802.1x认证协议

802.1x的认证体系结构（六）
Authentication Server System，认证服务器这个设备代 表认证者负责真正的认证和授权。这个设备以数据库形式 包含网络上所有用户的简要信息。能够这个信息去认证和 授权连接认证者端口上的用户。认证服务器的例子是： CISCO的ACS，Radius。
端口认证
802.1x认证过程（二）
认证前后端口的状态
802.1X的认证中，端口的状态决定了客户端是否 能接入网络，在启用802.1x认证时端口初始状态一般 为非授权（unauthorized），在该状态下，除802.1X 报文和广播报文外不允许任何业务输入、输出通讯。 当客户通过认证后，则端口状态切换到授权状态 （authorized），允许客户端通过端口进行正常通讯。
术语介绍
PAE（Port Access Entity）：认证机制中负责处理算法 和协议的实体。 EAP(Extensible Authentication Protocol):可扩展身份 认证协议，EAP是一个相当灵活的协议，它原来的设计是 仅用于携带PPP认证参数，但是它也能够用于其他协议， 例如：802.1x，以满足它们的认证需求。它是802.1x的根 本。 EAPOL(Extensible Authentication Protocol over LAN)： 802.1x定义了一个封装/构造标准来允许产生请求者和认 证者之间的通信，这种封装机制称为EAPOL。
802.1x认证过程（三）
基本的认证过程：
认证通过前，通道的状态为unauthorized，此时只能通 过EAPOL的802.1X认证报文； 认证通过时，通道的状态切换为authorized，此时从远 端认证服务器可以传递来用户的信息，比如VLAN、 CAR参数、优先级、用户的访问控制列表等等； 认证通过后，用户的流量就将接受上述参数的监管， 此时该通道可以通过任何报文，注意只有认证通过后 才有DHCP等过程。
802.1x的作用
基于以太网端口认证的802.1x协议有如下作用：
802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略; 802.1X是基于端口的认证策略; 802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口， 如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如 果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证 报文EAPOL（Extensible Authentication Protocol over LAN）通过。
802.1x概况 ----起源背景 ----基本思想和实现目标 ----认证特点
802.1x概况 ----起源背景 ----基本思想和实现目标 ----认证特点
----802.1x的作用
----802.1x认证优势 ----802.1应用环境特点
Cisco支持产品平台
术语介绍 802.1x认证体系结构 802.1x认证过程
802.1x协议认证端口
802.1x配置 EAP协议介绍
Cisco支持产品平台
Cisco Aironet Cisco Catalyst 4000 and 4500 Series Switches
Cisco ACS Server
Cisco Catalyst 2950, 3550, 3750 Routers
Cisco Catalyst 6500 Series Switch
802.1x认证过程（一）
SUPPLICANT PAE AUTHENTICATOR PAE EAP请求分组 类型=身份 EAP响应分组 类型=身份 包含请求者的ID 向请求者转发 EAP请求分组 类型=OTP 包含OTP询问 EAP响应分组 类型=OTP 包含OTP询问 向请求者转发 EAP成功分组 类型=NONE 向服务器转发 向服务器转发 AUTHENTICATION SERVER
802.1x概况 ----起源背景 ----基本思想和实现目标 ----认证特点
----802.1x的作用
----802.1x认证优势 ----802.1应用环境特点 Cisco支持产品平台 术语介绍 802.1x认证体系结构
802.1x认证过程
802.1x协议认证端口
802.1x配置 EAP协议介绍
802.1x认证过程（四）
要控制端口授权状态，使用dot1x port-control 接口配置命 令，现在的设备（switch）端口有三种认证方式：
Force Authorized：802.1x验证被禁用，并且接口无需任何验证交换即 转换到授权状态，端口一直维持授权状态，switch的 Authenticator不主 动发起认证。这是默认配置。 Force Unauthorized：端口一直维持非授权状态，忽略所有客户端发起 的认证请求，交换机不能通过该接口为客户提供验证服务。 Auto： 激活802.1X，设置端口为非授权状态，同时通知设备管理模块要 求进行端口认证控制，使端口仅允许EAPOL报文收发，当发生UP事件或 接收到EAPOL-start报文，开始认证流程，请求客户端Identify，并中继客 户和认证服务器间的报文。认证通过后端口切换到授权状态，在退出前 可以进行重认证。
802.1x的认证体系结构（一）
802.1x的认证体系结构（二）
802.1X的认证体系分为三部分结构：
Supplicant System，客户端(PC/网络设备) Authenticator System，认证系统 Authentication Server System，认证服务器
1来自百度文库
2
基本思想和目标
这个标准的基本思想是：需要访问LAN的设 备在能够连接形成LAN环境的交换机的物理 或者逻辑端口之前需要认证和授权。
