用户接入管理协议课件

第12章用户接入管理协议引言接入链路协议接入认证/控制协议接入管理协议小结9/18/20231第12章用户接入管理协议引言8/6/20231引言接入网的核心功能：全面管理用户的接入接入管理协议：包括一组，可分为三个层次接入链路协议接入认证/控制协议接入管理协议：决策、仲裁9/18/20232引言接入网的核心功能：全面管理用户的接入8/6/20232用户接入管理的协议模型用户BAS接入管理服务器接入管理协议接入认证/控制协议接入链路协议物理层接入链路协议接入认证/控制协议物理层数据链路层网络层接入管理协议物理层接入链路协议接入认证/控制协议物理层数据链路层网络层接入管理协议9/18/20233用户接入管理的协议模型用户BAS接入管理服务器接入管理协议接第12章用户接入管理协议引言接入链路协议接入认证/控制协议接入管理协议小结9/18/20234第12章用户接入管理协议引言8/6/20234接入链路协议概述PPP协议PPPoE协议9/18/20235接入链路协议概述8/6/20235接入链路协议接入链路协议作用：提供链路通信服务提供或便于实现基于用户的接入控制功能通常作为接入认证/控制协议的承载协议典型的接入链路协议有：以太网协议：IEEE802.3无线局域网协议（IEEE802.11系列）PPP（Point-to-PointProtocol，点到点协议）PPPoE：以太网上的点到点协议PointtoPointProtocoloverEthernet9/18/20236接入链路协议接入链路协议作用：8/6/20236接入链路协议概述PPP协议PPPoE协议9/18/20237接入链路协议概述8/6/20237PPP协议协议概要LCP协议NCP协议帧格式协议操作过程9/18/20238PPP协议协议概要8/6/20238PPP协议概要概念点对点协议：Point-to-PointProtocol协议文档：RFC1661协议作用范围点对点数据链路功能实现点对点链路的两个端点之间:数据链路的建立与拆除链路质量检测、身份认证网络层协议协商与配置包括两个子协议：LCP与NCP话带Modem拨号接入服务器话带Modem池话带Modem9/18/20239PPP协议概要概念话带拨号接入话带话带8/6/20239PPP协议分层模型PPP协议由两个重要的子协议构成：LCP协议LCP协议是PPP链路操作的关键协议，主要完成链路的建立、协商、配置和终止NCP协议PPP为不同的网络层协议设计了相对应的NCP协议，用来处理不同网络层协议的特殊需求9/18/202310PPP协议分层模型PPP协议由两个重要的子协议构成：8/6/PPP协议协议概要LCP协议NCP协议帧格式协议操作过程9/18/202311PPP协议协议概要8/6/202311PPP：LCP协议LCP：链路控制协议LinkControlProtocol协议功能链路建立链路参数协商与配置例如，MRU（MaximumReceiveUnit）参数是否认证和认证协议协商链路拆除9/18/202312PPP：LCP协议LCP：链路控制协议8/6/202312PPP协议协议概要LCP协议NCP协议帧格式协议操作过程9/18/202313PPP协议协议概要8/6/202313PPP：NCP协议NCP：网络层控制协议NetworkControlProtocol作用：在一个PPP链路上复用多个网络层协议PPP为不同的网络层设计了相应的NCP，例如：IPCP：对应IP协议的NCPIPXCP：对应IPX协议的NCP不同的NCP处理不同网络层特殊要求同一个PPP连接下可启动多个NCP9/18/202314PPP：NCP协议NCP：网络层控制协议8/6/202314PPP协议协议概要LCP协议NCP协议帧格式协议操作过程9/18/202315PPP协议协议概要8/6/202315PPP的帧格式PPP帧封装在HDLC/UI帧中地址控制协议数据FCS字节112变长2地址控制数据FCSHDLCUI帧PPP帧固定值OxFF固定值Ox03封装数据的协议类型9/18/202316PPP的帧格式PPP帧封装在HDLC/UI帧中地址控制协议数PPP协议协议概要LCP协议NCP协议帧格式协议操作过程9/18/202317PPP协议协议概要8/6/202317PPP协议操作过程(协议运行)PPP协议首先需要使用LCP建立数据链路，然后通过NCP选择并配置一个或多个网络层协议，通信结束后PPP协议会使用LCP或NCP终止数据链路。