端口服务器配置技术网

技术介绍安全和VPN目录i目录802.
1X.
1802.
1X的体系结构.
1802.
1X的认证方式.
1802.
1X的基本概念.
2EAPOL消息的封装3EAP属性的封装.
4802.
1X的认证触发方式.
5802.
1X的认证过程.
5802.
1X的接入控制方式.
8802.
1X的定时器8和802.
1X配合使用的特性.
9802.
1X支持EAD快速部署配置11技术介绍安全和VPN802.
1X1802.
1XIEEE802LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.
1X协议.
后来,802.
1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题.
802.
1X协议是一种基于端口的网络接入控制协议(portbasednetworkaccesscontrolprotocol).
"基于端口的网络接入控制"是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制.
连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源.
802.
1X的体系结构802.
1X系统为典型的Client/Server结构,如图1所示,包括三个实体:客户端(Client)、设备端(Device)和认证服务器(Server).
图1802.
1X认证系统的体系结构z客户端是位于局域网段一端的一个实体,由该链路另一端的设备端对其进行认证.
客户端一般为一个用户终端设备,用户可以通过启动客户端软件发起802.
1X认证.
客户端必须支持EAPOL(ExtensibleAuthenticationProtocoloverLAN,局域网上的可扩展认证协议).
z设备端是位于局域网段一端的另一个实体,对所连接的客户端进行认证.
设备端通常为支持802.
1X协议的网络设备,它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口.
z认证服务器是为设备端提供认证服务的实体.
认证服务器用于实现对用户进行认证、授权和计费,通常为RADIUS(RemoteAuthenticationDial-InUserService,远程认证拨号用户服务)服务器.
802.
1X的认证方式802.
1X认证系统使用EAP(ExtensibleAuthenticationProtocol,可扩展认证协议),来实现客户端、设备端和认证服务器之间认证信息的交换.
z在客户端与设备端之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN环境中.
z在设备端与RADIUS服务器之间,可以使用两种方式来交换信息.
一种是EAP协议报文由设备端进行中继,使用EAPOR(EAPoverRADIUS)封装格式承载于RADIUS协议中;另一种是EAP协议报文由设备端进行终结,采用包含PAP(PasswordAuthenticationProtocol,密码验证协议)或CHAP(ChallengeHandshakeAuthenticationProtocal,质询握手验证协议)属性的报文与RADIUS服务器进行认证交互.
技术介绍安全和VPN802.
1X2802.
1X的基本概念1.
受控/非受控端口设备端为客户端提供接入局域网的端口,这个端口被划分为两个逻辑端口:受控端口和非受控端口.
任何到达该端口的帧,在受控端口与非受控端口上均可见.
z非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,保证客户端始终能够发出或接收认证报文.
z受控端口在授权状态下处于双向连通状态,用于传递业务报文;在非授权状态下禁止从客户端接收任何报文.
2.
授权/非授权状态设备端利用认证服务器对需要接入局域网的客户端执行认证,并根据认证结果(Accept或Reject)对受控端口的授权/非授权状态进行相应地控制.
图2显示了受控端口上不同的授权状态对通过该端口报文的影响.
图中对比了两个802.
1X认证系统的端口状态.
系统1的受控端口处于非授权状态(相当于端口开关打开),系统2的受控端口处于授权状态(相当于端口开关关闭).
图2受控端口上授权状态的影响用户可以通过在端口下配置的接入控制的模式来控制端口的授权状态.
端口支持以下三种接入控制模式:z强制授权模式(authorized-force):表示端口始终处于授权状态,允许用户不经认证授权即可访问网络资源.
z强制非授权模式(unauthorized-force):表示端口始终处于非授权状态,不允许用户进行认证.
设备端不对通过该端口接入的客户端提供认证服务.
z自动识别模式(auto):表示端口初始状态为非授权状态,仅允许EAPOL报文收发,不允许用户访问网络资源;如果认证通过,则端口切换到授权状态,允许用户访问网络资源.
这也是最常见的情况.
技术介绍安全和VPN802.
1X33.
受控方向在非授权状态下,受控端口可以被设置成单向受控和双向受控.
z实行双向受控时,禁止帧的发送和接收;z实行单向受控时,禁止从客户端接收帧,但允许向客户端发送帧.
EAPOL消息的封装1.
EAPOL数据包的格式EAPOL是802.
1X协议定义的一种报文封装格式,主要用于在客户端和设备端之间传送EAP协议报文,以允许EAP协议报文在LAN上传送.
EAPOL数据包的格式如图3所示.
