鸿鹄05基于802 1x接入身份认证

基于802.1x接入的身份认证日期：杭州华三通信技术有限公司，随着网络的发展，用户除了关注网络的连通性以外，更加关注网络的可管理、可运营，以及如何保证用户的信息安全。通过在网络中部署AAA服务器，能够验证用户的接入身份，授权用户可以使用哪些业务以及记录用户使用网络资源的情况。引入描述802.1x体系结构掌握EAPOL协议原理掌握RADIUS协议原理掌握iMCUAM和iNode的相关应用课程目标学习完本课程，您应该能够：802.1x概述EAPOL协议RADIUS协议iMCUAM及iNode典型应用目录802.1X的起源802.1X认证技术起源于无线网络标准802.11，由于其原理对于所有符合IEEE标准的局域网具有普适性，因此在有线网中也得到了广泛的应用802.1x体系架构 802.1x称为基于端口的访问控制协议（Portbasednetworkaccesscontrolprotocol），主要是为了解决局域网用户的接入认证问题802.1x体系架构由三个部分组成SupplicantSystemAuthenticatorSystemAuthenticationServerSystemSupplicantSystemAuthenticationServerSystemAuthenticatorSystemEAPOLRADIUSiMCUAM概述 iMC用户接入管理（UAM）组件提供了完善的针对接入用户的管理功能，包括支持多种方式的接入和认证，以及对用户信息的汇总和组织等通过iMC平台和UAM组件的深度融合和联动，iMCUAM将管理的范畴从传统的网络设备管理延展到对网络使用者的管理，使得网络和用户这两个密不可分的对象从管理的角度也有机融合为一个整体iNode概述 iNode（智能节点）安装于终端操作系统之上，提供适用于不同组网和应用场景的认证客户端的功能iNode管理中心提供定制客户端安装文件、升级包，在线修改客户端运行参数等功能受控端口 受控端口是802.1x系统的核心概念非受控端口（uncontrolledport）始终处于双向连通状态受控端口（controlledport）在非授权状态下不处理业务，而经过授权之后则处于双向连通状态设备端提供的服务设备端处理模块非受控端口受控端口设备端客户端受控模式端口的受控模式有两种，基于端口和基于MAC802.1x设备端Hub客户端A客户端B802.1x认证方式的优点三种常用的认证方式802.1x、PPPoE和Portal认证802.1x认证的优势认证流程和业务流程彼此分离，认证流程在链路层完成，协议帧封装开销小对设备端的要求低，适用于运营管理相对简单的企业网和校园网802.1x概述EAPOL协议RADIUS协议iMCUAM及iNode典型应用目录EAPOL协议EAP全称是ExtensibleAuthenticationProtocol（扩展认证协议），在802.1x体系架构中，用于在客户端和设备端之间承载用户信息EAPOL即EAPOverLAN，它定义了在局域网上传递EAP帧及控制用户接入的标准EAP帧格式EAP帧格式如下图所示：Code08123N0IdentifierTypeDataLength45EAPOL封装EAPOL的封装格式如下图所示：802.3/EthernetProtocolVersionEthernetTypeLengthPacketBodyType0816123N0触发802.1x认证802.1x认证的触发方式有两种客户端主动触发方式设备端主动触发方式采用客户端主动触发时，客户端向设备端主动发送EAPOL-Start帧EAPOL-Start帧的目的MAC为组播MAC：01-80-C2-00-00-03802.1x概述EAPOL协议RADIUS协议iMCUAM及iNode典型应用目录RADIUS协议概述RADIUS（RemoteAuthenticationDialInUserService）的全称是远程拨号用户认证，由于其实现简单，可扩展性好，成为了目前应用最广泛的AAA（认证、授权和计费）协议RADIUS工作在UDP协议之上，认证服务器监听UDP1812端口，计费服务器监听UDP1813端口RADIUS报文格式RADIUS报文的格式如下图所示：Code081612N0IdentifierLengthAuthenticatorAttribute……2432345Attribute字段Attribute字段构成RADIUS报文的核心，它由类型、长度、值三个子域组成类型字段即属性编号，每个编号代表一个具体的属性长度字段标识该属性的总长度值字段用于填充具体的数据Type0816LengthValueN公有属性和私有属性RADIUS属性可分为标准属性和扩展属性，编号为26号的属性供厂商自行扩展Type0816LengthVendor-IDVendor-TypeVendor-LengthAttribute-Specific……12N034EAP中继和EAP终结设备端对于EAP帧的处理可分为EAP终结和EAP中继两种方式EAP终结是指设备端解析EAP帧，将其中内容映射到对应的RADIUS属性中发送给服