802.1x+RADIUS认证计费技术原理及配置

802.1X认证过程
基本的认证过程
• 认证通过前：通道的状态为unauthorized，此时只能通 过EAPOL的802.1X认证报文；
• 认证通过时：通道的状态切换为authorized，此时从远 端认证服务器可以传递来用户的信息，比如VLAN、 CAR参数、优先级、用户的访问控制列表等等；
• 认证通过后：用户的流量就将接受上述参数的监管， 此时该通道可以通过任何报文，注意只有认证通过后 才有DHCP等过程。
• IEEE 802.1x标准定义了一种基于“客户端——服务器”（ClientServer）模式实现了限制未认证用户对网络的访问。客户端要访 问网络必须先通过认证服务器的认证。在客户端通过认证之前， 只有EAPOL报文（Extensible Authentication Protocol over LAN） 可以在网络上通行。在认证成功之后，通常的数据流便可在网络 上通行。
IEEE802.1X协议概述
• IEEE802.1x（Port-Based Network Access Control）是一个基于 端口的网络访问控制标准，为LAN接入提供点对点式的安全接入。 这是IEEE标准委员会针对以太网的安全缺陷而专门制定的标准， 能够在利用IEEE 802 LAN的优势基础上，提供一种对连接到局 域网设备或用户进行认证的手段。
Radius协议概述
• RADIUS是远程认证拨号用户服务（Remote Authentication Dial-In User Service）的简称，它是一 种分布式的客户机/服务器系统，与AAA配合对试图连 接的用户进行身份认证，防止未经授权的访问。 • RADIUS协议主要特征：
– 客户/服务器模型：一般NAS为Radius客户端。 – 网络安全性： Radius服务器与NAS之间使用共享密钥对敏感信 息进行加密，该密钥不会在网上传输。 – 可扩展的协议设计：Radius使用独特的类型-长度-值（TLV)数 据对封装格式，用户可以自行定义其它的私有属性，扩展 Radius应用。 – 灵活的鉴别机制：支持不同的鉴别协议，如PAP、CHAP、EAP 等等。
基于MAC的802.1X端口状态
认证前后端口的状态
• 802.1X的认证中，端口的状态决定了客户端是 否能接入网络，在启用802.1x认证时端口初始 状态一般为非授权（unauthorized），在该状 态下，除802.1X 报文和广播报文外不允许任何 业务输入、输出通讯。当客户通过认证后，则 端口状态切换到授权状态（authorized），允 许客户端通过端口进行正常通讯。
•
•
•
Request和Response报文
Code
Identifier
Length
Type
Type Data
• • • • •
Code域 Identifier域 Length域 Type域 Type Data域
Success和Failure报文
Code
Identifier
Length
• 当Code域为3或者4的时候，这个时候为EAP的Success和 Failure报文，报文的格式如上： • 当Code域为3的时候是Successs报文，当Code为4的时候 是Failure报文。 • Identifier域为一个字节，辅助匹配Response应答。 Identifier域必须与其正在应答的Response域中的Identifier 域相匹配。
802.1X典型应用（一）
802.1X典型应用（二）
议程
• 认证计费原理及技术（AAA、Radius） • IEEE 802.1X协议以及应用 • 锐捷RG-SAM的安装与配置 • 锐捷安全交换机的802.1X配置
锐捷网络的安全认证计费产品
• Radius Server – RG-Radius、RG-SAM • NAS（Radius Client） – 锐捷全系列安全交换机、路由器、防火墙 • 接入用户 – 802.1x的认证客户端软件STAR Supplicant（分SuA普 通安装版本和SuB免安装版本）
IEEE802.1X协议的目标
• 802.1X首先是一个认证协议，是一种对用户进行认证的 方法和策略。
• 802.1X是基于端口的认证策略（这里的端口可以是一个 实实在在的物理端口也可以是一个就像VLAN一样的逻 辑端口，对于无线局域网来说个“端口”就是一条信道） • 802.1X的认证的最终目的就是确定一个端口是否可用。 对于一个端口，如果认证成功那么就“打开”这个端口， 允许所有的报文通过；如果认证不成功就使这个端口保 持“关闭”，此时只允许802.1X的认证报文EAPOL （Extensible Authentication Protocol over LAN）通过。
Radius与PAP、CHAP的结合
• Radius提供了不同的属性来支持PAP、CHAP 等本地认证方式。
– 如PAP及其他类似认证方式使用Radius的UserName(1)、User-Password(2)等属性 – CHAP使用User-Name(1)、CHAP-Password(3)、 CHAP-Challenge(60)等属性
认证通过后
• 认证通过之后的保持： – 认证端Authenticator可以定时要求Client重新认证，时间可设。 重新认证的过程对User是透明的(应该是User不需要重新输入 密码)。 • 下线方式： – 物理端口Down； – 重新认证不通过或者超时； – 客户端发起EAP_Logoff帧； – 网管控制导致下线；
– Authentication：认证，用于判定用户是否可以获得 访问权，限制非法用户 – Authorization：授权，授权用户可以使用哪些服务， 控制合法用户的权限 – Accounting：计账，记录用户使用网络资源的情况； 为收费提供依据
AAA工作过程
一个AAA的工作过程可以分为如下几步：
