8021协议理论最大传输速度

竭诚为您提供优质文档/双击可除02.1x协议理论最大传输速度02.1x协议理论最大传输速度篇一：802.1x技术白皮书第一章802・lx简介 2概述： 2体系结构 3端口pae

3口.受控端 3受控方向 ..(802.1x协议理论最大传输速度）..4工作机制. 4第二章802.1x中的eapol封装.eapol帧格 5式.

各字段的含 5第三章802・lx的认证过程....6认证过程. 6第四章802・lx中的主要状态机.设备端pae状态 8机： 8后台认证状态机： 11客户端pae状态机： 13摘要：802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802・lx协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线lan的接入（微软的windowsxp，以及cisco，锐捷网络，北电等厂商的设备已经开始支持802・lx协议）。ieee802lan中，用户只要能接到网络设备上，不需要经过认证和授权即可直接使用。这样，一个未经授权的用户，他可以没有任何阻碍地通过连接到局域网的设备进入网络。随着局域网技术的广泛应用，特别是在运营网络的出现，对网络的安全认证的需求已经提到了议事日程上。如何在以太网技术简单、廉价的组网特点的基础上，提供用户对网络或设备访问合法性认证的手段，已经成为业界关注的焦点。ieee802.1x协议正是在这样的背景下提出的。关键词：authenticatorauthenticationserver:networkaccessport:portaccessentity(pae):supplicant:systemeapol第一章802・lx简介概述：ieee802.1x(port-basednetworkaccesscontrol)是一个基于端口的网络存取控制标准，为lan接入提供点对点式的安全接入。这是ieee标准委员会针对以太网的安全缺陷而专门制定的标准，能够在利用ieee802lan的优势基础上，提供一种对连接到局域网设备或用户进行认证的手段。ieee802.1x标准定义了一种基于“客户端——服务器”(client-server)模式实现了限制未认证用户对网络的访问。客户端要访问网络必须先通过认证服务器的认证。在客户端通过认证之前，只有eapol报文(extensibleauthenticationprotocoloverlan)可以在网络上通行。在认证成功之后，正常的数据流便可在网络上通行。802.1x首先是一个认证协议，是一种对用户进行认证的方法和策略。802.1x的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1x的认证报文eapol（extensibleauthenticationprotocoloverlan）通过。体系结构802.1x系统中共有三个实体：supplication（客户端），authenticatorsystem（设备端），authenticationserversystem（认证服务器）客户端是位于点对点局域网段一端的一个实体，由连接到该链接另一端的设备端对其进行认证。客户端一般为一个用户终端设备，用户启动客户端软件发起802.1x认证。设备端是位于点对点局域网段一端的一个实体，便于对连接到该链接另一端的实体进行认证，设备端一般是支持802.1x协议的网络设备，它为客户端提供接入局域网的端口该端口可以是物理端口（如以太网交换机的一个以太口或ap的接入信道），也可以是逻辑口（如用户的mac地址、Vlanid等）。认证服务器是为设备端提供认证服务的实体。认证服务器用于实现用户的认证、授权、计费。端口pae端口pae为802.1x系统中一个给定的设备端口执行算法和协议的实体对象。设备端口pae利用认证服务器对需要接入局域网的客户端执行认证，并根据认证结果相应的控制受控端口的授权/非授权状态。客户端pae负责响应设备端口的认证请求，向设备端提供用户的认证信息。客户端pae也可以主动向设备端发送认证请求和下线请求。受控端口设备端为客户端提供接入局域网的端口，这个端口被划分为两个虚拟端口：受控端口和非受控端口。非受控端口始终处于双向连通状态，用于传递eap认证报文。受控端口在授权状态下处于连通状态，用于传递业务报文。受控端口在非授权状态下处于断开状态，禁止传递任何报文。受控端口和非受控端口是同一端口的两个部分；任何到达该端口的帧在受控端口和非受控端口都是可见的，如图所示：受控方向受控端口在非授权状态下，可以被设置成单向受控和双向受控。实行双向受控时，禁止帧的发送和接收；实行单向受控时，禁止从客户端接收帧，但允许向客户端发送帧。默认情况下，受控端口实行双向受控。工作机制ieee802.1x认证系统中利用eap协议，作为客户端和认证服务器之间交互认证信息的手段。