802.1x协议概述和体系结构
2008-04-26 11:38
267 查看
IEEE802.1x是IEEE2001年6月通过的基于端口访问控制的接入管理协议标准。IEEE802.1x协议具有完备的用户认证、管理功能,可以很好地支撑宽带网络的计费、安全、运营和管理要求,对宽带IP城域网等电信级网络的运营和管理具有极大的优势。IEEE802.1x是一种基于端口的网络接入控制技术,在 LAN 设备的物理接入级对接入设备进行认证和控制,此处的物理接入级指的是 LanSwitch设备的端口。连接在该类端口上的用户设备如果能通过认证,就可以访问 LAN 内的资源;如果不能通过认证,则无法访问 LAN 内的资源,相当于物理上断开连接。但是需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口,例如,LanSwitch 的一个物理端口仅连接一个 End Station,这是基于物理端口的; IEEE 802.11定义的无线 LAN 接入方式是基于逻辑端口的。
802.1x 认证的作用.802.1X 首先是一个认证协议,是一种对用户进行认证的方法和策略。
802.1X 是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是
一个就像VLAN 一样的逻辑端口,对于无线局域网来说这个“端口”就是一条信道)
802.1X 的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功
那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,
此时只允许802.1X 的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。
IEEE802.1x的体系结构中包括三个部分:Supplicant System,用户接入设备;Authenticator System,接入控制单元(认证系统);Authentication Sever System,认证服务器。用户接入层设备(如LanSwitch)实现 IEEE802.1x的认证系统部分,即Authenticator;IEEE802.1x的客户端一般安装在用户PC中,典型的为Windows XP操作系统自带的客户端; IEEE802.1x的认证服务器系统一般驻留在运营商的AAA中心.
Supplicant与Authenticator间运行IEEE802.1x定义的EAPOL协议;Authenticator 与 Authentication Sever 间同样运行 EAP 协议,EAP 帧中封装了认证数据,将该协议承载在其他高层次协议中,如 Radius,以便穿越复杂的网络到达认证服务器。
Authenticator每个物理端口内部有受控端口(Controlled Port)和非受控端口(unControlled Port)等逻辑划分。非受控端口始终处于双向连通状态,主要用来传递 EAPOL 协议帧,可保证随时接收Supplicant发出的认证EAPOL报文。受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用环境。输入受控方式应用在需要桌面管理的场合,例如管理员远程唤醒一台计算机(supplicant)。IEEE802.1x通过 EAP 承载认证信息,共定义了如下 EAP 包类型:
l EAP-Packet,认证信息帧,用于承载认证信息;
l EAPOL-Start,认证发起帧,Supplicant 和 Authenticator 均可以发起;
l EAPOL-Logoff,退出请求帧,可主动终止已认证状态;
l EAPOL-Key,密钥信息帧,支持对 EAP 报文的加密;
l EAPOL-Encapsulated-ASF-Alert,用于支持 Alert Standard Forum (ASF)的 Alerting 消息;
其中 EAPOL-Start,EAPOL-Logoff 和 EAPOL-Key 仅在 Supplicant 和 Authenticator 间存在,在交换机和认证服务器间,EAP-Packet报文重新封装承载于Radius协议之上,以便穿越复杂的网络到达认证服务器。 EAPOL-Encapsulated-ASF-Alert 封装与网管相关信息,例如各种告警信息,由 Authenticator 终结。
802.1X 本文指IEEE 802.1X 标准
RADIUS 远程用户拨入认证服务 (Remote Authentication Dial In User Service)
PAP 密码验证协议 (Password Authentication Protocol)
CHAP 质询握手验证协议 (Challenge Handshake Authentication Protocol)
EAP 扩展验证协议 (Extensible Authentication Protocol)
EAPOL 基于局域网的EAP (EAP over LAN)
MD5 消息摘要算法5 版本 (Message-Digest Algorithm 5)
PAE 端口认证实体 (Port Authentication Entity)
802.1x 认证的作用.802.1X 首先是一个认证协议,是一种对用户进行认证的方法和策略。
802.1X 是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是
一个就像VLAN 一样的逻辑端口,对于无线局域网来说这个“端口”就是一条信道)
802.1X 的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功
那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,
此时只允许802.1X 的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。
IEEE802.1x的体系结构中包括三个部分:Supplicant System,用户接入设备;Authenticator System,接入控制单元(认证系统);Authentication Sever System,认证服务器。用户接入层设备(如LanSwitch)实现 IEEE802.1x的认证系统部分,即Authenticator;IEEE802.1x的客户端一般安装在用户PC中,典型的为Windows XP操作系统自带的客户端; IEEE802.1x的认证服务器系统一般驻留在运营商的AAA中心.
