用户接入管理协议课件.ppt

《用户接入管理协议课件.ppt》由会员分享，可在线阅读，更多相关《用户接入管理协议课件.ppt（72页珍藏版）》请在三一办公上搜索。

1、2023/3/29,1,第12章 用户接入管理协议,引言接入链路协议接入认证/控制协议接入管理协议小结,2023/3/29,2,引言,接入网的核心功能：全面管理用户的接入接入管理协议：包括一组，可分为三个层次接入链路协议接入认证/控制协议接入管理协议：决策、仲裁,2023/3/29,3,用户接入管理的协议模型,用户,BAS,接入管理服务器,接入管理协议,接入认证/控制协议,接入链路协议,物理层,接入链路协议,接入认证/控制协议,物理层,数据链路层,网络层,接入管理协议,物理层,接入链路协议,接入认证/控制协议,物理层,数据链路层,网络层,接入管理协议,2023/3/29,4,第12章 用户接入

2、管理协议,引言接入链路协议接入认证/控制协议接入管理协议小结,2023/3/29,5,接入链路协议,概述PPP协议PPPoE协议,2023/3/29,6,接入链路协议,接入链路协议作用：提供链路通信服务提供或便于实现基于用户的接入控制功能通常作为接入认证/控制协议的承载协议典型的接入链路协议有：以太网协议：IEEE 802.3无线局域网协议（IEEE 802.11系列）PPP（Point-to-Point Protocol，点到点协议）PPPoE：以太网上的点到点协议Point to Point Protocol over Ethernet,2023/3/29,7,接入链路协议,概述PPP协议

3、PPPoE协议,2023/3/29,8,PPP协议,协议概要LCP协议NCP协议帧格式协议操作过程,2023/3/29,9,PPP协议概要,概念点对点协议：Point-to-Point Protocol协议文档：RFC 1661协议作用范围点对点数据链路功能实现点对点链路的两个端点之间:数据链路的建立与拆除链路质量检测、身份认证网络层协议协商与配置包括两个子协议：LCP 与 NCP,2023/3/29,10,PPP协议分层模型,PPP协议由两个重要的子协议构成：LCP协议LCP协议是PPP链路操作的关键协议，主要完成链路的建立、协商、配置和终止NCP协议PPP为不同的网络层协议设计了相对应的N

4、CP协议，用来处理不同网络层协议的特殊需求,2023/3/29,11,PPP协议,协议概要LCP协议NCP协议帧格式协议操作过程,2023/3/29,12,PPP：LCP协议,LCP：链路控制协议Link Control Protocol协议功能链路建立链路参数协商与配置例如，MRU（Maximum Receive Unit）参数是否认证和认证协议协商链路拆除,2023/3/29,13,PPP协议,协议概要LCP协议NCP协议帧格式协议操作过程,2023/3/29,14,PPP：NCP协议,NCP：网络层控制协议Network Control Protocol作用：在一个PPP链路上复用多个网

5、络层协议PPP为不同的网络层设计了相应的NCP，例如：IPCP：对应IP协议的NCPIPXCP：对应IPX协议的NCP不同的NCP处理不同网络层特殊要求同一个PPP连接下可启动多个NCP,2023/3/29,15,PPP协议,协议概要LCP协议NCP协议帧格式协议操作过程,2023/3/29,16,PPP的帧格式,PPP帧封装在HDLC/UI帧中,地址,控制,协议,数据,FCS,字节,11 2 变长 2,地址,控制,数据,FCS,HDLC UI帧,PPP 帧,固定值OxFF,固定值Ox03,封装数据的协议类型,2023/3/29,17,PPP协议,协议概要LCP协议NCP协议帧格式协议操作过程

6、,2023/3/29,18,PPP协议操作过程(协议运行),PPP协议首先需要使用LCP建立数据链路，然后通过NCP选择并配置一个或多个网络层协议，通信结束后PPP协议会使用LCP或NCP终止数据链路。五个阶段及各阶段转换图,UP,OPEND,SUCCESS/NONE,FAIL,DOWN,CLOSING,链路死亡,链路建立,认证,网络层协议,链路终止,FAIL,2023/3/29,19,PPP协议操作过程,死亡阶段物理层未准备好、PPP的初始阶段链路建立阶段，由LCP完成建立请求、协商：MRU及采用的认证协议、链路质量监测协议认证阶段,由LCP完成可选项，对用户身份的鉴别。是否选或选择何种认证