在客户端pae和设备端pae之间，eap协议报文使用eapol圭寸装格式，直接承载在lan环境中。在设备端pae和认证服务器之间，eap协议报文承载在高层协议上，如radius协议（以后用radius协议表示）。设备端pae和认证功能是分离的，认证服务器可以采用多种不同的认证机制对客户端pae进行认证，如md5-challenge等。设备端pae根据认证服务器的指示（accept或reject）来决定受控端口的授权/非授权状态,如图所示：第二章802.1x中的eapol封装eapol帧格式802.3/以太网中eapol帧格式各字段的含义paeethernettype：该域表示使用协议类型，当其值为0x888e的时候表示使用eapol协议。protocolVersion：协议的版本号，如0x01packettype：报文类型，0x00表示是eap包0x01表示是eap-staRt报文0x02表示是eap-logoFF报文0x03表示eapol-key.报文0x04表示eapol-encapsulated-asF-alert报文packetbodylength：packetbody的长度，2个字节packetbody：该部分内容由packettype决定，长度有packetbodylength决定。eap包的packetbody格式，如图所示：篇二：802・lx协议802.1x协议20xx年03月21日星期五15:59一、引言802・lx协议起源于802.11协议，后者是ieee的无线局域网协议，制订802・1x协议的初衷是为了解决无线局域网用户的接入认证问题。ieee802lan协议定义的局域网并不提供接入认证，只要用户能接入局域网控制设备(如lanswitch)，就可以访问局域网中的设备或资源。这在早期企业网有线lan应用环境下并不存在明显的安全隐患。随着移动办公及驻地网运营等应用的大规模发展，服务提供者需要对用户的接入进行控制和配置。尤其是wlan的应用和lan接入在电信网上大规模开展，有必要对端口加以控制以实现用户级的接入控制，802・lx就是ieee为了解决基于端口的接入控制(port-basednetworkaccesscontro1)而定义的一个标准。二、802・lx认证体系802.1x是一种基于端口的认证协议，是一种对用户进行认证的方法和策略。端口可以是一个物理端口，也可以是一个逻辑端口（如Vlan）。对于无线局域网来说，一个端口就是一个信道。802・lx认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，即只允许802・1x的认证协议报文通过。802・1x的体系结构如图1所示。它的体系结构中包括三个部分，即请求者系统、认证系统和认证服务器系统三部分：图1802・1x认证的体系结构1・请求者系统请求者是位于局域网链路一端的实体，由连接到该链路另一端的认证系统对其进行认证。请求者通常是支持802・1x认证的用户终端设备，用户通过启动客户端软件发起802・lx认证，后文的认证请求者和客户端二者表达相同含义。2・认证系统认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802・lx协议的网络设备，它为请求者提供服务端口，该端口可以是物理端口也可以是逻辑端口，一般在用户接入设备（如lanswitch和ap）上实现802・lx认证。后文的认证系统、认证点和接入设备三者表达相同含义。认证服务器系统认证服务器是为认证系统提供认证服务的实体，建议使用Radius服务器来实现认证服务器的认证和授权功能。请求者和认证系统之间运行802.1x定义的eapo（extensibleauthenticationprotocoloverlan）协议。当认证系统工作于中继方式时，认证系统与认证服务器之间也运行eap协议，eap帧中封装认证数据，将该协议承载在其它高层次协议中（如Radius），以便穿越复杂的网络到达认证服务器；当认证系统工作于终结方式时，认证系统终结eapol消息，并转换为其它认证协议（如Radius），传递用户认证信息给认证服务器系统。认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双向连通状态，主要用来传递eapol协议帧，可随时保证接收认证请求者发出的eapol认证报文；受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。三、802・lx认证流程基于802・lx的认证系统在客户端和认证系统之间使用eapol格式封装eap协议传送认证信息，认证系统与认证服务器之间通过Radius协议传送认证信息。由于eap协议的可扩展性，基于eap协议的认证系统可以使用多种不同的认证算法，如eap-md5，eap-tls，eap-sim，eap-ttls以及eap-aka等认证方法。