图3EAPOL数据包格式PAEEthernetType:表示协议类型,为0x888E.
ProtocolVersion:表示EAPOL帧的发送方所支持的协议版本号.
Type:表示EAPOL数据帧类型,目前设备上支持的数据类型见表1.
表1EAPOL数据类型类型说明EAP-Packet(值为0x00):认证信息帧,用于承载认证信息该帧在设备端重新封装并承载于RADIUS协议上,便于穿越复杂的网络到达认证服务器EAPOL-Start(值为0x01):认证发起帧EAPOL-Logoff(值为0x02):退出请求帧这两种类型的帧仅在客户端和设备端之间存在Length:表示数据长度,也就是"PacketBody"字段的长度,单位为字节.
如果为0,则表示没有后面的数据域.
PacketBody:表示数据内容,根据不同的Type有不同的格式.
2.
EAP数据包的格式当EAPOL数据包格式Type域为EAP-Packet时,PacketBody为EAP数据包结构,如图4所示.
技术介绍安全和VPN802.
1X4图4EAP数据包格式015CodeDataLength7Identifier24NCode:指明EAP包的类型,共有4种:Request、Response、Success、Failure.
zSuccess和Failure类型的包没有Data域,相应的Length域的值为4.
zRequest和Response类型数据包的Data域的格式如图5所示.
Type为EAP的认证类型,Typedata的内容由类型决定.
例如,Type值为1时代表Identity,用来查询对方的身份;Type值为4时,代表MD5-Challenge,类似于PPPCHAP协议,包含质询消息.
图5Request和Response类型数据包的Data域的格式Identifier:用于匹配Request消息和Response消息.
Length:EAP包的长度,包含Code、Identifier、Length和Data域,单位为字节.
Data:EAP包的内容,由Code类型决定.
EAP属性的封装RADIUS为支持EAP认证增加了两个属性:EAP-Message(EAP消息)和Message-Authenticator(消息认证码).
1.
EAP-Message如图6所示,这个属性用来封装EAP数据包,类型代码为79,String域最长253字节,如果EAP数据包长度大于253字节,可以对其进行分片,依次封装在多个EAP-Message属性中.
图6EAP-Message属性封装2.
Message-Authenticator如图7所示,这个属性用于在使用EAP、CHAP等认证方法的过程中,避免接入请求包被窃听.
在含有EAP-Message属性的数据包中,必须同时也包含Message-Authenticator,否则该数据包会被认为无效而被丢弃.
技术介绍安全和VPN802.
1X5图7Message-Authenticator属性802.
1X的认证触发方式802.
1X的认证过程可以由客户端主动发起,也可以由设备端发起.
设备支持的认证触发方式包括以下两种:1.
客户端主动触发方式客户端主动向设备端发送EAPOL-Start报文来触发认证,该报文目的地址为IEEE802.
1X协议分配的一个组播MAC地址:01-80-C2-00-00-03.
另外,由于网络中有些设备不支持上述的组播报文,使得认证设备无法收到客户端的认证请求,因此设备端还支持广播触发方式,即,可以接收客户端发送的目的地址为广播MAC地址的EAPOL-Start报文.
这种触发方式需要H3CiNode的802.
1X客户端的配合.
2.
设备端主动触发方式设备会每隔N秒(例如30秒)主动向客户端发送EAP-Request/Identity报文来触发认证,这种触发方式用于支持不能主动发送EAPOL-Start报文的客户端,例如WindowsXP自带的802.
1X客户端.
802.
1X的认证过程802.
1X系统支持EAP中继方式和EAP终结方式与远端RADIUS服务器交互完成认证.
以下关于两种认证方式的过程描述,都以客户端主动发起认证为例.
1.
EAP中继方式这种方式是IEEE802.
1X标准规定的,将EAP(可扩展认证协议)承载在其它高层协议中,如EAPoverRADIUS,以便扩展认证协议报文穿越复杂的网络到达认证服务器.
一般来说,EAP中继方式需要RADIUS服务器支持EAP属性:EAP-Message和Message-Authenticator,分别用来封装EAP报文及对携带EAP-Message的RADIUS报文进行保护.
下面以EAP-MD5方式为例介绍基本业务流程,如图8所示.
技术介绍安全和VPN802.
1X6图8IEEE802.
1X认证系统的EAP中继方式业务流程EAPOLEAPOREAPOL-StartEAP-Request/IdentityEAP-Response/IdentityEAP-Request/MD5challengeEAP-SuccessEAP-Response/MD5challengeRADIUSAccess-Request(EAP-Response/Identity)RADIUSAccess-Challenge(EAP-Request/MD5challenge)RADIUSAccess-Accept(EAP-Success)RADIUSAccess-Request(EAP-Response/MD5challenge)握手请求报文[EAP-Request/Identity]握手应答报文[EAP-Response/Identity]EAPOL-Logoff.
