Radius原理_精品文档.ppt
- 文档编号:2530789
- 上传时间:2022-10-31
- 格式:PPT
- 页数:42
- 大小:1.46MB
Radius原理_精品文档.ppt
《Radius原理_精品文档.ppt》由会员分享,可在线阅读,更多相关《Radius原理_精品文档.ppt(42页珍藏版)》请在冰豆网上搜索。
Internal802.1X&Radius原理学习完此课程,您将会:
掌握802.1X的协议原理掌握RADIUS协议知识11802.1x802.1x工作原理工作原理工作原理工作原理2EAP和和EAPOL3820.1x协议运行过程协议运行过程4RADIUS协议原理协议原理5RADIUS故障处理故障处理为什么需要802.1X?
交换机Internet只要有物理连接,就提供所有服务PCAPCBPCC路由器数据服务器太容易访问网络资源了802.1X的作用?
交换机Internet没通过验证,就不提供服务PCAPCBPCC路由器数据服务器为什么我的网卡不能正常工作?
系统角色系统角色系统角色定义定义验证者(Authenticator)对接入的网络实体进行验证的实体请求者(Supplicant)被所接入的验证者验证的网络实体验证服务器(AuthenticationServer)对验证者提供验证服务的实体,这种服务决定请求者是否被允许接入验证者所提供的服务受控端口和非受控端口验证者系统验证者系统非受控端口非受控端口受控端口受控端口未被授权未被授权的端口的端口LAN验证者系统验证者系统非受控端口非受控端口受控端口受控端口授权的端口授权的端口LAN端口控制模式模式模式行为行为强行未授权(ForceUnauthorized)受控端口被无条件设置为未授权状态强行授权(ForceAuthorized)受控端口被无条件设置为已授权状态自动(Auto)允许协议控制受控端口的授权状态工作原理请求者系统请求者系统请求者请求者PAE验证者系统验证者系统验证者验证者PAELAN验证服务器系统验证服务器系统验证服务器验证服务器验证者系统验证者系统提供的服务提供的服务承载在高层协议承载在高层协议中的中的EAP报文报文未被授权未被授权的端口的端口1802.1x工作原理工作原理22EAPEAP和和和和EAPOLEAPOL3820.1x协议运行过程协议运行过程4RADIUS协议原理协议原理5RADIUS故障处理故障处理EAP报文格式Code值值报文类型报文类型1请求(Request)2回应(Response)3成功(Success)4无效(Failure)请求和回应报文用于验证的信息成功和无效报文没有Type和Type-Data字段EAPOL报文格式VersionTypePacketBodyLengthPacketBody.EAP报文被封装在此字段内EAPOL报文类型Type值值报文类型报文类型0EAP报文(EAP-Packet)1EAPOL开始报文(EAPOL-Start)2EAPOL注销报文(EAPOL-Logoff)3EAPOL信息报文(EAPOL-Key)4EAPOL告警报文(EAPOL-Encapsulated-ASF-Alert)EAPOL报文的二层报文头DMACSMACTYPEEAPOLFCS字段字段内容内容DMAC01-80-C2-00-00-03SMAC端口的物理MAC地址TYPE88-8E发起认证发起者发起者动作动作请求者(Supplicant)发送一个EAPOL开始报文(EAPOL-Start)验证者(Authenticator)发送一个EAP请求报文(EAPRequest)EAP交换过程举例请求者验证者验证服务器1EAPOL开始报文2EAP请求报文3EAP回应报文4使用RADIUS承载EAP5RADIUS接受报文6EAP成功报文注销机制原因原因描述描述底层协议原因物理端口不可用管理原因端口被手动配置为未授权状态定时器原因验证者的验证定时器超时EAPOL注销报文请求者主动向验证者发送EAPOL注销报文RADIUS设计的组网结构Lsw2Lsw2城域网/光纤Lsw2Lsw2BASIPOX/PPPOX/Wlan等RADIUS原理l客户端客户端/服务器模式服务器模式在这个模型中,NAS/BAS服务器相于用户是服务器端,相于RADIUS服务器是客户端,其作用就是把用户的认证信息提取后封装为标准的RADIUS报文,并送到RADIUS服务器处理。
RADIUS服务器根据NAS/BAS服务器送来的用户名和密码进行验证,并对用户的访问权限进行授权,同时NAS/BAS统计用户使用网络的信息(时间、流量)并送给RADIUS进行计费处理。
RADIUS概述RADIUS是一种在网络接入服务器(是一种在网络接入服务器(NetworkAccessServer)和共享认证服务器间传输认证授权和配置信息)和共享认证服务器间传输认证授权和配置信息的协议。
它采用客户机的协议。
它采用客户机/服务器(服务器(Client/Server)结构。
)结构。
路由器或路由器或NAS上运行的上运行的AAA程序对用户来讲为服务器端,程序对用户来讲为服务器端,对对RADIUS服务器来讲是作为客户端。
服务器来讲是作为客户端。
RADIUS通过建通过建立一个唯一的用户数据库存储用户名用户的密码来进行立一个唯一的用户数据库存储用户名用户的密码来进行验证;存储传递给用户的服务类型以及相应的配置信息验证;存储传递给用户的服务类型以及相应的配置信息来完成授权。
当用户上网时路由器决定对用户采用何种来完成授权。
当用户上网时路由器决定对用户采用何种验证方法。
验证方法。
RADIUS主要特征如下:
主要特征如下:
(1)客户)客户/服务器模式服务器模式