以eap-md5为例，描述802.1x的认证流程。eap-md5是一种单向认证机制，可以完成网络对用户的认证，但认证过程不支持加密密钥的生成。基于eap-md5的802・lx认证系统功能实体协议栈如图2所示。基于eap-md5的802.1x认证流程如图3所示，认证流程包括以下步骤：图2基于eap-md5的802.1x认证系统功能实体协议栈图3基于eap-md5的802.1x认证流程客户端向接入设备发送一个eapol-start报文，开始802.1x认证接入；接入设备向客户端发送eap-Request/identity报文要求客户端将用户名送上来；客户端回应一个eap-Response/identity给接入设备的请求，其中包括用户名；接入设备将eap-Response/identity报文封装到Radiusaccess-Request报文中，发送给认证服务器；认证服务器产生一个challenge，通过接入设备将Radiusaccess-challenge报文发送给客户端，其中包含有eap-Request/md5-challenge；接入设备通过eap-Request/md5-challenge发送给客户端，要求客户端进行认证；客户端收到eap-Request/md5-challenge报文后，将密码和challenge做md5算法后的challenged-pass-word在eap-Response/md5-challenge回应给接入设备；接入设备将challenge，challengedpassword和用户名一起送到Radius服务器，由Radius服务器进行认证：Radius服务器根据用户信息，做md5算法，判断用户是否合法，然后回应认证成功/失败报文到接入设备。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束；如果认证通过，用户通过标准的dhcp协议(可以是dhcpRelay)，通过接入设备获取规划的ip地址；如果认证通过，接入设备发起计费开始请求给Radius用户认证服务器；Radius用户认证服务器回应计费开始请求报文。用户上线完毕。四、802・1x认证组网应用按照不同的组网方式，802・1x认证可以采用集中式组网(汇聚层设备集中认证)、分布式组网(接入层设备分布认证)和本地认证组网。不同的组网方式下，802・1x认证系统实现的网络位置有所不同。802・1x集中式组网(汇聚层设备集中认证)802.1x集中式组网方式是将802.1x认证系统端放到网络位置较高的lanswitch设备上，这些lanswitch为汇聚层设备。其下挂的网络位置较低的lanswitch只将认证报文透传给作为802.lx认证系统端的网络位置较高的lanswitch设备，集中在该设备上进行802.1x认证处理。这种组网方式的优点在于802・lx采用集中管理方式，降低了管理和维护成本。汇聚层设备集中认证如图4所示。图4802・lx集中式组网（汇聚层设备集中认证）802・lx分布式组网（接入层设备分布认证）802・lx分布式组网是把802・lx认证系统端放在网络位置较低的多个lanswitch设备上，这些lanswitch作为接入层边缘设备。认证报文送给边缘设备，进行802・lx认证处理。这种组网方式的优点在于，它采用中/高端设备与低端设备认证相结合的方式，可满足复杂网络环境的认证。认证任务分配到众多的设备上，减轻了中心设备的负荷。接入层设备分布认证如图5所示。图5802・lx分布式组网（接入层设备分布认证）802・lx分布式组网方式非常适用于受控组播等特性的应用，建议采用分布式组网对受控组播业务进行认证。如果采用集中式组网将受控组播认证设备端放篇三：计算机网络20xx学年秋季学期第一次作业中国传媒大学远程与继续教育学院20xx学年秋季学期“计算机网络”第一次作业一、填空题：（每空0.5分，共15分）1、计算机网络的拓扑主要指子网的拓扑结构。常见的计算机网络拓扑结构有：星型、总线星、环型、树型和网状型。2、常用的传输介质包括有线和无线两种，常见的有线的介质有和光纤。3、tcp/ip网络参考模型分为四层，它们是、、和4、数据传输的同步技术分为两种和。5、多路复用技术是使多路信号共同使用一条线路进行传输，或者将多路信号组合在一条物理信道上传输以充分利用信道的容量的技术。常用的多路复用技术分为以下四种：频分多路复用、波分多路复用、时分多路复用和码分多路复用。6、aRpnet属于交换网。7信道上传送的信号有基带信号、频带信号和宽带信号之分。所谓基带信号是号"1"或"0直接用两种不同的电压表示高电平和低电平不断交替的信号，然后送到线路上去传输频带信号是将基带信号进行调制后形成的模拟信号。8、从通信双方信息交互的方式来看，通信可以分为3通信、全双工通信。9、 个人计算机通过电话线接入internet,必须安装的硬件是。