802.1x协议基础协议基础 802.1x协议基础协议基础 内部资料 密级：内部公开 杭州华三通信技术有限公司 www.h3c.com.cn 1 802.1X的基本概念的基本概念 802.1X认证方式的介绍认证方式的介绍 目录目录 目录目录 www.h3c.com.cn 2 802.1x基本概念基本概念缩略语缩略语 802.1x 指IEEE 802.1x标准 PAP 密码验证协议（Password Authentication Protocol） CHAP 质询握手验证协议（Challenge Handshake Authentication Protocol） MD5 消息摘要算法5版本（Message-Digest Algorithm 5） EAP 扩展验证协议（Extensible Authentication Protocol TLS 传输层安全 (Transport Layer Security) PEAP 受保护的EAP（Protected EAP） PAE 端口认证实体（Port Authentication Entity） www.h3c.com.cn 3 802.1x基本概念基本概念概述概述 它起源于802.11协议，后者是标准的无线局域网协议，解决无线局域 网用户的接入认证问题。现在已经被应用于一般的有线LAN的接入 。 Port-Based Networks Access Control ， 802.1x定义了基于端口的网 络接入控制协议。 端口： 可以是物理端口：Port-Based 也可以是逻辑端口：Mac-Based 基本思想：通过某种认证机制控制端口的授权状态。 认证通过时，端口处于Authorized，用户可以接入。 认证未通过，端口处于Unauthorized，用户不能接入。 www.h3c.com.cn 4 802.1x基本概念基本概念端口认证实体端口认证实体PAE 端口认证实体PAE 作用：为与端口相关联的协议实体执行认证相关的算法和协议 。 分类：设备端PAE、客户端PAE两种 。 客户端PAE：负责响应设备端的认证请求，向设备端提交用户的认证 信息，也可以主动向设备端发送认证请求和下线请求 。 设备端PAE：利用认证服务器对需要接入设备端提供服务的客户端执 行认证，并根据认证结果控制相应的受控端口。 设备端PAE和认证服务器可以位于同一个设备，也可以位于两个不同 的设备， IEEE 802.1x标准建议设备端PAE和RADIUS服务器位于 两个不同的设备。 www.h3c.com.cn 5 802.1x基本概念基本概念认证系统体系结构认证系统体系结构 www.h3c.com.cn 6 802.1x基本概念基本概念认证授权模式认证授权模式 802.1x受控端口支持三种认证授权模式：受控端口支持三种认证授权模式： Authorized-force：常开模式 端口一直维持授权状态，下挂用户无需认证过程就可访问网络资源。 Unauthorized-force：常关模式 端口一直维持非授权状态，忽略所有客户端发起的认证请求。 Auto：协议控制模式 端口初始状态为非授权状态，仅允许EAPOL报文收发。802.1X认证 通过后，将此端口状态切换到授权状态，用户才能访问网络资源。 我司设备命令行显示：我司设备命令行显示： S3924-Just-For-Dot1X-Ethernet1/0/3dot1x port-control ? authorized-force Port authorized unconditionally auto Authorized status controlled by Finite State Machine unauthorized-force Port unauthorized unconditionally www.h3c.com.cn 7 802.1x基本概念基本概念认证触发方式认证触发方式 认证触发方式：认证触发方式： 标准标准EAP触发方式：触发方式： 目的组播地址：目的组播地址：01-80-c2-00-00-03，客户端主动发，客户端主动发EAPOL-start报文报文 仅有eapol-start为组播报文，其他为单播有线网中减少负载 认证报文全部为组播报文适应于无线 DHCP触发方式：触发方式： 采用采用DHCP报文作为触发设备对用户进行认证的条件报文作为触发设备对用户进行认证的条件 只有DHCP Discover 报文可以触发认证 当前用户在线的情况下，不触发认证 S3924-Just-For-Dot1Xdot1x dhcp-launch(有的设备不支持该命令) www.h3c.com.cn 8 802.1x基本概念基本概念握手机制握手机制 握手机制（标准协议中没有此机制）握手机制（标准协议中没有此机制） 设备端采用EAP-Request/Identity报文作为握手请求报文，客户端采用EAP- Response/Identity作为握手应答报文(dot1x timer handshakedot1x timer handshake- -periodperiod) 功能： 设备端能够检测到用户的异常断线情况 提供尽可能精确的用户在线和计费信息 在握手期间受控端口保持授权状态，直到握手失败受控端口变为非授权状态 由于是非标准协议，导致由于是非标准协议，导致XPXP、1xgate(1xgate(SmartOnSmartOn) ) 客户端状态显示不客户端状态显示不 正确，正确，iNodeiNode客户端没问题客户端没问题 当前设备国内版都支持握手；当前设备国内版都支持握手；NECNEC版本不支持握手版本不支持握手 www.h3c.com.cn 9 802.1x基本概念基本概念EAP EAPOL RADIUS协议承载的 EAP/PAP/CHAP 交换 客户端客户端PAE设备端设备端PAE认证服务器认证服务器 客户端客户端PAE与设备端与设备端PAE之间：之间： 利用EAP协议交换认证信息，EAP报文使用EAPOL封装格式，直接承载于LAN环境中。 