ImageVerifierCode 换一换
格式:PPT , 页数:38 ,大小:1.40MB ,
资源ID:5437788      下载积分:12 金币
快捷注册下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

开通VIP
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.zixin.com.cn/docdown/5437788.html】到电脑端继续下载(重复下载【60天内】不扣币)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

开通VIP折扣优惠下载文档

            查看会员权益                  [ 下载后找不到文档?]

填表反馈(24小时):  下载求助     关注领币    退款申请

开具发票请登录PC端进行申请

   平台协调中心        【在线客服】        免费申请共赢上传

权利声明

1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前可先查看【教您几个在下载文档中可以更好的避免被坑】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时联系平台进行协调解决,联系【微信客服】、【QQ客服】,若有其他问题请点击或扫码反馈【服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【版权申诉】”,意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:0574-28810668;投诉电话:18658249818。

注意事项

本文(802.1x认证协议PPT.ppt)为本站上传会员【精****】主动上传,咨信网仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知咨信网(发送邮件至1219186828@qq.com、拔打电话4009-655-100或【 微信客服】、【 QQ客服】),核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载【60天内】不扣币。 服务填表

802.1x认证协议PPT.ppt

1、802.1x认证协议认证协议安全服务事业部安全服务事业部1 我们的目标初步了解和认识802.1x协议的背景;了解802.1X的基本思想和目标;了解802.1x的特点;802.1X的作用;Cisco支持产品平台;802.1x有什么样的体系结构;802.1x采用什么样的认证流程;802.1x协议对于设备有什么特殊的要求?适合在何种范围下面使用?最后我们还要学习EAP协议的具体内容。22024/11/1 周五 802.1x 802.1x概况概况 -起源背景起源背景 -802.1x802.1x基本思想和实现目标基本思想和实现目标 -802.1x802.1x认证特点认证特点 -802.1x802.1x的

2、作用的作用 -802.1x802.1x认证优势认证优势 -802.1x802.1x应用环境特点应用环境特点 Cisco支持产品平台 术语介绍 802.1x认证体系结构 802.1x认证过程 802.1x协议认证端口 802.1x配置 EAP协议介绍3 802.1x协议起源背景 802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入(微软的Windows XP,以及CISCO、华为、北电等厂商的设备已经开始支持802.1X协议)。在802.1x出现之前,企业网上有线LAN应用

3、都没有直接控制到端口的方法。也不需要控制到端口。但是随着无线LAN的应用以及LAN接入在电信网上大规模开展,有必要对端口加以控制,以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。42024/11/1 周五基本思想和目标这个标准的基本思想基本思想是:需要访问LAN的设备在能够连接形成LAN环境的交换机的物理或者逻辑端口之前需要认证和授权。这个标准的基本目标目标是:允许对LAN环境的受控访问。52024/11/1 周五802.1x认证特点基于以太网端口认证的802.1x协议有如下特点:IEEE802.

4、1x协议为二层协议,对设备的整体性能要求不高,可以有效降低建网成本;借用了常用的EAP(扩展身份认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容;802.1x的认证体系结构中采用了可控端口和不可控端口的逻辑功能,从而可以实现业务与认证的分离,业务报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包;可以映射不同的用户认证等级到不同的VLAN;可以使交换端口和无线LAN具有安全的认证接入功能。62024/11/1 周五802.1x的作用802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略;802.1X是基于端口的认证策略

5、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。基于以太网端口认证的802.1x协议有如下作用:72024/11/1 周五802.1x认证的优势 简洁高效简洁高效 容易实现容易实现 安全可靠安全可靠 行业标准行业标准 应用灵活应用灵活82024/11/1 周五802.1x应用环境特点交换式以太网络环境交换式以太网络环境 对于交换式以太网络中