10、 电子邮件客户端应用程序使用smtp协议,其中文名称是。11、 网络管理的目标是最大限度地增加网络的可用时间提高网络设备的利用率,改善网络性能、服务质量和安全性。12、 网络接收来的ip数据报,经过路由选择,转发到一个合适的网络中。13、 主机名到ip地址的映射是借助于一组即独立又协作的二、单项选择题：（每题2分,共20分）1、 x・25协议是一种（d）？报文交换协议b.电路交换协议c.帧交换协议d・报文分组交换协议2、 在有互连的开放系统中,位于同一水平行（同一层）上的系统构成了osi的（a）?对等层b.物理层c・传输层d.网络层3、 以下关于计算机网络的讨论中,正确的观点是（d）组建计算机网络的目的是实现局域网的互联联入网络的所有计算机都必须使用同样的操作系统网络必须采用一个具有全局资源高度能力的分布式操作系统互联的计算机是分布在不同地理位置的多台独立的自治计算机系统4、 帧中继系统设计的主要目标是用于互联多个（d）？广域网电话网atm网局域网5、 不属于分组交换特点的是（d）？a・节点暂时存储的是一个个分组，而不是整个数据文件b・分组是暂时保存在节点的内存中，而不是被保存在节点的外存中，从而保证了较高的交换速率c・分组交换采用的是动态分配信道的策略，极大地提高了通信线路的利用率d・节点暂时存储的是整个数据文件，从而保证了较高的交换速率6、 在计算机网络中，表示数据传输可靠性的指标是（b）？传输率误码率c・信息容量频带利用率7、 通过路由算法，为分组通过通信子网选择最适当的路径是。si模型中哪一层的任务（d）?数据链路层物理层c・传输层d.网络层8、 关于tcp/ip参考模型与iso/osi参考模型关系，正确的是（a）？tcp/ip参考模型应用层汇集iso/osi参考模型中的会话层、表示层和应用层tcp/ip参考模型网络接口层对应iso/osi参考模型中的数据链路层tcp/ip参考模型网络接口层对应iso/osi参考模型中的物理层tcp/ip参考模型的传输层包含iso/osi参考模型中的传输层和数据链路层9、 局域网的核心协议是（b）?ieee801标准ieee802标准sna标准非sna标准10、 des算法属于加密技术中的（a）？a.对称加密不对称加密不可逆加密以上都是三、判断对错：（每题1.5分，共15分）1•所有以太网交换机端口既支持10base-1标准，又支持100base-t标准。（x）ethernet、tokenRing与Fddi是构成虚拟局域网的基础。（V）atm既可以用于广域网，又可以用于局域网，这是因为它的工作原理与ethernet基本上是相同的。（x）windows操作系统各种版本均适合作网络服务器的基本平台。（x）5•局域网的安全措施首选防火墙技术。（V）6.isp是因特网服务提供商，例如：中国电信。（V）7•应用网关是在应用层实现网络互连的设备。（V）计算机网络拓扑结构中的总线结构，具有较高的可靠性，且资源共享方便，但线路复杂，网络的管理也较困难。（x）ppp（point-to—pointprotocol,点到点协议）是一种在同步或异步线路上对数据包进行封装的数据链路层协议，早期的家庭拨号上网主要采用slip协议，而现在更多的是用ppp协议。（V）10．如果多台计算机之间存在着明确的主/从关系，其中一台中心控制计算机可以控制其它连接计算机的开启与关闭，那么这样的多台计算机就构成了一个计算机网络。（X）四、简单题：（每题5分，共30分）1、什么是计算机网络？计算机网络的主要功能是什么？答：（1）目前常用的计算机网络的定义是：用通信线路将分散在不同地点并具有独立功能的多台计算机系统互相连接、按照网络协议进行数据通信、实现资源共享的信息系统。这里强调计算机网络是在协议控制下实现计算机之间的数据通信，网络协议是区别计算机网络与一般计算机互联的标志。也可以把计算机网络简单地定义为"一组自主计算机系统的互联"。对这一定义作如下简单解释：被连接的计算机应自成一个完整的系统，即有自己的cpu、主存储器、终端，甚至辅助存储器，还有完善的系统软件（如操作系统等），能单独进行信息处理加工。②自主性是指联网的计算机之间存在制约控制关系。一般的外部设备不能直接挂在网上，只有直接受一台计算机控制的外部设备，通过该台计算机的联网而成为网上资源。计算机之间的互联通过通信设备及通信线路实现，其通信方式多种多样，通信线路分有线（如双绞线、同轴电缆等）和无线（如微波、卫星通信等）。要有功能完善的网络软件支持，如网络操作系统，由它控制与协调网络资源的分配、共享等。联网计算机之间的信息交换要有共同语言，共同语言由事先约定的一套通信协议来实现。（2）计算机网络的功能①数据传送是计算机网络的基本功能，正是这一功能才能实现计算机之间传送各种信息（包括文字、声音、图像等）以及对地理位置分散的单位进行集中管理与控制。②资源共享指共享计算机系统的硬件、软件和数据。