802.1X&Radius原理

HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 15
EAPOL报文的二层报文头
DMAC SMAC TYPE EAPOL FCS
字段 DMAC
内容 01-80-C2-00-00-03
SMAC
TYPE
端口的物理MAC地址
88-8E
HUAWEI TECHNOLOGIES CO., LTD.
说明 闲置切断 NAS-ID 计费类型 计费时延 上行字节
PAP密码 CHAP密码 NAS-IP NAS-PORT
客户端地址
UCL/ACL
下行字节 计费标识
在线时间 上行包数 下行包数 下线原因
拒绝消息 CAR 自定义 超时时间
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
All rights reserved
Page 16
第1章 802.1x工作原理 第2章 EAP和EAPOL 第3章 820.1x协议运行过程 第4章 RADIUS协议原理 第5章 RADIUS故障处理
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
All rights reserved
Page 29
常用RADIUS报文介绍
Code
1 2 3 4 5 11
Access- request Access- accept Access- reject Accounting-request Accounting-response Access-challenge
……
Code=4(stop)
logout_Ack
HUAWEI TECHNOLOGIES CO., LTD.
Code=5
Page 24
All rights reserved
RADIUS报文流程(CHAP)
Client
Challenge_request
challenge Authentication_request
Page 26
RADIUS协议栈结构
RADIUS
ห้องสมุดไป่ตู้
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 27
RADIUS报文结构
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 28
RADIUS报文说明
Page 17
发起认证
发起者
请求者（Supplicant） 验证者 （Authenticator）
动作
发送一个EAPOL开始报文（EAPOL-Start） 发送一个EAP请求报文（EAP Request）
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
EAPOL报文格式
Version Packet Body ...
Type
Packet Body Length
EAP报文被封装在此字段内
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 14
EAPOL报文类型
Type值 0 1 2 3 4
报文类型 EAP报文（EAP-Packet） EAPOL开始报文（ EAPOL-Start） EAPOL注销报文（EAPOL-Logoff） EAPOL信息报文（EAPOL-Key） EAPOL告警报文（EAPOL-Encapsulated-ASF-Alert）
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 23
RADIUS报文流程(完整PAP)
Client
Authentication_Req
Bas
Code=1
Radius
Code=2（3）
Authentication_Ack Code=4(start) Code=5 Code=4(real) Code=5 logout_Req
Page 22
RADIUS原理
客户端/服务器模式
在这个模型中，NAS/BAS服务器相于用户是服务器端，相于 RADIUS服务器是客户端，其作用就是把用户的认证信息提取后封 装为标准的RADIUS报文，并送到RADIUS服务器处理。RADIUS 服务器根据NAS/BAS服务器送来的用户名和密码进行验证，并对 用户的访问权限进行授权，同时NAS/BAS统计用户使用网络的信 息（时间、流量）并送给RADIUS进行计费处理。
强行授权 （ForceAuthorized） 自动（Auto）
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 8
工作原理
验证者系统
请求者系统
验证服务器系统
请求者PAE
验证者系统 提供的服务 未被授权 的端口
验证者PAE 承载在高层协议 中的EAP报文
注销机制
原因
底层协议原因 管理原因 定时器原因 物理端口不可用 端口被手动配置为未授权状态 验证者的验证定时器超时
描述
EAPOL注销报文
请求者主动向验证者发送EAPOL注销报文
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 20
第1章 802.1x工作原理 第2章 EAP和EAPOL 第3章 820.1x协议运行过程 第4章 RADIUS协议原理 第5章 RADIUS故障处理
说明
用户名 28 32 40 41 42 43 44 46 47 48 49
属性
Idle-Timeout NAS-Identifier Acct-Status-Type Acct-Delay-Time Acct-Input-Octets Acct-Output-Octets Acct-Session-Id Acct-Session-Time Acct-Input-Packets Acct-Output-Packets Acct-Terminate-Cause
数据 服务器
交换机
路由器
PCA
PCB
PCC
为什么我的网卡 不能正常工作？
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 5
系统角色
系统角色 定义
验证者（Authenticator） 对接入的网络实体进行验证的实体
请求者（Supplicant） 验证服务器
All rights reserved
Page 2
第1章 802.1x工作原理 第2章 EAP和EAPOL 第3章 820.1x协议运行过程 第4章 RADIUS协议原理 第5章 RADIUS故障处理
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 3
Page 18
EAP交换过程举例
请求者
验证者
1
2 3 6
EAPOL开始报文 EAP请求报文 EAP回应报文 EAP成功报文
验证服务器
4 使用RADIUS承载EAP 5 RADIUS接受报文
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 19
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 21
RADIUS设计的组网结构
IPOX/PPPOX/Wlan等
Lsw2 Lsw2 Lsw2 Lsw2
BAS
城域网/光纤
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
被所接入的验证者验证的网络实体
对验证者提供验证服务的实体，这种服务决定请 （Authentication Server） 求者是否被允许接入验证者所提供的服务
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 6
受控端口和非受控端口
验证者系统 受控端口 非受控端口 受控端口 验证者系统 非受控端口
为什么需要802.1X？
只要有物理连接， 就提供所有服务
Internet
数据 服务器
交换机
路由器
PCA
PCB
PCC
太容易访问网络 资源了
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 4
802.1X的作用？
没通过验证， 就不提供服务
Internet
认证请求 认证通过 认证拒绝 计费请求 计费响应 挑战请求
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 30
常用属性介绍
属性
1 2 3 4 5 8 11 18 25 26 27 User-Name User-Password CHAP-Password NAS-IP-Address NAS-Port Framed-IP-Address Filter-Id Reply-Message Class Vendor-Specific Session-Timeout
Internal
DP500029 802.1X&Radius原理
ISSUE 1.0
www.huawei.com
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
学习完此课程，您将会：
掌握802.1X的协议原理
掌握RADIUS协议知识
HUAWEI TECHNOLOGIES CO., LTD.
Page 31
其它属性介绍
本页属性以MA5200 R007版本为例介绍了RADIUS所有属性，不同 产品在属性的定义上可能不同，具体请参考各产品的定义！

Code，8bit，用以标识RADIUS报文的类型 Identifier，8bit，用以匹配请求包和响应包
Length，16bit，标识报文的长度
Authenticator，32bit，用以验证报文的合法性 Attribute，不定长，TLV格式，属性具体内容
HUAWEI TECHNOLOGIES CO., LTD.
请求和回应报文
用于验证的信息
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 12
成功和无效报文
没有Type和Type-Data字段
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 13
未被授权 的端口
授权的端口
LAN
LAN
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 7
端口控制模式
模式 强行未授权
行为 受控端口被无条件设置为未授权状态 受控端口被无条件设置为已授权状态 允许协议控制受控端口的授权状态
（ForceUnauthorized）
All rights reserved
Page 10
EAP报文格式
Code值 1 2 3 4
报文类型 请求（Request） 回应（Response） 成功（Success） 无效（Failure）
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 11
Bas
Radiu s
Code=1 Code=2（3）
Authentication_Ack
…… 计费过程同上一张
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 25
RADIUS报文流程(RADIUS产生挑战字)
Client
Challenge_request challenge Authentication_request
Bas
Radiu s
Code=1
Code=11（access-challenge）
challenge Authentication_request Code=1 Code=2（3）
Authentication_Ack
计费过程同前
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
验证服务器
LAN
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 9
第1章 802.1x工作原理 第2章 EAP和EAPOL 第3章 820.1x协议运行过程 第4章 RADIUS协议原理 第5章 RADIUS故障处理
HUAWEI TECHNOLOGIES CO., LTD.