6、用户和网络之间采用点到点的物理连接,用户彼此之间通过VLAN隔离,此网络环境下,网络管理控制的关键是用户接入控制,802.1x不需要提供过多的安全机制。共享式网络环境共享式网络环境 当802.1x应用于共享式的网络环境时,为了防止在共享式的网络环境中出现类似“搭载”的问题,有必要将PAE实体由物理端口进一步扩展为多个互相独立的逻辑端口。逻辑端口和用户/设备形成一一对应关系,并且各逻辑端口之间的认证过程和结果相互独立。在共享式网络中,用户之间共享接入物理媒介,接入网络的管理控制必须兼顾用户接入控制和用户数据安全,可以采用的安全措施是对EAPoL和用户的其它数据进行加密封装。在实际网络环境中,可

7、以通过加速WEP密钥重分配周期,弥补WEP静态分配秘钥导致的安全性的缺陷。92024/11/1 周五 Cisco Cisco支持产品平台支持产品平台 802.1x概况 -起源背景 -基本思想和实现目标 -认证特点 -802.1x的作用 -802.1x认证优势 -802.1应用环境特点术语介绍 802.1x认证体系结构 802.1x认证过程 802.1x协议认证端口 802.1x配置 EAP协议介绍10 Cisco支持产品平台Cisco Catalyst 6500 Series SwitchCisco Catalyst 4000 and 4500 Series SwitchesCisco ACS

8、 ServerCisco Catalyst 2950,3550,3750 RoutersCisco Aironet112024/11/1 周五术语介绍术语介绍 802.1x概况 -起源背景 -基本思想和实现目标 -认证特点 -802.1x的作用 -802.1x认证优势 -802.1应用环境特点 Cisco支持产品平台802.1x认证体系结构 802.1x认证过程 802.1x协议认证端口 802.1x配置 EAP协议介绍12 术语介绍PAEPAE(Port Access EntityPort Access Entity):):认证机制中负责处理算法和协议的实体。EAP(Extensible A

9、uthentication Protocol):EAP(Extensible Authentication Protocol):可扩展身份认证协议,EAP是一个相当灵活的协议,它原来的设计是仅用于携带PPP认证参数,但是它也能够用于其他协议,例如:802.1x,以满足它们的认证需求。它是802.1x的根本。EAPOL(Extensible Authentication Protocol over LAN)EAPOL(Extensible Authentication Protocol over LAN):802.1x定义了一个封装/构造标准来允许产生请求者和认证者之间的通信,这种封装机制称为E

10、APOL。132024/11/1 周五802.1x802.1x认证体系结构认证体系结构 802.1x概况 -起源背景 -基本思想和实现目标 -认证特点 -802.1x的作用 -802.1x认证优势 -802.1应用环境特点 Cisco支持产品平台术语介绍802.1x认证过程 802.1x协议认证端口 802.1x配置 EAP协议介绍14 802.1x的认证体系结构(一)152024/11/1 周五802.1x的认证体系结构(二)802.1X的认证体系分为三部分结构:Supplicant System,客户端(PC/网络设备)Authenticator System,认证系统Authentica

11、tion Server System,认证服务器2341162024/11/1 周五802.1x的认证体系结构(三)Supplicant System,客户端,这个设备需要访问LAN,例如:笔记本电脑。Supplicant SystemSupplicant System Client(客户端)是需要接入LAN,及享受switch提供服务的设备(如PC机),客户端需要支持EAPOL协议,客户端必须运行802.1X客户端软件,如:802.1X-complain,Microsoft Windows XP172024/11/1 周五802.1x的认证体系结构(四)在win98下提供的客户端:在winX

12、P下提供的客户端:182024/11/1 周五802.1x的认证体系结构(五)Authenticator SystemAuthenticator System,认证系统,这个设备负责初始的认证过程,然后作为认证服务器和请求者之间一个中继,例如:cisco3550、cisco3560。在允许不同的请求者通过交换机上的端口发送数据流量之前,请求者可以通过802.1x标准连接它,并通过它被认证和获得授权。Authenticator System Switch(边缘交换机或无线接入设备)是根据客户的认证状态控制物理接入的设备,switch在客户和认证服务器间充当代理角色(proxy)。switch与c