计算机系统的可靠性和可用性得到提高，这是因为计算机网络中的计算机可以互为备用，通过计算机网络均衡各台计算机的负担，避免产生忙闲不均的现象。容易进行分布式处理，各计算机协同完成各种处理任务。2、什么是ip地址？什么是dns?ipV4与ipV6的主要区别是什么？答:（1）ip地址是指互联网协议地址（internetprotocoladdress，又译为网际协议地址），是ipaddress的缩写。ip地址是ip协议提供的一种统一的地址格式，它为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。ip地址是一个32位的二进制数，通常被分割为4个“8位二进制数”（也就是4个字节）。ip地址通常用“点分十进制”表示成（a.b.c.d）的形式，其中，a,b,c,d都是0~255之间的十进制整数。（2）dns（domainnamesystem的缩写），域名系统，因特网上作为域名和ip地址相互映射的一个分布式数据库，能够使用户更方便的访问互联网，而不用去记住能够被机器直接读取的ip数串。通过主机名，最终得到该主机名对应的ip地址的过程叫做域名解析（或主机名解析）。（3）ipV4与ipV6的主要区别：①ipV6有更大的地址空间，从原来ipV4的32b增大到了128b‘②ipV6扩展的地址分层结构；③ipV6有灵活的首部格式；④改进的选项；⑤ipV6允许协议继续扩充；⑥ipV6支持即插即用（即自动配置）；⑦ipV6支持资源的预分配。3、iso的osi协议是哪七层？每层的主要功能是什么？答：（1）开放系统iso互连参考模型osi／Rm将计算机网络体系结构划分为七个层次，即：①物理层（ph），②数据链路层（dl），③网络层（n），④运输层（t），⑤会话层（s），⑥表示层（p），⑦应用层（a）。（2）各层的作用和功能如下：物理层：其作用是在物理媒体上传输数据的比特流，提供为建立、维持和拆除物理链路所需的机械的、电气的、功能的和规程的特性。数据链路层：其作用是在不可靠的物理链路上实现可靠的数据传输，采用的方法是收方对收到的帧进行校验，发回应答帧，发方对错误帧进行重发（包括超时重发）。为此提供数据链路的建立维持和释放以及帧的分界与同步、差错检测与控制、流量控制、顺序控制和层内管理等功能。网络层：作用是在源、目的结点间选择一条最佳路径,将分组正确、无误地传送到目的地，为此提供路由选择、拥塞控制等功能。运输层：运输层的作用是在两个端系统之间可靠、透明地传送报文。为此,提供差错检测与恢复、顺序控制和流量控制等功能。会话层：会话层的作用是在两个互相通信的应用进程之间,建立、组织和协调其交互,提供会话活动管理、交互管理和会话同步管理等功能。表示层：其作用是解决用户信息的语法表示问题，它将要交换的数据从适合于某一用户的抽象语法,转换为适合osi内部使用的传送语法，即完成信息格式的转换。因此表示层要提供语法转换功能。数据的加密和解密、压缩与还原也是表示层的任务之一。应用层：应用层是开放系统与应用进程的接口，提供osi用户服务、管理和分配网络资源，如远地操作、文件传输、电子邮件、虚拟终端服务等功能。4、简述中继器、网桥、路由器、网关的功能？答：（1）中继器只是网络段的互联设备而非网络的互联设备。主要用于在物理层上对电信号进行再生和放大，以扩展传输距离，其功能是对从一条电缆上接收的信号进行再生并发送到另一条电缆上。（2） 网桥应具备有以下功能：a・帧的接收与发送：从所连接的局域网端口接收帧，从帧中获得目的站地址，分析目的站是否属于本网桥所连接的另一个局域网，以决定对该帧是转发还是丢弃。b.缓存管理：在网桥中通常设置两类缓冲区，一类是接收缓冲区，用于暂存从端口收到的、待处理的帧；另一类是发送缓冲区，用于暂存经协议转换等处理后待发送的帧。存储空间要足够大，以适应峰值通信的需要。c.协议转换：网桥的协议转换功能仅限于mac子层和物理层，即将源局域网中所采用的帧格式和物理层规程转换为目的局域网所采用的帧格式和物理层规程。d・差错控制：首先进行差错检测，然后对经协议转化后的mac帧生成新的cRc码，并填入到新mac帧和cRc字段。e.路由选择功能：在源路由选择网桥中无此功能，但在透明网桥中有此功能。（3） 路由器应具有以下基本功能：a.协议转换：能对网络层及其以下各层的协议进行转换。b・路由选择：当分组从互联的网络到达路由器时，路由器能根据分组的目的地址按某种路由策略，选择最佳路由，将分组转发出去，并能随网络拓扑的变化，自动调整路由表。c・能支持多种协议的路由选择：路由器与协议有关，不同的路由器有不同的路由器协议，支持不同的网络层协议。从而使大、中型网络的组建更加方便，并获得较高的性能价格比。d・流量控制：路由器不仅具有缓冲区，而且还能控制收发双方数据流量，使两者更加匹配。e・分段和组装功能：当多个网络通过路由器互联时，各网络传输的数据分组的大小可能不同，这就需要路由器对分组进行分段或组装。f.网络管理功能：路由器是连接多种网络的汇集点，网间信息都要