Supplicant与Authenticator间运行IEEE802.1x定义的EAPOL协议;Authenticator 与 Authentication Sever 间同样运行 EAP 协议,EAP 帧中封装了认证数据,将该协议承载在其他高层次协议中,如 Radius,以便穿越复杂的网络到达认证服务器。
Authenticator每个物理端口内部有受控端口(Controlled Port)和非受控端口(unControlled Port)等逻辑划分。非受控端口始终处于双向连通状态,主要用来传递 EAPOL 协议帧,可保证随时接收Supplicant发出的认证EAPOL报文。受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用环境。输入受控方式应用在需要桌面管理的场合,例如管理员远程唤醒一台计算机(supplicant)。IEEE802.1x通过 EAP 承载认证信息,共定义了如下 EAP 包类型:
l EAP-Packet,认证信息帧,用于承载认证信息;
l EAPOL-Start,认证发起帧,Supplicant 和 Authenticator 均可以发起;
l EAPOL-Logoff,退出请求帧,可主动终止已认证状态;
l EAPOL-Key,密钥信息帧,支持对 EAP 报文的加密;
l EAPOL-Encapsulated-ASF-Alert,用于支持 Alert Standard Forum (ASF)的 Alerting 消息;
其中 EAPOL-Start,EAPOL-Logoff 和 EAPOL-Key 仅在 Supplicant 和 Authenticator 间存在,在交换机和认证服务器间,EAP-Packet报文重新封装承载于Radius协议之上,以便穿越复杂的网络到达认证服务器。 EAPOL-Encapsulated-ASF-Alert 封装与网管相关信息,例如各种告警信息,由 Authenticator 终结。
802.1X 本文指IEEE 802.1X 标准
RADIUS 远程用户拨入认证服务 (Remote Authentication Dial In User Service)
PAP 密码验证协议 (Password Authentication Protocol)
CHAP 质询握手验证协议 (Challenge Handshake Authentication Protocol)
EAP 扩展验证协议 (Extensible Authentication Protocol)
EAPOL 基于局域网的EAP (EAP over LAN)
MD5 消息摘要算法5 版本 (Message-Digest Algorithm 5)
PAE 端口认证实体 (Port Authentication Entity)
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 第4章 网络体系结构及协议
- Oracle体系概述--内存结构
- 网络体系结构的概念 - 网络协议TCP - 红黑联盟
- 第1章 计算机网络体系结构-2015年考研核心考点命题思路解密-----计算机网络 考点1 计算机网络概述 选择题部分
- [转]DB2,PostgreSQL & MySQL体系结构概述和对比
- 中国移动通信互联网短信网关接口协议网络结构和功能概述
- 简述具有五层协议的网络体系结构各层的主要功能。
- 计算机网络体系结构及协议
- Spring MVC概述---15.1.1: 体系结构
- Java虚拟机(JVM)体系结构概述及各种性能参数优化总结
- 计算机网络之五层协议体系概述
- 第I篇PCI体系结构概述
- 第I篇PCI体系结构概述
- GSM协议软件体系结构
- 【php学习笔记】Php 体系结构及其执行概述
- 网络体系结构即:实体、分层和协议
- Zigbee协议体系结构
- 计算机网络体系结构及协议
- 网络层次协议和结构体系之间的关系
- Oracle 9i & 10g编程艺术-深入数据库体系结构——第2章:体系结构概述