.
.
.
.
.
ClientDeviceServer端口被授权握手定时器端口非授权认证过程如下:(1)当用户有访问网络需求时打开802.
1X客户端程序,输入已经申请、登记过的用户名和密码,发起连接请求(EAPOL-Start报文).
此时,客户端程序将发出请求认证的报文给设备端,开始启动一次认证过程.
(2)设备端收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity报文)要求用户的客户端程序发送输入的用户名.
(3)客户端程序响应设备端发出的请求,将用户名信息通过数据帧(EAP-Response/Identity报文)发送给设备端.
设备端将客户端发送的数据帧经过封包处理后(RADIUSAccess-Request报文)送给认证服务器进行处理.
(4)RADIUS服务器收到设备端转发的用户名信息后,将该信息与数据库中的用户名表对比,找到该用户名对应的密码信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字通过RADIUSAccess-Challenge报文发送给设备端,由设备端转发给客户端程序.
(5)客户端程序收到由设备端传来的加密字(EAP-Request/MD5Challenge报文)后,用该加密字对密码部分进行加密处理(此种加密算法通常是不可逆的),生成EAP-Response/MD5Challenge报文,并通过设备端传给认证服务器.
技术介绍安全和VPN802.
1X7(6)RADIUS服务器将收到的已加密的密码信息(RADIUSAccess-Request报文)和本地经过加密运算后的密码信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息(RADIUSAccess-Accept报文和EAP-Success报文).
(7)设备收到认证通过消息后将端口改为授权状态,允许用户通过端口访问网络.
在此期间,设备端会通过向客户端定期发送握手报文的方法,对用户的在线情况进行监测.
缺省情况下,两次握手请求报文都得不到客户端应答,设备端就会让用户下线,防止用户因为异常原因下线而设备无法感知.
(8)客户端也可以发送EAPOL-Logoff报文给设备端,主动要求下线.
设备端把端口状态从授权状态改变成未授权状态,并向客户端发送EAP-Failure报文.
2.
EAP终结方式这种方式将EAP报文在设备端终结并映射到RADIUS报文中,利用标准RADIUS协议完成认证、授权和计费.
设备端与RADIUS服务器之间可以采用PAP或者CHAP认证方法.
以下以CHAP认证方法为例介绍基本业务流程,如图9所示.
图9IEEE802.
1X认证系统的EAP终结方式业务流程技术介绍安全和VPN802.
1X8EAP终结方式与EAP中继方式的认证流程相比,不同之处在于用来对用户密码信息进行加密处理的随机加密字由设备端生成,之后设备端会把用户名、随机加密字和客户端加密后的密码信息一起送给RADIUS服务器,进行相关的认证处理.
802.
1X的接入控制方式设备不仅支持协议所规定的基于端口的接入认证方式,还对其进行了扩展、优化,支持基于MAC的接入控制方式.
z当采用基于端口的接入控制方式时,只要该端口下的第一个用户认证成功后,其它接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其它用户也会被拒绝使用网络.

z采用基于MAC的接入控制方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络.
802.
1X的定时器802.
1X认证过程中会启动多个定时器以控制接入用户、设备以及RADIUS服务器之间进行合理、有序的交互.
802.
1X的定时器主要有以下几种:z用户名请求超时定时器(tx-period):该定时器定义了两个时间间隔.
其一,当设备端向客户端发送EAP-Request/Identity请求报文后,设备端启动该定时器,若在tx-period设置的时间间隔内,设备端没有收到客户端的响应,则设备端将重发认证请求报文;其二,为了兼容不主动发送EAPOL-Start连接请求报文的客户端,设备会定期组播EAP-Request/Identity请求报文来检测客户端.
tx-period定义了该组播报文的发送时间间隔.
z客户端认证超时定时器(supp-timeout):当设备端向客户端发送了EAP-Request/MD5Challenge请求报文后,设备端启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,设备端将重发该报文.
z认证服务器超时定时器(server-timeout):当设备端向认证服务器发送了RADIUSAccess-Request请求报文后,设备端启动server-timeout定时器,若在该定时器设置的时长内,设备端没有收到认证服务器的响应,设备端将重发认证请求报文.
z握手定时器(handshake-period):此定时器是在用户认证成功后启动的,设备端以此间隔为周期发送握手请求报文,以定期检测用户的在线情况.