五个阶段及各阶段转换图UPOPENDSUCCESS/NONEFAILDOWNCLOSING链路死亡链路建立认证网络层协议链路终止FAIL9/18/202318PPP协议操作过程(协议运行)PPP协议首先需要使用LCP建PPP协议操作过程死亡阶段物理层未准备好、PPP的初始阶段链路建立阶段，由LCP完成建立请求、协商：MRU及采用的认证协议、链路质量监测协议认证阶段,由LCP完成可选项，对用户身份的鉴别。是否选或选择何种认证协议在建立连接阶段协商认证阶段只允许接收LCP、LQR和认证协议的分组网络层协议阶段，由NCP完成对网络层协议进行配置，如网络层地址（IP地址）分配链路终止阶段,由LCP完成可以在任何时候终止链路，链路的正常终止由LCP分组完成，一个NCP的关闭不一定引起链路的关闭9/18/202319PPP协议操作过程死亡阶段8/6/202319接入链路协议概述PPP协议PPPoE协议9/18/202320接入链路协议概述8/6/202320PPPoE协议协议概要接入模型协议层次分组格式协议运行9/18/202321PPPoE协议协议概要8/6/202321PPPoE协议概要概念PPPOverEthernet以太网的点对点的协议协议文档：RFC2516协议的引入使用PPP协议的点到点接入方式使得网络的ISP更易控制用户的接入和用户流量但是PPP只能用于点对点链路PPPoE可以用于多点链路（以太网）——实现一种虚拟拨号接入方式协议功能（简单说就是“在以太网上传输PPP的数据帧”）建立PPP会话对以太网上每个接入用户与NAS之间建立一条隧道每个PPP会话由连接标识符唯一标识实现对以太网上每个接入用户进行接入管理9/18/202322PPPoE协议概要概念8/6/202322PPPoE协议协议概要接入模型协议层次分组格式协议运行9/18/202323PPPoE协议协议概要8/6/202323PPPoE接入模型接入桥接设备可为：交换机、ADSLModem接入集中器可为：PPPoE服务器、DSLAM接入集中器AccessConcentratorPPP会话主机主机主机主机主机桥接接入设备BridgingAccessDeviceISP局域网（以太网）9/18/202324PPPoE接入模型接入桥接设备可为：接入集中器PPP会话主机工作原理主机通过一个以太网交换机与PPPoE接入服务器建立一个PPP会话（PPPSession），即一条PPP虚拟链路建立过程分为两个阶段：发现（Discovery）阶段和PPP会话阶段。发现阶段中，用户主机以广播方式寻找可以连接的所有PPPoE接入服务器，并获得所选择连接的PPPoE接入服务器的以太网MAC地址，然后建立PPPoE会话标识（SESSION_ID）PPP会话阶段中，用户主机与PPPoE接入服务器在协商建立的PPPoE会话上开始PPP会话过程，传输PPP帧9/18/202325工作原理主机通过一个以太网交换机与PPPoE接入服务器建立一PPPoE协议协议概要接入模型协议层次分组格式协议运行9/18/202326PPPoE协议协议概要8/6/202326协议层次以太网物理层PPPoE数据链路层网络层PPPIP9/18/202327协议层次以太网物理层PPPoE数据链路层网络层PPPIP8/PPPoE协议协议概要接入模型协议层次分组格式协议运行9/18/202328PPPoE协议协议概要8/6/202328分组(帧)格式PPPoE协议封装在以太帧中（以太帧的载荷）字节目的MAC地址源MAC地址类型有效载荷（PPPoE分组）FCS662变长4PPPoE封装在以太帧中发现阶段类型：0x8863会话阶段类型：0x8864固定值不同阶段的分组类型标识一个特定的PPPoE会话发现阶段：可以为空会话阶段：PPP帧版本代码类型有效载荷会话标识比特01234567012345670123456701234567长度PPPoE分组格式PPPoE载荷长度固定值9/18/202329分组(帧)格式PPPoE协议封装在以太帧中（以太帧的载荷）字PPPoE协议协议概要接入模型协议层次分组格式协议运行9/18/202330PPPoE协议协议概要8/6/202330PPPoE协议运行协议运行分为两个阶段发现阶段、会话阶段发现阶段——获取对方MAC主机广播一个PPPoE有效发现启动分组，寻找合适的PPPoE服务器可能有多个服务器收到该消息，满足要求的服务器发送有效发现提供分组应答，否则不发应答主机选择一个合适的接入服务器，发有效发现请求分组接入服务器为主机分配唯一的会话标识。