7、协议在建立连接阶段协商认证阶段只允许接收LCP、LQR和认证协议的分组 网络层协议阶段，由NCP完成对网络层协议进行配置，如网络层地址（IP地址）分配链路终止阶段,由LCP完成可以在任何时候终止链路，链路的正常终止由LCP分组完成，一个NCP的关闭不一定引起链路的关闭,2023/3/29,20,接入链路协议,概述PPP协议PPPoE协议,2023/3/29,21,PPPoE协议,协议概要接入模型协议层次分组格式协议运行,2023/3/29,22,PPPoE协议概要,概念PPP Over Ethernet 以太网的点对点的协议协议文档：RFC 2516协议的引入使用PPP协议的点到点接入方式使得

8、网络的ISP更易控制用户的接入和用户流量 但是PPP只能用于点对点链路PPPoE可以用于多点链路（以太网）实现一种虚拟拨号接入方式协议功能（简单说就是“在以太网上传输PPP的数据帧”）建立PPP会话对以太网上每个接入用户与NAS之间建立一条隧道每个PPP会话由连接标识符唯一标识实现对以太网上每个接入用户进行接入管理,2023/3/29,23,PPPoE协议,协议概要接入模型协议层次分组格式协议运行,2023/3/29,24,PPPoE接入模型,接入桥接设备可为：交换机、ADSL Modem接入集中器可为：PPPoE服务器、DSLAM,接入集中器Access Concentrator,PPP会话

9、,2023/3/29,25,工作原理,主机通过一个以太网交换机与PPPoE接入服务器建立一个PPP会话（PPP Session），即一条PPP虚拟链路建立过程分为两个阶段：发现（Discovery）阶段和PPP会话阶段。发现阶段中，用户主机以广播方式寻找可以连接的所有PPPoE接入服务器，并获得所选择连接的PPPoE接入服务器的以太网MAC地址，然后建立PPPoE会话标识（SESSION_ID）PPP会话阶段中，用户主机与PPPoE接入服务器在协商建立的PPPoE会话上开始PPP会话过程，传输PPP帧,2023/3/29,26,PPPoE协议,协议概要接入模型协议层次分组格式协议运行,2023

10、/3/29,27,协议层次,以太网,物理层,PPPoE,数据链路层,网络层,PPP,IP,2023/3/29,28,PPPoE协议,协议概要接入模型协议层次分组格式协议运行,2023/3/29,29,分组(帧)格式,PPPoE协议封装在以太帧中（以太帧的载荷）,发现阶段类型：0 x8863会话阶段类型：0 x8864,固定值,不同阶段的分组类型,标识一个特定的PPPoE会话,发现阶段：可以为空会话阶段：PPP帧,PPPoE 载荷长度,固定值,2023/3/29,30,PPPoE协议,协议概要接入模型协议层次分组格式协议运行,2023/3/29,31,PPPoE协议运行,协议运行分为两个阶段发现

11、阶段、会话阶段发现阶段获取对方MAC主机广播一个PPPoE有效发现启动分组，寻找合适的PPPoE服务器可能有多个服务器收到该消息，满足要求的服务器发送有效发现提供分组应答，否则不发应答主机选择一个合适的接入服务器，发有效发现请求分组接入服务器为主机分配唯一的会话标识。发现过程结束,主机,PPPoE接入服务器,广播PADI,单播PADO,单播PADR,单播PADS,2023/3/29,32,PPPoE协议运行,PPP会话阶段发现结束后，主机和PPPoE接入服务器建立点对点隧道，进入会话阶段：传送PPP帧PPP帧封装在PPPoE帧中PPPoE帧封装在Ethernet帧中，通过以太网或其它接入网承载

