能要求 从而降低整个 网络的建网成本 通过在层次较高的交换机上实现基于 MAC 地址的控制 可以减少与后端认 证服务器通信所建立的进程数 降低对认证服务器的性能要求 这一点也很重 要 如果在低端交换机上基于物理端口对用户控制 则必然要建立很多与认证 服务器通信的进程 势必影响认证服务器的性能 当用户通过认证后 在二层交换机上将用户的 MAC 地址和物理端口绑定 IEEE 802 1x 技术白皮书 V10 27 在三层交换机上实现用户 MAC 端口 IP 的绑定 防止用户的 MAC 地址和 IP 地址的假冒 实现用户的安全认证 1 2 802 1x 解决方案 1 2 1 方案实现 如图 1 1 为港湾网络关于 802 1x 协议