发现过程结束主机PPPoE接入服务器①广播PADI②单播PADO③单播PADR④单播PADS9/18/202331PPPoE协议运行协议运行分为两个阶段主机PPPoE①广播PPPoE协议运行PPP会话阶段发现结束后，主机和PPPoE接入服务器建立点对点隧道，进入会话阶段：传送PPP帧PPP帧封装在PPPoE帧中PPPoE帧封装在Ethernet帧中，通过以太网或其它接入网承载或运送9/18/202332PPPoE协议运行PPP会话阶段8/6/202332第12章用户接入管理协议引言接入链路协议接入认证/控制协议接入管理协议小结9/18/202333第12章用户接入管理协议引言8/6/202333接入认证/控制协议口令认证协议PAP质询认证协议CHAP可扩展的认证协议EAP基于端口的接入认证与控制协议802.1X9/18/202334接入认证/控制协议口令认证协议PAP8/6/202334口令认证协议PAPPAP（由RFC1334描述）：PasswordAuthenticationProtocol（口令认证协议）PAP认证过程被认证方(Peer)向认证方(Authenticator)发认证请求信息（明文），请求信息含“用户名、口令”认证方向被认证方发认证应答信息（明文）Auth-Ack（认证成功）orAuth-Nak（认证失败）

认证请求（Auth-Request）认证成功/失败（Auth-Ack/Auth-Nak）A（被认证方）B（认证方）PAP认证的问题明文传输认证信息容易被窃取，存在安全隐患9/18/202335口令认证协议PAPPAP（由RFC1334描述）：Pass接入认证/控制协议口令认证协议PAP质询认证协议CHAP可扩展的认证协议EAP基于端口的接入认证与控制协议802.1X9/18/202336接入认证/控制协议口令认证协议PAP8/6/202336质询认证协议CHAPCHAP(ChallengeAuthenticationProtocol):质询认证协议由RFC1994描述CHAP认证的特点认证信息采用密文传送采用共享密钥与PAP相比安全性更高认证所花时间更长9/18/202337质询认证协议CHAPCHAP(ChallengeAutCHAP认证的交互过程由认证方向被认证方发送质询分组质询值为随机数由被认证方向认证方发送响应分组将质询值通过共享密钥加密后传送到对方由认证方向被认证方发送响应分组认证方用共享密钥解密，成功发Ack，失败发Nak2)响应（Response）（密文）1)质询（Challenge）(明文）A（被认证方）B（认证方）3)认证成功/失败（Auth-Ack/Auth-Nak）9/18/202338CHAP认证的交互过程由认证方向被认证方发送质询分组2)接入认证/控制协议口令认证协议PAP质询认证协议CHAP可扩展的认证协议EAP基于端口的接入认证与控制协议802.1X9/18/202339接入认证/控制协议口令认证协议PAP8/6/202339可扩展认证协议EAPEAP的含义ExtensibleAuthenticationProtocol可扩展的认证协议由RFC2284描述设计目的是：把PPP链路建立阶段的认证协议选择延迟到可选的PPP认证阶段，从而允许认证系统在决定具体的认证机制之前能够请求更多的信息。EAP并非一个具体的认证协议是一个认证协议的封装协议定义了一种封装的框架、格式具体的认证协议和认证信息封装在EAP分组中，如PAPoverEAP、CHAPoverEAPetc.迄今EAP支持的认证协议达42种9/18/202340可扩展认证协议EAPEAP的含义8/6/202340EAP分层模型下层（lowerlayer）——负责收发peer和authenticator间封装EAP分组的帧该层协议可以包括PPP、IEEE802局域网（IEEE802.1X）、UDP和TCPEAP协议不要求其下层提供可靠性或安全性保证EAP层（EAPlayer）——经由下层收发EAP分组,向EAPpeer/aut.层递交或接收来自EAPpeer/aut.层的EAP报文EAPpeer/authenticator层EAPPeer层为被认证方供peer功能，仅接收EAP请求、成功或失败分组；EAPAuth.层为认证方提供authenticator功能，仅接收EAP响应分组。EAP方法层（EAPmethodlayer）——实现多种认证算法，收发EAP报文，支持EAP分组分段和重组，EAP的最小MTU值是1020字节。