什么是协议模板.docx

802.1x协议是基于Client/Server访问控制和认证协议。它能够限制未经授权用户/设备经过接入端口访问LAN/MAN。在取得交换机或LAN提供多种业务之前, 802.1x对连接到交换机端口上用户/设备进行认证。在认证经过之前, 802.1x只许可EAPoL（基于局域网扩展认证协议）数据经过设备连接交换机端口; 认证经过以后, 正常数据能够顺利地经过以太网端口。  　　网络访问技术关键部分是PAE（端口访问实体）。在访问控制步骤中, 端口访问实体包含3部分: 认证者--对接入用户/设备进行认证端口; 请求者--被认证用户/设备; 认证服务器--依据认证者信息, 对请求访问网络资源用户/设备进行实际认证功效设备。  　　以太网每个物理端口被分为受控和不受控两个逻辑端口, 物理端口收到每个帧都被送到受控和不受控端口。对受控端口访问, 受限于受控端口授权状态。认证者PAE依据认证服务器认证过程结果, 控制"受控端口"授权/未授权状态。处于未授权状态控制端口将拒绝用户/设备访问。  1.802.1x协议认证特点  　　基于以太网端口认证802.1x协议有以下特点: IEEE802.1x协议为二层协议, 不需要抵达三层, 对设备整体性能要求不高, 能够有效降低建网成本; 借用了在RAS系统中常见EAP（扩展认证协议）, 能够提供良好扩展性和适应性, 实现对传统PPP认证架构兼容; 802.1x认证体系结构中采取了"可控端口"和"不可控端口"逻辑功效, 从而能够实现业务与认证分离, 由RADIUS和交换机利用不可控逻辑端口共同完成对用户认证与控制, 业务报文直接承载在正常二层报文上经过可控端口进行交换, 经过认证以后数据包是无需封装纯数据包; 能够使用现有后台认证系统降低布署成本, 并有丰富业务支持; 能够映射不一样用户认证等级到不一样VLAN; 能够使交换端口和无线LAN含有安全认证接入功效。  2.802.1x协议工作过程  　　（1.当用户有上网需求时打开802.1X用户端程序, 输入已经申请、 登记过用户名和口令, 提议连接请求。此时, 用户端程序将发出请求认证报文给交换机, 开始开启一次认证过程。  　　（2.交换机收到请求认证数据帧后, 将发出一个请求帧要求用户用户端程序将输入用户名送上来。  　　（3.用户端程序响应交换机发出请求, 将用户名信息经过数据帧送给交换机。交换机将用户端送上来数据帧经过封包处理后送给认证服务器进行处理。  　　（4.认证服务器收到交换机转发上来用户名信息后, 将该信息与数据库中用户名表相比对, 找到该用户名对应口令信息, 用生成一个加密字对它进行加密处理, 同时也将此加密字传送给交换机, 由交换机传给用户端程序。  　　（5.用户端程序收到由交换机传来加密字后, 用该加密字对口令部分进行加密处理（此种加密算法通常是不可逆）, 并经过交换机传给认证服务器。  　　（6.认证服务器将送上来加密后口令信息和其自己经过加密运算后口令信息进行对比, 假如相同, 则认为该用户为正当用户, 反馈认证经过消息, 并向交换机发出打开端口指令, 许可用户业务流经过端口访问网络。不然, 反馈认证失败消息, 并保持交换机端口关闭状态, 只许可认证信息数据经过而不许可业务数据经过。  3.802.1x协议应用环境特点  (1)交换式以太网络环境  对于交换式以太网络中, 用户和网络之间采取点到点物理连接, 用户相互之间经过VLAN隔离, 此网络环境下, 网络管理控制关键是用户接入控制, 802.1x不需要提供过多安全机制。  (2)共享式网络环境  当802.1x应用于共享式网络环境时, 为了预防在共享式网络环境中出现类似“搭载”问题, 有必需将PAE实体由物理端口深入扩展为多个相互独立逻辑端口。逻辑端口和用户/设备形成一一对应关系, 而且各逻辑端口之间认证过程和结果相互独立。在共享式网络中, 用户之间共享接入物理媒介, 接入网络管理控制必需兼顾用户接入控制和用户数据安全, 能够采取安全方法是对EAPoL和用户其它数据进行加密封装。在实际网络环境中, 能够经过加速WEP密钥重分配周期, 填补WEP静态分配秘钥造成安全性缺点。  4.802.1x协议认证安全性分析  802.1x协议中, 相关安全性问题一直是802.1x反对者攻击焦点。实际上, 这个问题确困扰了802.1x技术很长一段时间, 甚至限制了802.1x技术应用。但技术发展为这个问题给出了答案: 802.1x结合EAP, 能够提供灵活、 多样认证处理方案。  4.802.1x认证优势  综合IEEE802.1x技术特点, 其含有优势能够总结为以下几点。  简练高效: 纯以太网技术内核, 保持了IP网络无连接特征, 不需要进行协议间多层封装, 去除了无须要开销和冗余; 消除网络认证计费瓶颈和单点故障, 易于支持多业务和新兴流媒体业务。  轻易实现: 可在一般L3、 L2、 IPDSLAM上实现, 网络综合造价成本低, 保留了传统AAA认证网络架构, 能够利用现有RADIUS设备。  安全可靠: 在二层网络上实现用户认证, 结合MAC、 端口、 账户、 VLAN和密码等; 绑定技术含有很高安全性, 在无线局域网网络环境中802.1x结合EAP－TLS, EAP－TTLS,能够实现对WEP证书密钥动态分配, 克服无线局域网接入中安全漏洞。  行业标准: IEEE标准, 和以太网标准同源, 能够实现和以太网技术无缝融合, 几乎全部主流数据设备厂商在其设备, 包含路由器、 交换机和无线AP上都提供对该协议支持。在用户端方面微软WindowsXP操作系统内置支持, Linux也提供了对该协议支持。  应用灵活: 能够灵活控制认证颗粒度, 用于对单个用户连接、 用户ID或者是对接入设备进行认证, 认证层次能够进行灵活组合, 满足特定接入技术或者是业务需要。  易于运行: 控制流和业务流完全分离, 易于实现跨平台多业务运行, 少许改造传统包月制等单一收费制网络即可升级成运行级网络, 而且网络运行成本也有望降低。