12、或运送,2023/3/29,33,第12章 用户接入管理协议,引言接入链路协议接入认证/控制协议接入管理协议小结,2023/3/29,34,接入认证/控制协议,口令认证协议 PAP质询认证协议 CHAP可扩展的认证协议 EAP基于端口的接入认证与控制协议 802.1X,2023/3/29,35,口令认证协议PAP,PAP（由RFC 1334描述）：Password Authentication Protocol（口令认证协议）PAP认证过程被认证方(Peer)向认证方(Authenticator)发认证请求信息（明文），请求信息含“用户名、口令”认证方向被认证方发认证应答信息（明文）Auth-

13、Ack（认证成功）or Auth-Nak（认证失败）,认证请求（Auth-Request）,认证成功/失败（Auth-Ack/Auth-Nak）,PAP认证的问题明文传输认证信息容易被窃取，存在安全隐患,2023/3/29,36,接入认证/控制协议,口令认证协议 PAP质询认证协议 CHAP可扩展的认证协议 EAP基于端口的接入认证与控制协议 802.1X,2023/3/29,37,质询认证协议 CHAP,CHAP(Challenge Authentication Protocol):质询认证协议由RFC 1994描述CHAP认证的特点认证信息采用密文传送采用共享密钥与PAP相比安全性更高认证

14、所花时间更长,2023/3/29,38,CHAP认证的交互过程,由认证方向被认证方发送质询分组质询值为随机数由被认证方向认证方发送响应分组将质询值通过共享密钥加密后传送到对方由认证方向被认证方发送响应分组认证方用共享密钥解密，成功发Ack，失败发Nak,2)响应（Response）（密文）,1)质询（Challenge）(明文）,3)认证成功/失败（Auth-Ack/Auth-Nak）,2023/3/29,39,接入认证/控制协议,口令认证协议 PAP质询认证协议 CHAP可扩展的认证协议 EAP基于端口的接入认证与控制协议 802.1X,2023/3/29,40,可扩展认证协议 EAP,EA

15、P的含义Extensible Authentication Protocol可扩展的认证协议由RFC 2284描述设计目的是：把PPP链路建立阶段的认证协议选择延迟到可选的PPP认证阶段，从而允许认证系统在决定具体的认证机制之前能够请求更多的信息。EAP并非一个具体的认证协议是一个认证协议的封装协议定义了一种封装的框架、格式具体的认证协议和认证信息封装在EAP分组中，如 PAP over EAP、CHAP over EAP etc.迄今EAP支持的认证协议达42种,2023/3/29,41,EAP分层模型,下层（lower layer）负责收发peer和authenticator间封装EAP分

16、组的帧该层协议可以包括PPP、IEEE 802局域网（IEEE 802.1X）、UDP和TCPEAP协议不要求其下层提供可靠性或安全性保证EAP层（EAP layer）经由下层收发EAP分组,向EAP peer/aut.层递交或接收来自EAP peer/aut.层的EAP报文EAP peer/authenticator层EAP Peer层为被认证方供peer功能，仅接收EAP请求、成功或失败分组；EAP Auth.层为认证方提供authenticator功能，仅接收EAP响应分组。EAP方法层（EAP method layer）实现多种认证算法，收发EAP报文，支持EAP分组分段和重组，EAP

17、的最小MTU值是1020字节。,2023/3/29,42,EAP协议允许使用后台（backend）认证服务器,2023/3/29,43,EAP认证过程,在链路建立阶段完成后，认证方发送一个或多个请求（Request）分组来对Peer进行认证该数分组中有一个类型域表明请求的类型Peer发送一个响应（Response）分组对每一个请求做出应答认证方发送一个成功（Success）或失败（Failure）数据包结束认证阶段,2023/3/29,44,EAP的应用,EAP在PPP网络中的使用在LCP的链路协商过程中将选择认证协议为EAP协议（利用LCP的链路配置分组携带认证协议配置选项）LCP的认证协议