9/18/202341EAP分层模型下层（lowerlayer）——负责收发pEAP协议允许使用后台（backend）认证服务器9/18/202342EAP协议允许使用后台（backend）认证服务器8/6/EAP认证过程在链路建立阶段完成后，认证方发送一个或多个请求（Request）分组来对Peer进行认证该数分组中有一个类型域表明请求的类型Peer发送一个响应（Response）分组对每一个请求做出应答认证方发送一个成功（Success）或失败（Failure）数据包结束认证阶段9/18/202343EAP认证过程在链路建立阶段完成后，认证方发送一个或多个请求EAP的应用EAP在PPP网络中的使用在LCP的链路协商过程中将选择认证协议为EAP协议（利用LCP的链路配置分组携带认证协议配置选项）LCP的认证协议协商通过后，即可在PPP认证阶段开始EAP的协议交互过程，确定并使用具体的认证机制IEEE802网络中的EAP应用定义在IEEE802.1X中9/18/202344EAP的应用EAP在PPP网络中的使用8/6/202344接入认证/控制协议口令认证协议PAP质询认证协议CHAP可扩展的认证协议EAP基于端口的接入认证与控制协议802.1X9/18/202345接入认证/控制协议口令认证协议PAP8/6/202345用户接入控制协议802.1X概念IEEE802.1X：基于端口的接入控制协议目前使用标准版本:IEEEStd802.1X-2004一个专用于802网络用户接入认证与控制的协议接入要求LAN用户以点到点方式接入到LAN的端口上端口可以是物理端口LAN用户以点对点方式接入：接入以太网交换机端口端口也可以是逻辑端口LAN用户以点对点方式接入：接入WLAN中的AP端口功能为LAN用户提供接入认证及授权的服务功能9/18/202346用户接入控制协议802.1X概念8/6/202346802.1X协议模型的三种实体客户系统（SupplicantSystem）运行802.1X客户软件的用户终端系统完成接入控制操作认证系统（AuthenticatorSystem）为802.1X客户系统（即LAN用户）提供授权的接入服务，通常为支持802.1X协议的网络接入设备认证服务器系统（AuthenticationServerSystem）为认证系统提供认证服务9/18/202347802.1X协议模型的三种实体客户系统（Supplicant802.1X的协议运行模型PAE:（PortAccessEntity）端口接入实体执行802.1X协议的实体运行802.1X客户软件的用户终端支持802.1X的网络接入设备为801.1x客户提供授权的接入服务为认证系统提供认证服务9/18/202348802.1X的协议运行模型PAE:（PortAccess802.1X的端口802.1X协议是基于端口的接入控制端口是用来连接客户系统和认证系统的LAN端口802.1X端口接入控制中用来连接客户系统和认证系统的LAN端口可以是物理端口，也可以是逻辑端口取决于该端口的接入方式9/18/202349802.1X的端口802.1X协议是基于端口的接入控制8/802.1X的不受控/受控端口不受控端口传输认证信息始终连通受控端口传输用户业务数据受控方式：双向受控或仅输入受控端口默认状态为未授权状态，即断开状态双向受控：端口此时禁止收、发业务数据仅输入受控：端口此时只能发送数据通过认证后，处于授权状态，即接通状态LAN认证系统受控端口不受控端口9/18/202350802.1X的不受控/受控端口不受控端口LAN认证系统受控端802.1X协议运行协议运行实体客户PAE、认证PAE、认证服务器认证协议封装类型客户PAE与认证PAE之间：EAPOL(EAPOverEthernet）认证PAE与认证服务器之间：EAPEAPOverRadius认证的发起者客户PAE或认证PAE9/18/202351802.1X协议运行协议运行实体8/6/202351802.1X的认证与接入过程客户PAE将认证信息由EAPOL封装，并通过认证系统的不受控端口传输到认证PAE认证PAE将认证信息由EAP封装传输到认证服务器认证服务器验证用户认证信息，并将认证结果返回到认证PAE（成功或失败）认证PAE将认证结果反馈给客户PAE认证成功：受控端口设为授权状态，向用户提供接入服务认证失败：受控端口继续断开，拒绝向用户提供接入服务9/18/202352802.1X的认证与接入过程客户PAE将认证信息由EAPOL802.1X协议的应用通过以太网交换机接入的交换式以太网