13、lient间通过EAPOL协议进行通讯,switch与认证服务器间通过EAPoL或EAP承载在其他高层协议上,以便穿越复杂的网络到达 Authentication Server(EAP Relay);switch要求客户端提供identity,接收到后将EAP报文承载在Radius格式的报文中,再发送到认证服务器,返回等同;switch根据认证结果控制端口是否可用;需要指出的是:需要指出的是:我们的802.1x协议在设备内终结并转换成标准的RADIUS协议报文,加密算法采用PPP的CHAP认证算法,所有支持PPP CHAP认证算法的认证计费服务器都可以与我们对接成功。192024/11/1 周

14、五802.1x的认证体系结构(六)Authentication Server SystemAuthentication Server System,认证服务器这个设备代表认证者负责真正的认证和授权。这个设备以数据库形式包含网络上所有用户的简要信息。能够这个信息去认证和授权连接认证者端口上的用户。认证服务器的例子是:CISCO的ACS,Radius。202024/11/1 周五802.1x802.1x认证过程认证过程 802.1x概况 -起源背景 -基本思想和实现目标 -认证特点 -802.1x的作用 -802.1x认证优势 -802.1应用环境特点 Cisco支持产品平台术语介绍802.1x认

15、证体系结构802.1x协议认证端口 802.1x配置 EAP协议介绍21 802.1x认证过程(一)222024/11/1 周五802.1x认证过程(二)认证前后端口的状态 802.1X的认证中,端口的状态决定了客户端是否能接入网络,在启用802.1x认证时端口初始状态一般为非授权(unauthorized),在该状态下,除802.1X 报文和广播报文外不允许任何业务输入、输出通讯。当客户通过认证后,则端口状态切换到授权状态(authorized),允许客户端通过端口进行正常通讯。232024/11/1 周五802.1x认证过程(三)基本的认证过程:认证通过前认证通过前,通道的状态为unaut

16、horized,此时只能通过EAPOL的802.1X认证报文;认证通过时,认证通过时,通道的状态切换为authorized,此时从远端认证服务器可以传递来用户的信息,比如VLAN、CAR参数、优先级、用户的访问控制列表等等;认证通过后认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等过程。242024/11/1 周五802.1x认证过程(四)要控制端口授权状态,使用dot1x port-control 接口配置命令,现在的设备(switch)端口有三种认证方式:Force Authorized:802.1x验证被禁用,并且接口无需任何验证

17、交换即转换到授权状态,端口一直维持授权状态,switch的 Authenticator不主动发起认证。这是默认配置。Force Unauthorized:端口一直维持非授权状态,忽略所有客户端发起的认证请求,交换机不能通过该接口为客户提供验证服务。Auto:激活802.1X,设置端口为非授权状态,同时通知设备管理模块要求进行端口认证控制,使端口仅允许EAPOL报文收发,当发生UP事件或接收到EAPOL-start报文,开始认证流程,请求客户端Identify,并中继客户和认证服务器间的报文。认证通过后端口切换到授权状态,在退出前可以进行重认证。252024/11/1 周五802.1x802.1

18、x协议认证端口协议认证端口 802.1x概况 -起源背景 -基本思想和实现目标 -认证特点 -802.1x的作用 -802.1x认证优势 -802.1应用环境特点 Cisco支持产品平台术语介绍802.1x认证体系结构802.1x认证过程 802.1x配置 EAP协议介绍26 802.1x协议认证端口(一)受控端口受控端口:在通过认证前,只允许认证报文EAPOL报文和广播报文(DHCP、ARP)通过端口,不允许任何其他业务数据流通过;逻辑受控端口逻辑受控端口:多个Supplicant共用一个物理端口,当某个Supplicant没有通过认证前,只允许认证报文通过该物理端口,不允许业务数据,但其他

19、已通过认证的Supplicant业务不受影响。272024/11/1 周五802.1x协议认证端口(二)现在在使用中有下面三种情况:现在在使用中有下面三种情况:仅对使用同一物理端口的任何一个用户进行认证(仅对一个用户进行认证,认证过程中忽略其他用户的认证请求),认证通过后其他用户也就可以利用该物理端口访问网络服务。对共用同一个物理端口的多个用户分别进行认证控制,限制同时使用同一个物理端口的用户数目(限制MAC地址数目),但不指定MAC地址,让系统根据先到先得原则进行MAC地址学习,系统将拒绝超过限制数目的请求,若有用户退出,则可以覆盖已退出得MAC地址。对利用不同物理端口的用户进行VLAN认证