这个标准的基本目标是：允许对LAN环境的 受控访问。
802.1x认证特点
基于以太网端口认证的802.1x协议有如下特点：
IEEE802.1x协议为二层协议，对设备的整体性能要求不高，可以有效 降低建网成本； 借用了常用的EAP（扩展身份认证协议），可以提供良好的扩展性和 适应性，实现对传统PPP认证架构的兼容； 802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功 能，从而可以实现业务与认证的分离，业务报文直接承载在正常的二 层报文上通过可控端口进行交换，通过认证之后的数据包是无需封装 的纯数据包； 可以映射不同的用户认证等级到不同的VLAN；可以使交换端口和无线 LAN具有安全的认证接入功能。
802.1x概况 ----起源背景 ----基本思想和实现目标 ----认证特点
----802.1x的作用
----802.1x认证优势 ----802.1应用环境特点 Cisco支持产品平台 术语介绍
802.1x认证体系结构
802.1x认证过程
802.1x协议认证端口
802.1x配置 EAP协议介绍
802.1x协议起源背景
802.1x协议起源于802.11协议，后者是标准的无线 局域网协议，802.1x协议的主要目的是为了解决无线局 域网用户的接入认证问题。现在已经开始被应用于一般 的有线LAN的接入（微软的Windows XP，以及CISCO、华 为、北电等厂商的设备已经开始支持802.1X协议）。在 802.1x出现之前，企业网上有线LAN应用都没有直接控 制到端口的方法。也不需要控制到端口。但是随着无线 LAN的应用以及LAN接入在电信网上大规模开展，有必要 对端口加以控制，以实现用户级的接入控制。802.1x就 是IEEE为了解决基于端口的接入控制（Port-Based Access Control）而定义的一个标准。
802.1x概况
----起源背景 ----802.1x基本思想和实现目标 ----802.1x认证特点 ----802.1x的作用 ----802.1x认证优势
----802.1x应用环境特点
Cisco支持产品平台
术语介绍
802.1x认证体系结构 802.1x认证过程 802.1x协议认证端口 802.1x配置 EAP协议介绍
4
3
802.1x的认证体系结构（三）
Supplicant System，客户端，这个设备需要访问LAN， 例如：笔记本电脑。
Supplicant System——— Client（客户端）是—需要接入LAN，及 享受switch提供服务的设备（如PC机），客户端需要支持EAPOL协议，客 户端必须运行802.1X客户端软件，如：802.1X-complain，Microsoft Windows XP
802.1x的认证体系结构（四）
在win98下提供的客户端： 在winXP下提供的客户端：
802.1x的认证体系结构（五）
Authenticator System，认证系统,这个设备负责初始的认证过程，然后作为 认证服务器和请求者之间一个中继，例如：cisco3550、cisco3560。在允许 不同的请求者通过交换机上的端口发送数据流量之前，请求者可以通过 802.1x标准连接它，并通过它被认证和获得授权。 Authenticator System——— Switch （边缘交换机或无线接入设备） 是—根据客户的认证状态控制物理接入的设备，switch在客户和认证服 务器间充当代理角色（proxy）。 switch与client间通过EAPOL协议进行 通讯，switch与认证服务器间通过EAPoL或EAP承载在其他高层协议上， 以便穿越复杂的网络到达 Authentication Server （EAP Relay）； switch要求客户端提供identity，接收到后将EAP报文承载在Radius格式 的报文中，再发送到认证服务器，返回等同； switch根据认证结果控制 端口是否可用； 需要指出的是：我们的802.1x协议在设备内终结并转换成标准的RADIUS 协议报文，加密算法采用PPP的CHAP认证算法，所有支持PPP CHAP认证算 法的认证计费服务器都可以与我们对接成功。
802.1x概况 ----起源背景 ----基本思想和实现目标 ----认证特点
----802.1x的作用
----802.1x认证优势 ----802.1应用环境特点 Cisco支持产品平台
术语介绍
802.1x认证体系结构 802.1x认证过程
802.1x协议认证端口
802.1x配置 EAP协议介绍
802.1x认证的优势
简洁高效 容易实现 安全可靠 行业标准 应用灵活
802.1x应用环境特点
交换式以太网络环境 对于交换式以太网络中，用户和网络之间采用点到点的物理连接， 用户彼此之间通过VLAN隔离，此网络环境下，网络管理控制的关键是 用户接入控制，802.1x不需要提供过多的安全机制。 共享式网络环境 当802.1x应用于共享式的网络环境时，为了防止在共享式的网络 环境中出现类似“搭载”的问题，有必要将PAE实体由物理端口进一 步扩展为多个互相独立的逻辑端口。逻辑端口和用户/设备形成一一 对应关系，并且各逻辑端口之间的认证过程和结果相互独立。在共享 式网络中，用户之间共享接入物理媒介，接入网络的管理控制必须兼 顾用户接入控制和用户数据安全，可以采用的安全措施是对EAPoL和 用户的其它数据进行加密封装。在实际网络环境中，可以通过加速WE P密钥重分配周期，弥补WEP静态分配秘钥导致的安全性的缺陷。
802.1x认证协议
安全服务事业部
我们的目标
初步了解和认识802.1x协议的背景； 了解802.1X的基本思想和目标； 了解802.1x的特点； 802.1X的作用； Cisco支持产品平台； 802.1x有什么样的体系结构； 802.1x采用什么样的认证流程； 802.1x协议对于设备有什么特殊的要求？适合在何种 范围下面使用？ 最后我们还要学习EAP协议的具体内容。