每台主机以点到点方式接入到交换机每个端口接入点为交换机的物理端口通过AP接入的无线局域网每台无线主机以点到点方式接入AP的同一无线端口控制端口为逻辑端口不同的逻辑端口可由MAC地址区分PCPC以太网交换机PCPCAAAServerAPPCPCPC9/18/202353802.1X协议的应用通过以太网交换机接入的交换式以太网PC第12章用户接入管理协议引言接入链路协议接入认证/控制协议接入管理协议小结9/18/202354第12章用户接入管理协议引言8/6/202354接入管理协议概念协议模型协议运行报文格式和类型（自学）RADIUS代理协议应用9/18/202355接入管理协议概念8/6/202355用户接入管理协议–RADIUSRADIUS的含义RemoteAuthenticationDialInUserService远程认证拨号用户服务协议标准：RFC2865，RFC2866扩展版本：RFC2867，RFC2868等协议发展与应用范围最初仅针对拨号用户，实现AAA的管理功能现已发展成一种通用的、广泛使用的实现AAA功能的协议适用于各种方式接入的用户的集中管理协议的功能对接入用户提供认证、授权和记帐功能支持对漫游用户的接入管理9/18/202356用户接入管理协议–RADIUSRADIUS的含义接入管理协议概念协议模型协议运行报文格式和类型（自学）RADIUS代理协议应用9/18/202357接入管理协议概念8/6/202357RADIUS协议模型模型结构为集中/分布式协议作用范围：NAS与RADIUS服务器之间注意：RADIUS并未对用户与NAS之间的认证协议进行规定用户NASRADIUSserver接入client接入serverRADIUSclient用户接入认证协议RADIUS协议用户管理数据库9/18/202358RADIUS协议模型模型结构为集中/分布式用户NASRADI接入管理协议概念协议模型协议运行报文格式和类型（自学）RADIUS代理协议应用9/18/202359接入管理协议概念8/6/202359RADIUS协议运行RADIUS协议运行NAS与RADIUS服务器之间的操作但必须有用户与NAS之间认证协议的配合协议运行分为两个过程：认证操作（包括授权）记帐操作协议实体交互过程中采用重传机制9/18/202360RADIUS协议运行RADIUS协议运行认证操作操作实体：NAS与RADIUS认证服务器认证操作的方式请求/响应方式质询/响应方式9/18/202361认证操作操作实体：NAS与RADIUS认证服务器8/6/20请求/响应方式(一问一答）NAS从用户处获得用户认证信息NAS将认证信息生成一个RADIUS接入请求报文发向RADIUS认证服务器（含用户名、口令等）RADIUS认证服务器验证用户的合法性，并通过接入许可/拒绝报文回应NAS用户名、口令接入认证结果用户NASRADIUS认证服务器接入请求报文接入许可/拒绝报文9/18/202362请求/响应方式(一问一答）NAS从用户处获得用户认证信息用质询/响应方式NAS第1次发出的接入请求报文中含用户名和口令信息NAS第2次发出的接入请求报文中将口令换成用户的质询响应值接入许可/拒绝报文接入质询报文用户名、口令接入认证结果用户NASRADIUS认证服务器接入请求报文质询值，提示消息响应值接入请求报文9/18/202363质询/响应方式NAS第1次发出的接入请求报文中含用户名和口令记帐操作操作实体：NAS与RADIUS记帐服务器操作时机：授权许可提供服务时和服务终止时记帐请求报文接入许可开始记帐RADIUS记帐服务器记帐响应报文NASa)开始记帐记帐请求报文服务终止结束记帐RADIUS记帐服务器记帐响应报文NASb)结束记帐9/18/202364记帐操作操作实体：NAS与RADIUS记帐服务器记帐请求报文接入管理协议概念协议模型协议运行报文格式和类型（自学）RADIUS代理协议应用9/18/202365接入管理协议概念8/6/202365RADIUS代理一个RADIUS服务器可以同时为某些管理域的中继服务器和其它域的远程服务器一个中继服务器可以为多个远程服务器中继典型应用：为漫游用户提供接入AAA管理9/18/202366RADIUS代理一个RADIUS服务器可以同时为某些管理域的RADIUS代理假设用户A的认证信息存放在一个远程服务器中中继服务器远程服务器1)接入请求报文4)接入许可/拒绝报文NAS2)接入请求报文3)接入许可/拒绝报文RADIUS服务器NAS用户ARADIUS服务器网