务器EAP中继是指设备端对EAP帧不做解析，而是将整个EAP帧直接填充到RADIUS报文的标准属性中透传给服务器，这种封装方式也称为EAPOR（EAPOverRADIUS）EAP中继方式依赖于两个标准属性：EAP-Message(79)和Message-Authenticator(80)RADIUS报文校验Authenticator字段的两个作用校验RADIUS报文的完整性在PAP认证方式下参与密码加密的处理EAP终结方式下的认证流程CHAP/PAP认证方式流程图EAPOL-StartEAP-Request/IdentityEAP-Response/IdentityAccess-RequestEAP-Request/MD5-ChallengeEAP-Response/MD5-PasswordAccess-SuccessAccounting-Request(start)Accounting-ResponseEAP-Success设备端RADIUS服务器客户端EAP中继方式下的认证流程EAP-MD5认证方式流程图EAPOL-StartEAP-Request/IdentityEAP-Response/IdentityAccess-RequestEAP-Request/MD5-ChallengeEAP-Response/MD5-PasswordAccess-ChallengeAccess-RequestAccess-AcceptEAP-Success设备端RADIUS服务器客户端Accounting-Request(start)Accounting-Response维持在线和下线流程认证成功后，针对可能出现的异常，需要有一种机制确保设备端和服务器能够及时感应EAP-Logoff设备端RADIUS服务器客户端Accounting-Request(update)Accounting-ResponseEAP-Request/IdentityEAP-Response/IdentityEAP-Success…………Accounting-Request(stop)Accounting-ResponseEAP-Failure维持用户在线[Switch]radiusschemetest[Switch-radius-test]timerresponse-timeout3[Switch-radius-test]retry3[Switch-radius-test]timerrealtime-accounting12[Switch-radius-test]retryrealtime-accounting5[Switch]dot1xtimerhandshake-period15[Switch]dot1xretry2服务器配置在线用户老化时间间隔设备端配置计费更新报文的相关参数设备端配置EAP握手的相关参数802.1x概述EAPOL协议RADIUS协议iMCUAM及iNode典型应用目录UAM的服务 iMCUAM以“服务”的形式提供一组控制用户接入的策略集合服务中除了包含灵活的认证、授权、计费策略之外，还可以包含认证绑定、客户端配置、接入区域、接入时段、终端安全等策略一个接入用户能够同时申请（关联）多个服务，一个服务也可以同时被多个用户所申请服务后缀客户端配置认证时携带的域名标识[Switch]radiusschemetest[Switch-radius-test]user-name-format{with-domain|without-domain}[Switch]domainoffice[Switch-isp-office]radius-schemetest[Switch]domaindefaultenableoffice设备端配置对域名标识的处理方式服务器端配置服务名称和服务后缀EAP终结方式下的域名标识处理流程图域名标识处理流程图查找缺省域是否携带了域名标识设备端收到客户端认证请求查找指定域关联认证方案服务器查找指定服务后缀的服务是否在用户名属性中携带域名标识服务器查找服务后缀为空的服务是否是否动态VLAN下发服务器通过接入响应报文中携带的标准属性向设备授权，动态配置接入端口的VLAN属性动态VLAN下发用到三个标准属性Tunnel-Type(64)用于标识该授权信息的类型Tunnel-Medium-Type(65)用于标识授权信息对应的介质Tunnel-Private-Group-ID(81)用于标识授权的VLAN号 基于用户的限速服务器通过接入响应报文中携带的标准或私有属性向设备授权，实现基于用户的速率限制下发访问控制列表服务器通过接入响应报文中携带的标准属性向设备授权，实现基于用户的访问控制接入时段和会话时长控制服务器通过接入响应报文或计费响应报文中携带的标准属性向设备授权，限制用户的接入时长，继而实现接入时段的控制接入绑定服务器通过识别接入请求报文中的标准或私有属性所携带的客户端信息，匹配预先配置的接入绑定规则，实现更加精细化的用户接入控制设备无关特性和策略服务器通过在服务器和客户端之间建立私有通讯机制，不依赖于设备端实现私有应用的特性称为设备无关特性设备端RADIUS服务器策略服务器客户端RADIU