如果配置发送次数为N,则当设备端连续N次没有收到客户端的响应报文,就认为用户已经下线.
z静默定时器(quiet-period):对用户认证失败以后,设备端需要静默一段时间(该时间由静默定时器设置),在静默期间,设备端不处理该用户的认证请求.
z周期性重认证定时器(reauth-period):如果端口下开启了周期性重认证功能,设备端以此定时器设置的时间间隔为周期对该端口在线用户发起重认证.
技术介绍安全和VPN802.
1X9和802.
1X配合使用的特性1.
VLAN下发802.
1X用户在服务器上通过认证时,服务器会把授权信息传送给设备端.
如果服务器上配置了下发VLAN功能,则授权信息中含有授权下发的VLAN信息,设备根据用户认证上线的端口链路类型,按以下三种情况将端口加入下发VLAN中.
z端口的链路类型为Access,当前Access端口离开用户配置的VLAN并加入授权下发的VLAN中.
z端口的链路类型为Trunk,设备允许授权下发的VLAN通过当前Trunk端口,并且端口的缺省VLANID为下发VLAN的VLANID.
z端口的链路类型为Hybrid,设备允许授权下发的VLAN以不携带Tag的方式通过当前Hybrid端口,并且端口的缺省VLANID为下发VLAN的VLANID.
需要注意的是,若当前Hybrid端口上配置了基于MAC的VLAN,则设备将根据认证服务器下发的授权VLAN动态地创建基于用户MAC的VLAN,而端口的缺省VLANID并不改变.
授权下发的VLAN并不改变端口的配置,也不影响端口的配置.
但是,授权下发的VLAN的优先级高于用户配置的VLAN,即通过认证后起作用的VLAN是授权下发的VLAN,用户配置的VLAN在用户下线后生效.
2.
GuestVLANGuestVLAN功能允许用户在未认证的情况下,可以访问某一特定VLAN中的资源,比如获取客户端软件,升级客户端或执行其他一些用户升级程序.
这个VLAN称之为GuestVLAN.
根据端口的接入控制方式不同,可以将GuestVLAN划分基于端口的GuestVLAN和基于MAC的GuestVLAN.
(1)PGV(Port-basedGuestVLAN)在接入控制方式为portbased的端口上配置的GuestVLAN称为PGV.
若在一定的时间内(默认90秒),配置了PGV的端口上无客户端进行认证,则该端口将被加入GuestVLAN,所有在该端口接入的用户将被授权访问GuestVLAN里的资源.
端口加入GuestVLAN的情况与加入授权下发VLAN相同,与端口链路类型有关.
当端口上处于GuestVLAN中的用户发起认证且失败时:如果端口配置了Auth-FailVLAN,则该端口会被加入Auth-FailVLAN;如果端口未配置Auth-FailVLAN,则该端口仍然处于GuestVLAN内.
关于Auth-FailVLAN的具体介绍请参见"3.
Auth-FailVLAN".
当端口上处于GuestVLAN中的用户发起认证且成功时,端口会离开GuestVLAN,之后端口加入VLAN情况与认证服务器是否下发VLAN有关,具体如下:z若认证服务器下发VLAN,则端口加入下发的VLAN中.
用户下线后,端口离开下发的VLAN回到初始VLAN中,该初始VLAN为端口加入GuestVLAN之前所在的VLAN.
z若认证服务器未下发VLAN,则端口回到初始VLAN中.
用户下线后,端口仍在该初始VLAN中.
(2)MGV(MAC-basedGuestVLAN)技术介绍安全和VPN802.
1X10在接入控制方式为macbased的端口上配置的GuestVLAN称为MGV.
配置了MGV的端口上未认证的用户被授权访问GuestVLAN里的资源.
当端口上处于GuestVLAN中的用户发起认证且失败时:如果端口配置了Auth-FailVLAN,则认证失败的用户将被加入Auth-FailVLAN;如果端口未配置Auth-FailVLAN,则该用户将仍然处于GuestVLAN内.
当端口上处于GuestVLAN中的用户发起认证且成功时,设备会根据认证服务器是否下发VLAN决定将该用户加入到下发的VLAN中,或回到加入GuestVLAN之前端口所在的初始VLAN.
3.
Auth-FailVLANAuth-FailVLAN功能允许用户在认证失败的情况下可以访问某一特定VLAN中的资源,这个VLAN称之为Auth-FailVLAN.
需要注意的是,这里的认证失败是认证服务器因某种原因明确拒绝用户认证通过,比如用户密码错误,而不是认证超时或网络连接等原因造成的认证失败.