18、协商通过后，即可在PPP认证阶段开始EAP的协议交互过程，确定并使用具体的认证机制IEEE 802网络中的EAP应用定义在IEEE 802.1X中,2023/3/29,45,接入认证/控制协议,口令认证协议 PAP质询认证协议 CHAP可扩展的认证协议 EAP基于端口的接入认证与控制协议 802.1X,2023/3/29,46,用户接入控制协议802.1X,概念IEEE802.1X：基于端口的接入控制协议目前使用标准版本:IEEE Std 802.1X-2004一个专用于802网络用户接入认证与控制的协议接入要求LAN用户以点到点方式接入到LAN的端口上端口可以是物理端口LAN用户以点对点方式

19、接入：接入以太网交换机端口端口也可以是逻辑端口LAN用户以点对点方式接入：接入WLAN中的AP端口功能为LAN用户提供接入认证及授权的服务功能,2023/3/29,47,802.1X协议模型的三种实体,客户系统（Supplicant System）运行802.1X客户软件的用户终端系统完成接入控制操作认证系统（Authenticator System）为802.1X客户系统（即LAN用户）提供授权的接入服务，通常为支持802.1X协议的网络接入设备认证服务器系统（Authentication Server System）为认证系统提供认证服务,2023/3/29,48,802.1X的协议运行模

20、型,PAE:（Port Access Entity）端口接入实体执行802.1X协议的实体,运行802.1X客户 软件的用户终端,支持802.1X的网络 接入设备为801.1x客户提供 授权的接入服务,为认证系统 提供认证服务,2023/3/29,49,802.1X的端口,802.1X协议是基于端口的接入控制端口是用来连接客户系统和认证系统的LAN端口802.1X端口接入控制中用来连接客户系统和认证系统的LAN端口可以是物理端口，也可以是逻辑端口取决于该端口的接入方式,2023/3/29,50,802.1X的不受控/受控端口,不受控端口传输认证信息始终连通受控端口传输用户业务数据受控方式：双向

21、受控或仅输入受控端口默认状态为未授权状态，即断开状态双向受控：端口此时禁止收、发业务数据仅输入受控：端口此时只能发送数据通过认证后，处于授权状态，即接通状态,LAN,认证系统,受控端口,不受控 端口,2023/3/29,51,802.1X协议运行,协议运行实体客户PAE、认证PAE、认证服务器认证协议封装类型客户PAE与认证PAE之间：EAPOL(EAP Over Ethernet）认证PAE与认证服务器之间：EAPEAP Over Radius认证的发起者客户PAE或认证PAE,2023/3/29,52,802.1X的认证与接入过程,客户PAE将认证信息由EAPOL封装，并通过认证系统的不受

22、控端口传输到认证PAE认证PAE将认证信息由EAP封装传输到认证服务器认证服务器验证用户认证信息，并将认证结果返回到认证PAE（成功或失败）认证PAE将认证结果反馈给客户PAE认证成功：受控端口设为授权状态，向用户提供接入服务认证失败：受控端口继续断开，拒绝向用户提供接入服务,2023/3/29,53,802.1X协议的应用,通过以太网交换机接入的交换式以太网每台主机以点到点方式接入到交换机每个端口接入点为交换机的物理端口通过AP接入的无线局域网每台无线主机以点到点方式接入AP的同一无线端口控制端口为逻辑端口不同的逻辑端口可由MAC地址区分,2023/3/29,54,第12章 用户接入管理协议

23、,引言接入链路协议接入认证/控制协议接入管理协议小结,2023/3/29,55,接入管理协议,概念协议模型协议运行报文格式和类型（自学）RADIUS代理协议应用,2023/3/29,56,用户接入管理协议 RADIUS,RADIUS的含义 Remote Authentication Dial In User Service 远程认证拨号用户服务协议标准：RFC2865，RFC2866扩展版本：RFC2867，RFC2868等协议发展与应用范围最初仅针对拨号用户，实现AAA的管理功能现已发展成一种通用的、广泛使用的实现AAA功能的协议适用于各种方式接入的用户的集中管理协议的功能对接入用户提供认证