(2)网络安全)网络安全(3)灵活认证机制)灵活认证机制(4)协议的可扩充性)协议的可扩充性RADIUS报文流程(完整PAP)Authentication_AckAuthentication_ReqCode=2(3)Code=1Code=5Code=4(start)ClientBasRadiusCode=5Code=4(real)Code=5Code=4(stop)logout_Acklogout_ReqRADIUS报文流程(CHAP)Authentication_AckChallenge_requestCode=2(3)Code=1ClientBasRadiuschallengeAuthentication_request计费过程同上一张RADIUS报文流程(RADIUS产生挑战字)RadiusAuthentication_AckChallenge_requestCode=2(3)Code=1ClientBasCode=11(access-challenge)challengeAuthentication_requestchallengeAuthentication_requestCode=1计费过程同前RADIUS协议栈结构RADIUSRADIUS报文结构RADIUS报文说明lCode,8bit,用以标识RADIUS报文的类型lIdentifier,8bit,用以匹配请求包和响应包lLength,16bit,标识报文的长度lAuthenticator,32bit,用以验证报文的合法性lAttribute,不定长,TLV格式,属性具体内容常用RADIUS报文介绍Code1Access-request认证请求2Access-accept认证通过3Access-reject认证拒绝4Accounting-request计费请求5Accounting-response计费响应11Access-challenge挑战请求常用属性介绍属性属性说明说明属性属性说明说明1User-Name1User-Name用户名用户名28Idle-Timeout28Idle-Timeout闲置切断闲置切断2User-Password2User-PasswordPAPPAP密码密码32NAS-Identifier32NAS-IdentifierNAS-IDNAS-ID3CHAP-Password3CHAP-PasswordCHAPCHAP密码密码40Acct-Status-Type40Acct-Status-Type计费类型计费类型4NAS-IP-Address4NAS-IP-AddressNAS-IPNAS-IP41Acct-Delay-Time41Acct-Delay-Time计费时延计费时延5NAS-Port5NAS-PortNAS-PORTNAS-PORT42Acct-Input-Octets42Acct-Input-Octets上行字节上行字节8Framed-IP-Address8Framed-IP-Address客户端地址客户端地址43Acct-Output-Octets43Acct-Output-Octets下行字节下行字节11Filter-Id11Filter-IdUCL/ACLUCL/ACL44Acct-Session-Id44Acct-Session-Id计费标识计费标识18Reply-Message18Reply-Message拒绝消息拒绝消息46Acct-Session-Time46Acct-Session-Time在线时间在线时间25Class25ClassCARCAR47Acct-Input-Packets47Acct-Input-Packets上行包数上行包数26Vendor-Specific26Vendor-Specific自定义自定义48Acct-Output-Packets48Acct-Output-Packets下行包数下行包数27Session-Timeout27Session-Timeout超时时间超时时间49Acct-Terminate-Cause49Acct-Terminate-Cause下线原因下线原因其它属性介绍本页属性以本页属性以MA5200R007版本为例介绍了版本为例介绍了RADIUS所有属性,不同所有属性,不同产品在属性的定义上可能不同,具体请参考各产品的定义!
产品在属性的定义上可能不同,具体请参考各产品的定义!
RADIUS+1.0/1.1协议lRADIUS+1.0/1.1协议报文格式及报文类型同RADIUS协议相同,只不过对报文属性的定义和支持上面有所不同,如connect_id等,具体格式的定义请参考各产品的RADIUS属性说明文档!
ExtendedRADIUSPracticesl6AccountingStatusl7PasswordRequestl8PasswordAckl9PasswordRejectl10AccountingMessagel21ResourceFreeRequestl22ResourceFreeResponsel23ResourceQueryRequestl24ResourceQueryResponsel25AlternateResourceReclaimRequestl26NASRebootRequestl27NASRebootResponse29NextPasscode30NewPin31TerminateSession32PasswordExpired33EventRequest34EventResponse40DisconnectRequest41DisconnectAck42DisconnectNak43ChangeFiltersRequest44ChangeFiltersAck45ChangeFiltersNak50IPAddressAllocate51IPAddressRelease这是对报文类型的扩展定义,目前在MA5200里支持的是40-45,参考RFC2882DynamicAuthorizationExtensionstoRADIUSlDM=DisconnectMessageCode=41(42)Code=40BasRadiu
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Radius 原理 精品 文档