8021X协议培训胶片.ppt

1、宽带技术支持部，802.1X协议培训课程，我们今天的目标，初步了解和理解802.1X协议的背景，并了解802.1X协议的具体特点。它是干什么用的？有什么样的系统？采用什么样的认证程序？对设备有什么特殊要求？它适合在什么范围内使用？最后，我们需要了解EAPOL议定书的具体内容。我们今天要谈什么？802.1X是从哪里来的？802.1X用于什么？802.1x认证系统的结构802.1x认证过程802.1X认证端口EAPOL协议介绍，展望目标，我们想了解的是，802.1X这个东西是从哪里来的？802.1X是干什么用的？802.1x认证系统的结构，802.1X的认证过程，802.1X协议的认证端口，EAP

2、OL协议的引入，802.1X从何而来？802.1x协议源于802.11协议，这是一种标准的无线局域网协议。802.1x协议的主要目的是解决无线局域网用户的接入认证问题。现在它已经被应用于一般的有线局域网接入(微软视窗操作系统、思科、北电、港湾等厂商的设备已经开始支持802.1X协议)。802.1X是从哪里来的？在802.1x出现之前，没有办法将企业网络上的有线局域网应用直接控制到端口。没有必要控制端口。然而，随着无线局域网的应用和电信网络局域网接入的大规模发展，有必要通过控制端口来实现用户级的接入控制。802.1x是由IEEE定义的标准，用于解决基于端口的访问控制。我们要学什么？802.1X是

3、干什么的？802.1x认证系统的结构，802.1X的认证过程，802.1X协议的认证端口，EAPOL协议的引入，802.1X从何而来？802.1X这东西是干什么用的？首先，802.1X是一种认证协议，是一种对用户进行认证的方法和策略。802.1X是基于端口的身份验证策略(这里的端口可以是真实的物理端口，也可以是逻辑端口，就像VLAN一样，“端口”是无线局域网的通道)。802.1X身份验证的最终目的是确定端口是否可用。对于端口，如果认证成功，则“打开”端口并允许所有消息通过；如果身份验证不成功，此端口将保持“关闭”，并且只允许802.1X身份验证消息eapol(局域网上的可扩展身份验证协议)通过

4、。我们将学习什么，s，802.1x用于什么？802.1x认证系统的结构，802.1X的认证过程，802.1X协议的认证端口，EAPOL协议的引入，802.1X从何而来？802.1X认证系统的结构，PAE:在认证机制中负责处理算法和协议的实体。Eap:可扩展认证协议，802.1X认证系统的结构，分为三个部分：请求者系统、客户端(个人电脑/网络设备)、认证者系统和认证系统。认证服务器系统、认证服务器、802.1X认证系统的结构、请求者系统、客户端(个人计算机/网络设备)、请求者系统客户端(客户端)是需要接入局域网并享受交换机提供的服务的设备(如个人计算机)。客户端需要支持EAPOL协议，必须运行8

5、02.1X客户端软件，如：802.1X-抱怨、微软Windows XP、802.1X认证架构、win98下提供的客户端、winXP下提供的客户端、802.1 X认证架构。认证器系统，认证器系统交换机(边缘交换机或无线接入设备)是根据客户的认证状态控制物理接入的设备，交换机充当客户和认证服务器之间的代理。交换机和客户端之间的通信是通过EAPOL协议进行的，交换机和认证服务器之间的通信是通过EAPoRadius或EAP在其他高层协议上进行的，从而通过复杂的网络到达认证服务器(EAP中继)。交换机要求客户端提供身份，接收到身份后，以Radius格式携带EAP消息，然后发送给认证服务器，并返回身份；交

6、换机根据认证结果控制端口是否可用；应该指出的是，我们的802.1x协议在设备中终止，并转换成标准的RADIUS协议消息。加密算法采用PPP CHAP认证算法，所有支持PPP CHAP认证算法的认证和计费服务器都可以与我们成功对接。802.1X认证系统的结构，认证服务器系统，认证服务器，它实际上认证客户，认证服务器验证客户的身份。通知swtich是否允许客户端访问局域网和交换机提供的服务。认证服务器接受认证者发送的认证请求，并在认证完成后将认证结果发送给认证者，从而完成端口管理。因为EAP协议是灵活的，除了由IEEE 802.1x定义的端口状态之外，认证服务器实际上可以用于认证和分发更多与用户相

7、关的信息，例如VLAN、QOS、加密的认证密钥、DHCP响应等。我们要学什么，s，802.1x？802.1x认证系统的结构，802.1X的认证过程，802.1X协议的认证端口，EAPOL协议的引入，802.1X从何而来？802.1X认证过程、认证前后的端口状态。在802.1X身份验证中，端口状态决定客户端是否可以访问网络。启用802.1X身份验证时，端口的初始状态通常是未经授权的。在这种状态下，除了802.1x消息和广播消息之外，不允许任何业务输入和输出通信。当客户端通过身份验证时，端口状态切换到授权状态，允许客户端通过端口正常通信。802.1X认证过程，在认证通过之前，信道的状态为未授权，此