20、控制,即只允许访问指定VLAN,限制用户访问非授权VLAN;用户可以利用受控端口,访问指定VLAN,同一用户可以在不同的端口访问相同的VLAN。282024/11/1 周五802.1x802.1x配置配置 802.1x概况 -起源背景 -基本思想和实现目标 -认证特点 -802.1x的作用 -802.1x认证优势 -802.1应用环境特点 Cisco支持产品平台术语介绍802.1x认证体系结构802.1x认证过程802.1x协议认证端口EAP协议介绍29 802.1x在交换机上的配置Switch(config)#aaa authentication dot1x default method1m

21、ethod2Creates an 802.1x port-based authentication method listSwitch(config)#dot1x system-auth-controlGlobally enables 802.1x port-based authenticationSwitch(config)#interface type slot/portEnters interface configuration modeSwitch(config-if)#dot1x port-control autoEnables 802.1x port-based authentic

22、ation on the interfaceSwitch(config)#aaa new-modelEnables AAA302024/11/1 周五802.1x在交换机上的配置认证不通过时:Cisco 3550交换机将客户放入guestvlan里面,需要一条命令支持:dot1x guest-vlan supplicantdot1x guest-vlan supplicantCisco 3560交换机将客户模式划到access模式下面。312024/11/1 周五EAPEAP协议介绍协议介绍 802.1x概况 -起源背景 -基本思想和实现目标 -认证特点 -802.1x的作用 -802.1x认

23、证优势 -802.1应用环境特点 Cisco支持产品平台术语介绍802.1x认证体系结构802.1x认证过程802.1x协议认证端口802.1x配置32 EAP协议介绍Extensible Authentication Protocol,EAP 802.1x协议使用一个EAP(可扩展身份认证协议)的RFC标准帮助实现通信。三个实体间的认证数据使用EAP分组进行交换,这个EAP分组可以装载在EAPOL帧中。332024/11/1 周五EAP协议介绍下面是一个典型的下面是一个典型的PPP协议的帧格式:协议的帧格式:当PPP帧中的protocol域表明协议类型为C227(PPP EAP)时,在PPP

24、数据链路层帧的Information域中封装且仅封装PPP EAP数据包,此时表明将应用PPP的扩展认证协议EAP。这个时候这个封装着EAP报文的information域就担负起了下一步认证的全部任务,下一步的EAP认证都将通过它来进行。FlagAddressControlProtocolInformation342024/11/1 周五EAP协议介绍EAP报文的格式为:典型的EAP认证的过程分为:requestresponsesuccessfailure每一个阶段的报文传送都由Information域所携带的EAP报文来承担。CodeIdentifierLengthData352024/11

25、/1 周五EAP协议介绍Code域域为一个字节,表示了EAP数据包的类型,EAP的Code的值指定和意义如下:Code1 Request Code2 Response Code3 Success Code4 FailureIdentifier域域为一个字节,辅助进行request和response的匹配,每一个request都应该有一个response相对应,这样的一个Identifier域就建立了这样的一个对应关系,相同的Identifier相匹配。Length域域为两个字节,表明了EAP数据包的长度,包括Code,Identifier Length,Data域。超出Length域范围的字节应该视为数据链路层填充(padding),在接收时应该被忽略掉。Data域域为0个或者多个字节,Data域的格式由Code的值来决定。362024/11/1 周五总 结IEEE 802.1x定义了基于端口的网络接入控制协议,其中端口可以是物理端口,也可以是逻辑端口。802.1X关心的只是一个端口(物理的或者逻辑的)是否打开,而不关心打开之后上来的是什么样的报文。802.1x协议只是提供了一种用户接入认证的手段,它也只是对用户的认证进行控制,而接入网络设备必须具备的其他的一些安全和管理特性,由各厂家设备自行来提供的。372024/11/1 周五Thank You!Thank You!38

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2026 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服