Chinaunix首页 | 论坛 | 博客
  • 博客访问: 751053
  • 博文数量: 256
  • 博客积分: 3502
  • 博客等级: 中校
  • 技术积分: 3988
  • 用 户 组: 普通用户
  • 注册时间: 2012-04-17 21:13
文章分类

全部博文(256)

文章存档

2014年(11)

2013年(134)

2012年(111)

我的朋友

分类: 系统运维

2013-02-19 13:52:57

IEEE802.1x是IEEE2001年6月 通过的基于端口访问控制的接入管理标准。IEEE802.1x协议具有完备的用户、管理功能,可以很好地支撑宽带网络的计费、安 全、运营和管理要求,对宽带IP城域网等电信级网络的运营和管理具有极大的优势。IEEE802.1x是一 种基于端口的网络接入控制技术在 LAN 设备的物理接入级对接入设备进行认证和控制,此处的物理接入级指的是 LanSwitch设备的端口。连接在该类端口上的用户设备如果能通过认证,就可以访问 LAN 内的资源;如果不能通过认证,则无法访问 LAN 内的资源,相当于物理上断开连接。但是需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口,例如,LanSwitch 的一个物理端口仅连接一个 End Station,这是基于物理端口的; IEEE 802.11定义的无线 LAN 接入方式是基于逻辑端口的。

802.1x 认证的作用.802.1X 首先是一个认证协议,是一种对用户进行认证的方法和策略。
802.1X 是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是
一个就像VLAN 一样的逻辑端口,对于无线局域网来说这个“端口”就是一条信道)
802.1X 的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功
那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,
此时只允许802.1X 的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。

IEEE802.1x的体系结构中包括三个部分:Supplicant System,用户接入设备;Authenticator System,接入控制单元(认证系统);Authentication Sever System,认证服务器。 用户接入层设备(如LanSwitch)实现 IEEE802.1x的认证系统部分,即Authenticator;IEEE802.1x的客户端一般安装在用户PC中,典型的为Windows XP操作系统自带的客户端; IEEE802.1x的认证服务器系统一般驻留在运营商的AAA中心.

慧聪网通信行业频道

Supplicant与Authenticator间运行IEEE802.1x定义的EAPOL协议Authenticator 与 Authentication Sever 间同样运行 EAP 协议,EAP 帧中封装了认证数据,将该协议承载在其他高层次协议中,如 Radius,以便穿越复杂的网络到达认证服务器。
Authenticator每个物理端口内部有受控端口(Controlled Port)和非受控端口(unControlled Port)等逻辑划分。非受控端口始终处于双向连通状态,主要用来传递 EAPOL 协议帧,可保证随时接收Supplicant发出的认证EAPOL报文。受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。受控端口可配置 为双向受控、仅输入受控两种方式,以适应不同的应用环境。输入受控方式应用在需要桌面管理的场合,例如管理员远程唤醒一台计算机 (supplicant)。IEEE802.1x通过 EAP 承载认证信息,共定义了如下 EAP 包类型:

l EAP-Packet,认证信息帧,用于承载认证信息;

l EAPOL-Start,认证发起帧,Supplicant 和 Authenticator 均可以发起;

l EAPOL-Logoff,退出请求帧,可主动终止已认证状态;

l EAPOL-Key,密钥信息帧,支持对 EAP 报文的加密;

       l EAPOL-Encapsulated-ASF-Alert,用于支持 Alert Standard Forum (ASF)的 Alerting 消息;

其中 EAPOL-Start,EAPOL-Logoff 和 EAPOL-Key 仅在 Supplicant 和 Authenticator 间存在,在交换机和认证服务器间,EAP-Packet报文重新封装承载于Radius协议之上,以便穿越复杂的网络到达认证服务器。 EAPOL-Encapsulated-ASF-Alert 封装与网管相关信息,例如各种告警信息,由 Authenticator 终结。

802.1X 本文指IEEE 802.1X 标准
RADIUS 远程用户拨入认证服务 (Remote Authentication Dial In User Service)
PAP 密码验证协议 (Password Authentication Protocol)
CHAP 质询握手验证协议 (Challenge Handshake Authentication Protocol)
EAP 扩展验证协议 (Extensible Authentication Protocol)
EAPOL 基于局域网的EAP (EAP over LAN)
MD5 消息摘要算法5 版本 (Message-Digest Algorithm 5)
PAE 端口认证实体 (Port Authentication Entity)

阅读(1309) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~