24、、授权和记帐功能支持对漫游用户的接入管理,2023/3/29,57,接入管理协议,概念协议模型协议运行报文格式和类型（自学）RADIUS代理协议应用,2023/3/29,58,RADIUS协议模型,模型结构为集中/分布式协议作用范围：NAS与RADIUS服务器之间注意：RADIUS并未对用户与NAS之间的认证协议进行规定,用户,NAS,RADIUS server,接入 client,接入 server,RADIUS client,用户接 入 认证协议,RADIUS协议,用户管理数据库,2023/3/29,59,接入管理协议,概念协议模型协议运行报文格式和类型（自学）RADIUS代理协议应用,2

25、023/3/29,60,RADIUS协议运行,RADIUS协议运行 NAS与RADIUS服务器之间的操作但必须有用户与NAS之间认证协议的配合 协议运行分为两个过程：认证操作（包括授权）记帐操作协议实体交互过程中采用重传机制,2023/3/29,61,认证操作,操作实体：NAS与RADIUS认证服务器认证操作的方式请求/响应方式质询/响应方式,2023/3/29,62,请求/响应方式(一问一答）,NAS从用户处获得用户认证信息NAS将认证信息生成一个RADIUS接入请求报文发向RADIUS认证服务器（含用户名、口令等）RADIUS认证服务器验证用户的合法性，并通过接入许可/拒绝报文回应NAS,

26、用户名、口令,接入认证结果,接入请求报文,接入许可/拒绝报文,2023/3/29,63,质询/响应方式,NAS第1次发出的接入请求报文中含用户名和口令信息NAS第2次发出的接入请求报文中将口令换成用户的质询响应值,接入许可/拒绝报文,接入质询报文,用户名、口令,接入认证结果,用户,NAS,RADIUS认证服务器,接入请求报文,质询值，提示消息,响应值,接入请求报文,2023/3/29,64,记帐操作,操作实体：NAS与RADIUS记帐服务器操作时机：授权许可提供服务时和服务终止时,记帐请求报文,接入许可开始记帐,RADIUS记帐服务器,记帐响应报文,NAS,a)开始记帐,记帐请求报文,服务终止

27、结束记帐,RADIUS记帐服务器,记帐响应报文,NAS,b)结束记帐,2023/3/29,65,接入管理协议,概念协议模型协议运行报文格式和类型（自学）RADIUS代理协议应用,2023/3/29,66,RADIUS代理,一个RADIUS服务器可以同时为某些管理域的中继服务器和其它域的远程服务器一个中继服务器可以为多个远程服务器中继典型应用：为漫游用户提供接入AAA管理,2023/3/29,67,RADIUS代理,假设用户A的认证信息存放在一个远程服务器中,中继服务器,远程服务器,1)接入请求报文,NAS,2)接入请求报文,2023/3/29,68,接入管理协议,概念协议模型协议运行报文格式和

28、类型（自学）RADIUS代理协议应用,2023/3/29,69,RADIUS 协议的应用,为LAN接入用户、WLAN接入用户、远程拨号用户等进行集中的AAA管理,2023/3/29,70,第12章 用户接入管理协议,引言接入链路协议接入认证/控制协议接入管理协议小结,2023/3/29,71,小结和推荐资料,用户接入管理的功能（核心是AAA)用户接入管理的结构与特点分散、分布、集中、集中/分布用户接入管理的模型用户、NAS、AAA服务器接入链路协议PPP（协议功能、LCP和NCP的功能）PPPoE(协议功能、如何实现点对多点链路的单个用户的管理）接入认证协议PAPCHAP802.1X（实体、模

29、型、协议运行原理）接入管理协议RADIAUS（模型、协议功能、作用范围、操作过程）,2023/3/29,72,小结和推荐资料,RFC 1661:PPP Protocol.1994-07.RFC 2516:PPPoE Protocol.1999-02.RFC 1334:PPP Authentication Protocols.1992-10.RFC 1994:CHAP Protocol.1996-08.RFC 3748:EAP Protocol.2004-06.IEEE Std 802.1X-2004:Port-Based Network Access Control.2004-12RFC 2865:RADIUS.2000-06.RFC 2866:RADIUS Accounting.2000-06.RFC 3579:RADIUS Support For EAP.2003-09.RFC 3580:IEEE 802.1X RADIUS Usage Guidelines.2003-09.IETF.http:/www.ietf.org/IANA.http:/www.iana.org/,