AAA和radius和802.1x
来源:保捱科技网
ccopyme.lin@qqq.com AAA Raddius 8022.1X 大大家可能对AAA、radiusAs、802.1x听听得比较多,但是到底具具体每个是干干嘛的,可能分的不是是特别清楚,下面给大家家简要介绍下: AAA系统的简称: 认证(Autheentication):验证用户的身份与可使使用的网络服服务; 授权(Authoorization):依据认证结结果开放网络络服务给用户户; 计帐(Accouunting):记记录用户对各种种网络服务的的用量,并提提供给计费系系统。 AAA-----身身份验证 (Auuthenticatioon)、授权 (Authorizattion)和统计计 (Acccounting)Ciisco开发的一一个提供网络络安全的系统统。 常用的AAA协议是Radiius,tacacss+(思科私有有) 等参见RFC 2865,RFC 2866。RADIIUS:Remote Authenticattion Dial Inn User Serviice,远程用户户拨号认证系系统由RFC2865,RFC22866定义,是目前应用最最广泛的AAAA协议。 802..1x协议:是基于Clientt/Server的访访问控制和认认证协议。它它可以未未经授权的用用户/设备备通过接入端端口(access port)访问pLAAN/WLAN。在获获得交换机或或LAN提供的的各种业务之之前,802..1x对连接到到交换机端口口上的用户/设设备进行认证证。在认证通过过之前,802..1x只允许EAPoLE(基基于局域网的的扩展认证协协议)数据通过过设备连接的的交换机端口口;认证通过过以后,正常常的数据可可以顺利地通通过以太网端端口。 基于于以太网端口口认证的802..1x协议有如如下特点:IEEEE802.1x协议为二层协协协议,不需要要到达三层层,对设备的的整体性能要要求不高,可以有效降低建建网成本;借借用了在RASS系统中常用用的EAP(扩展认证协协议),可以提提供良好的扩扩展性和适应应性,实现对对传统PPP认认证架构的兼兼容;802..1x的认证体体系结构中采采用了\"可控端端口\"和\"不可可控端口\"的逻辑功能,从从而可以实现现业务与与认证的分离离,由RADIUS和交换机利用不可控的逻逻辑端口共同同完成对用户户的认证与控控制,业务务报文直接承承载在正常的二层报文上通通过可控端口进行交换,通过认证之之后的数据包包是无需封封装的纯数据据包;可以使使用现有的后台认证系统降降低部署的成成本,并有丰丰富的业务支支持;可以以映射不同的的用户认证等等级到不同的VLAN;可以以使交换端口和无线LAN具具有安全的认认证接入入功能。 ccopyme.lin@qqq.com 802.1x协议议在实现整个个认证的过程程中,其三个个关键部分(客户端、认证证系统、认证证服务器器)之间是通通过不同的通通信协议进行交互的,其中认证系统和和认证服务器器之间是EAAP报文。 EAPP协议 Exteensible Authhenticate Prootocol RFCC 3748中定义的一种认证证协议,可支支持多种认证证机制。 802.1x通过EAAP帧承载认证证信息。 EAP帧结构构如下表所示示: 字段 CCode Iddentifier LLength DData 1 2 3-45-N字节 EAP帧格式式中各字段含含义如下:字字段 CCode Identifier LLength DData 占用字节节数 1个字节节 1个字节节 2个字节节 描述述 表示示EAP帧四种种类型:1.Request;2.Response 3.SuccessS;4.Failure 用于于匹配Requeest和Respoonse。Identiifier的值和系系统端端口一起单独标识一个认证证过程 表示示EAP帧的总总长度 0或更多多字节 表示示EAP数据其中Codee的取值如下下: 1: RRequest 2: ResponseR 3: SuccessS 4: FailureF 2.EEAPoL协议议 ccopyme.lin@qqq.com 802.1x协议议定义了一种种报文封装格格式,这种报文称为EAPPoL(EAP ovver LANs局域网上的的扩展认证协协议)报文,主要用于在客户端和认证证系统之间传传送EAP协协议报文,以允许EAPP协议报文在在LAN上传送送。 