8、时只能通过EAPOL的802.1X认证消息；当认证通过时，信道的状态被切换到授权。此时，用户信息，如VLAN、汽车参数、优先级、用户访问控制列表等。可以从远程认证服务器传输；认证通过后，用户的流量将由上述参数监控。此时，该通道可以传递任何消息。只有通过身份验证后，才注意DHCP过程。基本认证过程：802.1X认证过程，认证通过后保留：认证端的认证者可以定期请求客户端重新认证，时间可以设置。重新认证过程对用户是透明的(应该是用户不需要重新输入密码)。离线模式：物理端口关闭；重新身份验证失败或超时；客户端启动EAP _注销框架；网络管理控制导致离线；在802.1X认证过程中，当前交换机端口有三种认

9、证方式：强制授权：端口始终保持授权状态，交换机的认证方不主动发起认证；强制未授权：端口总是保持未授权状态，忽略所有客户端发起的身份验证请求；自动：激活802.1X，将端口设置为未授权状态，并通知设备管理模块要求端口认证控制，使端口只允许发送和接收EAPOL报文。当发生“启动”事件或收到“EAPOL启动”消息时，身份验证过程开始，客户端被请求识别，客户端和身份验证服务器之间的消息被中继。通过身份验证后，端口切换到授权状态，在退出之前可以执行重新身份验证。我们要学什么？802.1X是干什么的？802.1x认证系统的结构，802.1X的认证过程，802.1X协议的认证端口，EAPOL协议的引入，80

10、2.1X从何而来？802.1x协议的认证端口，受控端口：在通过认证之前，只允许认证报文、EAPOL报文和广播报文(DHCP、ARP)通过该端口，不允许其他业务数据流通过；逻辑控制端口：多个请求者共享一个物理端口。在请求方未能通过身份验证之前，仅允许身份验证消息通过物理端口，不允许业务数据通过，但已通过身份验证的其他请求方服务不受影响。802.1x协议的认证端口在使用中有以下三种情况：只有任何使用相同物理端口的用户被认证(只有一个用户被认证，其他用户的认证请求在认证过程中被忽略)。通过认证后，其他用户可以使用该物理端口访问网络服务，并分别对共享同一物理端口的多个用户进行认证控制。限制同时使用同一

11、物理端口的用户数量(限制媒体访问控制地址的数量)，但不要指定媒体访问控制地址，这样系统就可以根据先来先服务的原则学习媒体访问控制地址。系统将拒绝超过限制数量的请求，如果用户退出，它可以覆盖退出的媒体访问控制地址。对使用不同物理端口的用户进行VLAN认证控制，即只允许访问指定的虚拟局域网，限制用户访问未经授权的虚拟局域网；用户可以通过受控端口访问指定的VLAN，同一用户可以通过不同的端口访问同一VLAN。我们要学什么？802.1X是干什么的？802.1x认证系统的结构，802.1X的认证过程，802.1X协议的认证端口，EAPOL协议的引入，802.1X从何而来？802.1x定义了基于端口的网络

12、访问控制协议，应当注意，该协议仅适用于接入设备和接入端口之间的点对点连接。为了在点对点链路上建立通信，PPP链路的每一端都必须发送LCP数据包，以便在链路建立阶段配置数据链路。链路建立后，PPP在进入网络层协议之前提供了一个可选的身份验证阶段。而EAPOL是一个可扩展的PPP认证协议。以下是典型PPP协议的帧格式：标志、地址、控制、协议、信息。当PPP帧中的协议字段指示协议类型为C227(PPP EAP)时，只有PPP EAP数据包被封装在PPP数据链路层帧的信息字段中，这表明将应用PPP的扩展认证协议EAP。此时，用EAP消息封装的信息域将承担下一次身份验证的所有任务，下一次EAP身份验证将

13、通过它来执行。典型的EAP认证过程分为请求、响应、成功或失败阶段，每个阶段的消息传输由信息域中携带的EAP消息承担。EAP报文的格式为：代码、标识符、长度、数据、eapol协议介绍、代码、标识符、长度、数据，代码字段为一个字节，表示EAP数据包的类型。EAP代码的值指定和含义如下：代码1请求代码2响应代码3成功代码4失败，标识符字段是一个字节，每个请求应该有一个对应的响应。这种标识符字段建立了与相同对应相匹配的标识符。EAPOL协议介绍，代码、标识符、长度、数据和长度字段是两个字节，表示EAP包的长度，包括代码、标识符、长度和数据。长度字段以外的字节应被视为数据链路层的填充，在接收时应被忽略。

14、数据字段为0或更多字节，数据字段的格式由代码的值决定。EAPOL协议的介绍，分别介绍了当代码不同时消息格式和各个域的定义。，当代码字段为1或2时，它是EAP请求和响应消息，消息的格式为：代码、标识符、长度、类型、类型数据，当代码为1时，它是请求消息，当代码为2时，它是响应消息。标识符字段是一个字节。等待响应时根据超时重新传输的请求的标识符字段必须相同。任何新的(未重发的)请求都必须修改标识符字段。如果另一方收到重复的请求，并且已经发送了对该请求的响应，则另一方必须重新发送该响应。如果另一方在发送对原始请求的响应之前收到了重复的请求(也就是说，它正在等待用户输入)，它必须悄悄地丢弃重复的请求。EAPOL协议简介，字段代码、标识符、长度、类型、类型数据和长度是两个字节，表示EAP数据包的长度，包括代码、标识符、长度、类型和类型数