设备端设备端PAE与与RADIUS服务器之间：服务器之间： EAP中继方式中继方式 （EAP透传透传, eap认证方式）认证方式） 设备端PAE负责客户端和RADIUS服务器之间EAP报文的中继转发 EAPOR报文重新封装成EAPOL报文客户端 EAPOL报文重新封装成EAPOR（EAP-Messages）报文RADIUS服务器 中继转发过程中报文中的信息禁止被修改。 EAP终结方式终结方式 由设备端PAE进行终结，而在设备端PAE与RADIUS服务器之间传送包含PAP协议 或CHAP协议属性的报文。 (标准的802.1x协议不支持EAP终结PAP认证方式，因为PAP认证传明文密码不安全) www.h3c.com.cn 10 802.1x基本概念基本概念EAP Code Identifier Length Type Type Data Code：EAP报文类型 1.Request (eap-request) 2.Response (eap-response) 3.Success (eap-success) 4.Failure (eap-failure) EAP数据包帧格式如下面所示： www.h3c.com.cn 11 802.1x基本概念基本概念EAP Code Identifier Length Type Type Data EAP数据包帧格式如下面所示： Identifier：用于将request和response对应起来 Length：两个字节，Code，Identifier，Length和Data Type: Type域总共分为6个值域 Type1Identifier Type2Notification Type3Nak（Response Only） Type4MD5-Challenge Type5One-Time Password (OTP) Type6Generic Token Card Type7扩展的私有属性（PAP认证请求PAP密码） Type10扩展的私有属性（透传认证过程错误信息或者其他UAM后台传给客 户端的信息） www.h3c.com.cn 12 802.1x基本概念基本概念EAPOL EAPOL概念概念 一种封装技术，EAP over LAN，支持客户端PAE和设备端PAE在LAN环境中 进行EAP报文的交换。 EAPOL帧格式帧格式 PAE Ethernet Type:888e Protocol Version: 1 Packet Type: 0 EAP-Packet 1 EAPOL-Start 2 EAPOL-Logoff 3 EAPOL-Key 4 EAPOL-Encapsulated-ASF-Alter 当为当为EAP-Packet时，时，Body为一为一EAP报文报文 www.h3c.com.cn 13 802.1x EAPoL报文报文 www.h3c.com.cn 14 802.1x基本概念基本概念EAPOR EAPOR简介：简介： EAPOR： EAP over RADIUS ，用于透传EAP报文。 通过为RADIUS添加两个新属性EAP-Message和Message-Authenticator来 实现对EAP的支持； EAP-Message属性和Message-Authenticator属性和已有的RADIUS属性采 用相同的Type-Length-Value三元组，因此，新添属性不会影响RADIUS协 议的实现。 RADIUS协议：协议： RADIUS协议（Remote Authentication Dial In User Service）的扩展，基于 UDP协议。 RADIUS负责接收设备发送用户连接请求，完成认证和计费 RADIUS 协议的认证和记费端口号分别为1812和1813（服务器端监听） www.h3c.com.cn 15 802.1x基本概念基本概念EAPOR报文格式报文格式 Code：RADIUS报文类型(Access-Request、Access-Accept、Access-Reject、 Access-Challenge等)。 Identifier：用于匹配Request和Response Length：整个报文长度（the Code, Identifier, Length, Authenticator and Attribute fields）。 Authenticator：一种保护机制，用于校验RADIUS报文的合法性和密码的加密。 Attributes：RADIUS属性，每个属性为TLV格式，可扩展。 CodeIdentifierLength Athenticator Attribute. . . . . . Attribute TypeLengthValue www.h3c.com.cn 16 802.1x基本概念基本概念EAPOR报文格式报文格式 Code=1 接入验证请求的报文，接入设备 Radius服务器。 Code=2/3 验证结果的报文，Radius服务器接入设备。 Code=4 计费报文(计费开始