第章用户接入管理协议PPT课件.ppt

可编辑 PPP协议 NCP 链路控制协议LCPLinkControlProtocol链路建立链路参数协商 如MRU等 与配置是否认证或认证协议协商链路拆除等网络层控制协议NCPNetworkControlProtocol不同的网络层协议可复用在同一PPP链路上PPP为不同的网络层设计了相应的NCP如对应IP协议的NCP为IPCP对应IPX协议的NCP为IPXCP不同的NCP处理不同网络层特殊要求 如IP地址分配等 同一个PPP连接下可开启多个NCP 可编辑 PPP的协议的封装格式 类似HDLC的UI帧 无编号帧 地址 控制 协议 数据 FCS 字节 112变长2 地址 控制 数据 FCS HDLCUI帧 PPP帧 固定值OxFF 固定值Ox03 封装数据的协议类型 可编辑 PPP的协议操作过程 五个阶段及各阶段转换图 可编辑 PPP协议的五个阶段 死亡阶段物理层未准备好 PPP的初始阶段链路建立阶段 由LCP完成建立请求 协商MRU 认证协议 链路质量监测协议认证阶段 由LCP完成可选项 对用户身份的鉴别 是否选或选择何种认证协议在建立连接阶段协商网络层协议阶段 由NCP完成对网络层协议进行配置 如网络层地址 IP地址 分配链路终止阶段 由LCP完成可以在任何时候终止链路 链路的正常终止由LCP分组完成 一个NCP的关闭不一定引起链路的关闭 可编辑 PPPoE协议 概念PPPOverEthernet以太网的点到点的协议目前使用的版本 RFC2516PPPoE的引入PPP只适应点到点链路的接入控制点到多点链路PPP仍然适应吗 否 PPPoE可以实现对点到多点链路的接入控制PPPoE的功能对以太网上每个用户与NAS之间建立一条PPP会话通道每一条PPP会话通道有唯一的连接标识实现对太网上每个用户进行单独的管理 可编辑 PPPoE接入模型 图中 接入桥接设备可为 交换机 ADSLModem接入集中器可为 PPPoE服务器 DSLAM 主机 主机 主机 接入集中器AccessConcentrator 主机 主机 ISP 局域网 以太网 PPP会话 桥接接入设备BridgingAccessDevice 可编辑 PPPoE协议分层模型 可编辑 PPPoE分组 帧 格式 PPPoE协议封装在以太帧中 以太帧的载荷 字节 目的MAC地址 源MAC地址 类型 有效载荷 PPPoE分组 FCS 662变长4 PPPoE封装在以太帧中 版本 代码 类型 有效载荷 会话标识 比特 01234567012345670123456701234567 长度 PPPoE分组格式 固定值 不同阶段的分组类型 PPPoE载荷长度 标识一个特定的PPPoE会话 发现阶段 为空会话阶段 PPP帧 可编辑 PPPoE协议操作 运行 的两个阶段 两个阶段 PPPoE发现与PPP会话发现阶段主机广播一个PPPoE有效发现启动分组 寻找合适的PPPoE服务器可能有多个服务器收到该消息 满足要求的服务器发送有效发现提供分组应答 否则不发应答主机选择一个合适的接入服务器 发有效发现请求分组接入服务器为主机分配唯一的会话标识 发现过程结束 主机 PPPoE接入服务器 广播PADI 单播PADO 单播PADR 单播PADS 可编辑 PPPoE协议操作 运行 的两个阶段 PPP会话阶段发现结束后 主机和PPPoE接入服务器建立点到点隧道 进入会话阶段PPP帧封装在PPPoE帧中而PPPoE帧封装在Ethernet帧中 通过以太网或其它接入网承载或运送 可编辑 12 3接入认证 控制协议 口令认证协议PAP质询认证协议CHAP可扩展的认证协议EAP基于端口的接入认证与控制协议802 1X 可编辑 口令认证协议PAP PAP 由RFC1334描述 PasswordAuthenticationProtocol口令认证协议PAP认证过程被认证方向认证方发认证请求信息 明文 请求信息含 用户名 口令 认证方向被认证方发认证应答信息 明文 Auth AckorAuth Nak 认证请求 Auth Request 认证成功 失败 Auth Ack Auth Nak A 被认证方 B 认证方 PAP认证的问题明文传输认证信息容易被窃取 存在安全隐患 可编辑 质询认证协议CHAP CHAPChallengeAuthenticationProtocol质询认证协议由RFC1994描述CHAP认证的特点认证信息采用密文传送采用共享密钥与PAP相比安全性更高认证所花时间更长 可编辑 质询认证协议CHAP CHAP认证的交互过程 2 响应 Response 密文 1 质询 Challenge 明文 A 被认证方 B 认证方 3 认证成功 失败 Auth Ack Auth Nak 可编辑 可扩展认证协议EAP EAP的含义ExtensibleAuthenticationProtocol可扩展的认证协议由RFC2284描述并非一个具体的认证协议是一个认证协议的封装协议定义了一种封装的框架 格式具体的认证协议和认证信息封装在EAP分组中 如PAPoverEAP CHAPoverEAPetc 迄今EAP支持的认证协议达42种 可编辑 用户接入控制协议802 1X 概念IEEE802 1X基于端口的接入控制协议目前使用标准版本 IEEEStd802 1X 2001一个专用于802网络用户接入认证与控制的协议接入要求LAN用户以点到点方式接入到LAN的端口上端口可以是物理端口 