标准EAPoL帧结构如下下表所示:字段 PAE Etherneet Type 字节1-2Protocol Verrsion 3 Packet Typee 4 Packet Bodyy Length 5-6Packet Bodyy 7-NEAPoL帧格格式中各字段段含义如下: 字段 PAE Ethernet Type Protocol Version Packet Type 占用字字节 描述2个字节节 表示协议议类型,8022.1x分配的协协议类型为8888E 1个字节节 表示EAAPOL 帧的发发送方所支持持的协议版本本号。本规范范使用值为00000 00011个字节节 表示传送送的帧类型,如下几种帧帧类型: a) EAP--Packet. 值为为 0000 00000 b)EAPPOL-Start.值为值0000 00001 b) EAPOOL-Logoff. 值为值0000 00010 Packet Body Length Packet Body 2个字节节 表示Paacket Body的长度的 0/多字节节 如果Paacket Type为EAP-Packket,取相应值值。对于其他他帧类型,该该值为空。EAPPOL帧在二层层传送时,必必须要有目标标MAC地址址,当客户端和认证系统彼彼此之间不知知道发送送的目标时,其目标MACC地址使用由由802.1x协议分配的组协组播地址01-880-c2-00-000-03。 ccopyme.lin@qqq.com 8022.1x工作作过程 (1) 客户端向接入入设备发送一一个EAPoLL-Start报文,开始802.11x认证接入;; (2) 接入设备向客客户端发送EAP-Requeest/Identity报文,要求客报客户端将用户户名送上来; (3) 客户端回应一一个EAP-RResponse/Ideentity给接入入设备的请求求,其中包括括用户名; (4) 接入设备将EAP-Respoonse/Identityy报文封装到到RADIUS AAccess-Requuest报文中,发送给给认证服务器器; (5) 认证服务器产产生一个Chhallenge,通通过接入设备备将RADIUSS Access-Chhallenge报文文发送给给客户端,其其中包含有EAP-Request/MD5-Challenge; (6) 接入设备通过过EAP-Reqquest/MD5-CChallenge发送给客户端发端,要求客户户端进行认证 (7) 客户端收到EAP-Requeest/MD5-Challenge报文文后,将密码码和Challengge做MD5算法算后的的Challengedd-Pass-wordd,在EAP-RResponse/MMD5-Challennge回应给接接入设备 (8) 接入设备将Challenge,Challengedd Password和用户名一起送到RADDIUS服务器器,由RADDIUS服务器器进行认证 ccopyme.lin@qqq.com (9)RRADIUS服务务器根据用户户信息,做MMD5算法,判判断用户是否否合法,然后后回应认证成成功/失败败报文到接入入设备。如果成功,携带协协商参数,以以及用户的相相关业务属性性给用户授权权。如果认认证失败,则则流程到此结结束; (10)) 如果认证通通过,用户通通过标准的DDHCP协议 (可以是DHCCP Relay) ,,通过接入设设备获取取规划的IP地址地; (11)) 如果认证通通过,接入设设备发起计费费开始请求给给RADIUS用户认证服务用务器; (12))RADIUS用户认证服务器器回应计费开开始请求报文文。用户上线线完毕。 下面面举个图解过过程是锐捷SAAM的认证过程程: ccopyme.lin@qqq.com 总结结:其实说白白了AAA是的的大的框架体体系,也可以以说是一种标标准。而Radius,tacacs++等协议是是属于AAA模型的一种,模它们的设计计都是符合AAA标准的。可以看到其其实radius协议主要工工作在radiuss服务器和NASN(Networrk Access Seerver网络接接入服务)备之间。802.11X是Cliennt/Server的访问控制和认访认证协议,很很明了,它的的主要就是做做认证,且使使用必须借助服务器,如radius服务器。服802.11x是通过EAAP帧承载认认证信息的。它主要是客客户端和接入入设备之间间的交互。 此文文档仅提供给给我宝贝老婆婆肚肚参考,如有谬论请指指出哈哈 ! 数字签名者:copyme.lin DN:cn=copyme.lin, o, ou, email=copyme.lin@qq.com, c=CN 日期:2010.12.05 00:48:20 +08'00'