① 终端用户（客户端系统）向NAS发出网络连接请求。 ② NAS收集用户输入用户名和口令，并转发给AAA服务器。 ③ AAA服务器按照一定算法和自身数据库信息匹配，然后将结 果返回给NAS，可能是接受、拒绝或其他（如challenge） ④ NAS根据返回的结果决定接通或者断开终端用户。 ⑤ 如果认证通过继续以下步骤： ⑥ 服务器对用户进行授权，NAS根据授权结果对用户上网环境 进行配置。 ⑦ 如需计费，NAS将在用户上下线及上网期间内收集用户网络 资源使用情况，数据送交记帐服务器。
802.1x角色说明
恳请者
认证服务器
EAPOL
EAPOL
Extensible Authentication Protocol over LAN
认证者（交换机）
802.1X机制
连接在受控端口的用户只有通过认证才能访问网 络资源
Controlled
EAPOL
Un-Controlled
EAPOL
非受控端口主要是用来连接认证服务器，以便保 证服务器与交换机的正常通讯
锐捷RG-SAM的安装与配置
• RG-SAM安全计费管理系统的安装 • MS SQL的安装
• 建库以及SAM与数据库的配置连接
安装RG-SAM的硬件和操作系统要求
AAA承载协议
• RADIUS (RFC2865/2866以及RFC2869) • TACACS/TACACS+ • 其他：Kerberos v5(RFC1510)等等
• 优缺点比较：
– TACACS+使用TCP可靠连接，较少应用； – RADIUS使用UDP封装，开销小、可实现灵活备份， 更安全的密钥管理；得到了广泛应用。
控制方式
网络性能 组播支持 VLAN要求 客户端软件 对设备要求 安全性
数据认证统一
差 差 无 需要 集中的BAS设备 差
数据认证统一
差 好 多 不需要 集中BAS设备 差
数据认证分离
好 好 无 需要 接入层交换机 高
议程
• 认证计费原理及技术（AAA、Radius） • IEEE 802.1X协议以及应用 • 锐捷RG-SAM的安装与配置 • 锐捷安全交换机的802.1X配置
Radius的组网示意图
常用的认证计费技术/方式
• PPPoE + Radius • WEB Portal + Radius • 802.1X + Radius
PPPoE认证计费技术
Internet
核心三层交换机
Si
Radius服务器
PPPoE的BAS设备
瓶颈！！
二层的楼栋交换机
PPPoE的客户端软件
•
Identifier
Length
Data
Code域：为一个字节，表示了EAP数据包的类型，EAP的Code的值指定和意义如下： – Code＝1————→Request – Code＝2 ————→Response – Code＝3 ————→Success – Code＝4 ————→Failure Indentifier域：为一个字节，辅助进行request和response的匹配———每一个request 都应该有一个response相对应，这样的一个Indentifier域就建立了这样的一个对应关 系———相同的Indentifier相匹配。 Length域：为两个字节，表明了EAP数据包的长度，包括Code,Identifier,Length以及 Data等各域。超出Length域范围的字节应该视为数据链路层填充（padding）,在接收 时应该被忽略掉。 Data域：为0个或者多个字节，Data域的格式由Code的值来决定。
DHCP+Web认证计费技术
Internet
Web Portal的BAS设备
瓶颈！！
Radius服务器
核心交换机
Si
普通的接入交换机
用户
802.1X认证计费技术
Internet
高效！！
Radius服务器
核心交换机
业务数据流 认证报文流
汇聚交换机
汇聚交换机
802.1X交换机
几种认证计费技术比较
PPPoE 标准化程度 封装开销 RFC2516 大 DHCP+WEB WEB软件厂商私有 小 802.1X 标准 小
RCCP培训 － 认证计费技术原理及配置
议程
• 认证计费原理及技术（AAA、Radius）
• IEEE 802.1X协议以及应用
• 锐捷RG-SAM的安装与配置
• 锐捷安全交换机的802.1X配置
网络接入的现状
wenku.baidu.com
• 无法控制用户的接入 • 无法保证网络的安全
• 无法有效的收取费用
AAA概述
• Authentication，Authorization，and Accounting三种安全功能，简称AAA。
PPP帧格式
• 一个典型的PPP协议的帧格式
Flag Address Control Protocol Information
•protocol域表明协议类型为C227(PPP EAP) 时，在PPP数据链路层帧的Information域中 封装且仅封装PPP EAP数据包
EAP报文格式
Code
Radius属性
Radius属性类型用一个字节来表示，分别为1-255号属 性，区分为三类： • 标准属性——Radius最基本的属性定义在RFC2865和 RFC2866中，如用户名、密码、计费和常用授权信息 等； • 扩展标准属性——RFC2867-2869是Radius的扩展协议， 在其中定义了一些针对特殊应用（如支持隧道应用、 支持EAP等）的属性； • 扩展私有属性——即26号属性，属性值由厂商自己定 义。
Value
Authenticator
TLV …… TLV TLV
4 5 11
其他的尚在试验或保留
Radius报文格式
• Id：用于匹配request和reply • Length：Radius协议报文长度 • Authenticator：用来对来自于RADIUS服务器的 应答进行认证，而且还用于口令隐藏算法中。
Radius报文格式
• 封装在UDP数据域的RADIUS报文：
Type Len
code id length
Code：
1 2 3 Access-Request Access-Accept Access-Reject Accounting-Request Accounting-Response Access-Challenge