如以太网交换机端口 端口也可以是逻辑端口 如WLAN中的AP端口 功能为LAN用户提供接入认证及授权的服务功能 可编辑 802 1X协议模型的三种实体 客户系统 SupplicantSystem 运行802 1X客户软件的用户终端系统认证系统 AuthenticatorSystem 为802 1X客户系统 即LAN用户 提供授权的接入服务 通常为支持802 1X协议的网络接入设备认证服务器系统 AuthenticationServerSystem 为认证系统提供认证服务 可编辑 802 1X的协议运行模型 PAE PortAccessEntity 端口接入实体 客户系统 认证系统 认证服务器系统 客户PAE 提供授权的服务 认证PAE 受控端口 认证服务器 LAN 不受控端口 运行802 1X客户软件的用户终端 支持802 1X的网络接入设备为801 1x客户提供授权的接入服务 为认证系统提供认证服务 802 1X的不受控 受控端口 不受控端口传输认证信息始终连通受控端口传输用户业务数据受控方式 双向受控或仅输入受控端口默认状态为未授权状态 即断开状态双向受控 端口此时禁止收 发业务数据仅输入受控 端口此时只能发送数据通过认证后 处于授权状态 即接通状态 受控端口 不受控端口 接入网技术 可编辑 802 1X协议运行 协议运行实体客户PAE 认证PAE 认证服务器认证协议封装类型客户PAE与认证PAE之间 EAPOL EAPOverEthernet 认证PAE与认证服务器之间 EAP认证的发起者客户PAE或认证PAE 可编辑 802 1X的认证与接入过程 1 客户PAE将认证信息由EAPOL封装 并通过认证系统的不受控端口传输到认证PAE2 认证PAE将认证信息由EAP封装传输到认证服务器3 认证服务器验证用户认证信息 并将认证结果返回到认证PAE 成功或失败 4 认证PAE将认证结果反馈给客户PAE认证成功 受控端口设为授权状态 向用户提供接入服务认证失败 受控端口继续断开 拒绝向用户提供接入服务 可编辑 通过以太网交换机接入的交换式以太网每台主机以点到点方式接入到交换机每个端口接入点为交换机的物理端口通过AP接入的无线局域网每台无线主机以点到点方式接入AP的同一无线端口控制端口为逻辑端口不同的逻辑端口可由MAC地址区分 注 PC中安装客户PAE交换机或AP中安装认证PAE 802 1X协议的应用 可编辑 概念RADIUS的含义协议的发展协议的功能协议模型协议运行报文格式和类型 自学 RADIUS代理协议应用 12 4接入管理协议 可编辑 RADIUS的含义RemoteAuthenticationDialInUserService远程认证拨号用户服务协议标准 RFC2865 RFC2866扩展版本 RFC2867 RFC2868等协议发展与应用范围最初仅针对拨号用户 实现AAA的管理功能现已发展成一种通用的 广泛使用的实现AAA功能的协议适用于各种方式接入的用户的集中管理协议的功能对接入用户提供认证 授权和记帐功能支持对漫游用户的接入管理 用户接入管理协议 RADIUS 可编辑 协议模型 LAN 用户 NAS RADIUSserver 接入client 接入server RADIUSclient 用户接入认证协议 RADIUS协议 用户管理数据库 用户接入管理协议 RADIUS 模型结构为集中 分布式协议作用范围 NAS与RADIUS服务器之间注意 RADIUS并未对用户与NAS之间的认证协议进行规定 可编辑 用户接入管理协议 RADIUS RADIUS协议运行NAS与RADIUS服务器之间的操作但必须有用户与NAS之间认证协议的配合协议运行分为两个过程 认证操作 包括授权 记帐操作协议实体交互过程中采用重传机制认证操作操作实体NAS与RADIUS认证服务器认证操作的方式请求 响应方式质询 响应方式 可编辑 用户接入管理协议 RADIUS 请求 响应方式 一问一答 用户名 口令 接入认证结果 用户 NAS RADIUS认证服务器 接入请求报文 接入许可 拒绝报文 NAS从用户处获得用户认证信息NAS将认证信息生成一个RADIUS接入请求报文发向RADIUS认证服务器 含用户名 口令等 RADIUS认证服务器验证用户的合法性 并通过接入许可 拒绝报文回应NAS 可编辑 接入许可 拒绝报文 接入质询报文 用户接入管理协议 RADIUS 质询 响应方式 用户名 口令 接入认证结果 用户 NAS RADIUS认证服务器 接入请求报文 质询值 提示消息 响应值 接入请求报文 NAS第1次发出的接入请求报文中含用户名和口令信息NAS第2次发出的接入请求报文中将口令换成用户的质询响应值 可编辑 用户接入管理协议 RADIUS 记帐请求报文 接入许可开始记帐 RADIUS记帐服务器 记帐响应报文 NAS a 开始记帐 记帐请求报文 服务终止结束记帐 RADIUS记帐服务器 记帐响应报文 NAS b 结束记帐 记帐操作操作实体 NAS与RADIUS记帐服务器操作时机 授权许可提供服务开始时和服务终止时 可编辑 用户接入管理协议 RADIUS RADIUS代理一个RADIUS服务器可以同时为某些管理域的中继服务器和其它域的远程服务器一个中继服务器可以为多个远程服务器中继典型应用 为漫游用户提供接入AAA管理 可编辑 用户接入管理协议 RADIUS RADIUS代理假设用户A的认证信息存放在一个远程服务器中 中