交换机+windows ias+windows ad服务实现802.1x身份验证(原创)

我爱臭豆腐

把size部分删除了就好了.你自己改把.

ioiioi

lz写得太笼统了，如果有更多的技术细节，那么这篇文章一定会荣登榜首的。比如dhcp如何在802.1x验证后工作？

tianyayang

呵呵，好的，马上整理，该成中文的好吧

tianyayang

802.1X的认证体系分为三部分结构：
1、Supplicant System，客户端(PC/网络设备)
Supplicant System——— Client（客户端）是—需要接入LAN，及享受switch提供服务的设备（如PC机），客户端需要支持EAPOL协议，客户端必须运行802.1X客户端软件，如：802.1X-complain，Microsoft  Windows XP
2、Authenticator System，认证系统
Authenticator System——— Switch （边缘交换机或无线接入设备）是—根据客户的认证状态控制物理接入的设备，switch在客户和认证服务器间充当代理角色（proxy）。 switch与client间通过EAPOL协议进行通讯，switch与认证服务器间通过EAPoRadius或EAP承载在其他高层协议上，以便穿越复杂的网络到达 Authentication Server （EAP Relay）；switch要求客户端提供identity，接收到后将EAP报文承载在Radius格式的报文中，再发送到认证服务器，返回等同； switch根据认证结果控制端口是否可用；
3、Authentication Sever System，认证服务器
Authentication server ———（认证服务器）对客户进行实际认证，认证服务器核实客户的identity，通知swtich是否允许客户端访问LAN和交换机提供的服务Authentication Sever 接受 Authenticator 传递过来的认证需求，认证完成后将认证结果下发给 Authenticator，完成对端口的管理。由于 EAP 协议较为灵活，除了 IEEE 802.1x 定义的端口状态外，Authentication Server 实际上也可以用于认证和下发更多用户相关的信息，如VLAN、QOS、加密认证密钥、DHCP响应等。


基本的认证过程：
1、认证通过前，通道的状态为unauthorized，此时只能通过EAPOL的802.1X认证报文；
2、认证通过时，通道的状态切换为authorized，此时从远端认证服务器可以传递来用户的信息，比如VLAN、CAR参数、优先级、用户的访问控制列表等等；
3、认证通过后，用户的流量就将接受上述参数的监管，此时该通道可以通过任何报文，注意只有认证通过后才有DHCP等过程。

tianyayang

EAPOL协议的介绍
1、IEEE 802.1x定义了基于端口的网络接入控制协议，需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式。 为了在点到点链路上建立通信，在链路建立阶段PPP链路的每一端都必须首先发送LCP数据包来对该数据链路进行配置。在链路已经建立起来后，在进入网络层协议之前，PPP提供一个可选的认证阶段。而EAPOL就是PPP的一个可扩展的认证协议。
2、下面是一个典型的PPP协议的帧格式：
   Flag  Address  Control  Protocol  Information
     当PPP帧中的protocol域表明协议类型为C227(PPP EAP)时，在PPP数据链路层帧的Information域中封装且仅封装PPP EAP数据包，此时表明将应用PPP的扩展认证协议EAP。这个时候这个封装着EAP报文的information域就担负起了下一步认证的全部任务，下一步的EAP认证都将通过它来进行。
3、一个典型的EAP认证的过程分为：request、response、success或者failure阶段，每一个阶段的报文传送都由Information域所携带的EAP报文来承担。
    EAP报文的格式为：
    |Code|Identifier|Length|Data|
      1）Code域为一个字节，表示了EAP数据包的类型，EAP的Code的值指定和意义如下：
                        Code＝1————→Request
                                    Code＝2 ————→Response
                                    Code＝3 ————→Success
                                    Code＝4 ————→Failure
        2）Indentifier域为一个字节，辅助进行request和response的匹配————每一个request都应该有一个response相对应，这样的一个Indentifier域就建立了这样的一个对应关系————相同的Indentifier相匹配。
      3）Length域为两个字节，表明了EAP数据包的长度，包括Code,Identifier,Length以及Data等各域。超出Length域范围的字节应该视为数据链路层填充（padding）,在接收时应该被忽略掉。
      4）Data域为0个或者多个字节，Data域的格式由Code的值来决定。
    当code域为1或者2的时候，报文格式为
    |Identifier|Length|Type|Type Date|
      
      Code Type域的说明如下：

    Type域总共分为6个值域，其中头3种Type被认为特殊情形的Type，其余的Type定义了认证的交换流量。Nak类型仅对Response数据包有效，不允许把它放在Request中发送。

    Type＝1————→Identifier
      Type＝2————→Notification
      Type＝3————→Nak（Response Only）
    Type＝4————→MD5-Challenge
      Type＝5————→One-Time Password (OTP)
      Type＝4————→Generic Token Card

[ 本帖最后由 tianyayang 于 2005-11-14 22:15 编辑 ]

wind521

不错的说，可能偶们也要作这个

我爱臭豆腐

原帖由 wind521 于 2005-11-15 10:38 发表
不错的说，可能偶们也要作这个

你们使用的东西和他们有区别.除非你们想不使用acs .另外如果是完全使用ms的这个方案我感觉一般.建议你还是使用acs加ms的用户认证.

ioiioi

我不知道wind521需要做什么咚咚，但是我想谈谈radius跟acs的一些优缺点。
acs更多时候只是针对cisco的网络设备，而且费用不菲，虽然tacacs+的确比radius更优秀，但是专用性太强了，现在freeradius可以跟很多数据库协作，包括mysql, mssql, oracle等，这些都为用户资料提供良好的储存方案。
freeradius + samba也可以实现ms ad的验证。我爱臭豆腐不妨试试，我的功力还仅仅用radius验证网络设备的登陆，嘿嘿。

tianyayang

我问一句
我认为802.1x的精髓应该是vlan和ip的策略化动态分配，以达到安全控管的作用。
acs我没玩过，我想问问他能够支持到这些策略吗，

loveKDE

上面不是说了有中文版的么？