第12章 用户接入管理协议.ppt

接入网技术,第12章 用户接入管理协议,12.1 引言12.2 接入链路协议12.3 接入认证/控制协议12.4 接入管理协议12.5 小结和推荐资料,接入网技术,12.1 引言,接入网的核心功能之一是对用户进行接入管理参与用户接入管理的协议主要分为三个层次接入链路协议接入认证/控制协议接入管理协议,接入网技术,用户接入管理的协议模型,,,用户,BAS,接入管理服务器,接入管理协议,接入认证/控制协议,接入链路协议,物理层,接入链路协议,接入认证/控制协议,物理层,数据链路层,网络层,接入管理协议,物理层,接入链路协议,接入认证/控制协议,物理层,数据链路层,网络层,接入管理协议,,,接入网技术,12.2 接入链路协议,接入链路协议作用：提供链路通信服务提供或便于实现基于用户的接入控制功能典型的接入链路协议有：以太网协议：IEEE 802.3无线局域网协议（IEEE 802.11系列）PPP（Point-to-Point Protocol，点到点协议）PPPoE：以太网上的点到点协议） Point to Point Protocol over Ethernet本章主要介绍PPP和PPPoE协议。

接入网技术,PPP协议,概念　Point-to-Point Protocol 点到点的协议目前使用的版本: RFC 1661协议作用范围点到点的链路上(数据链路)功能实现点到点链路的两个节点之间:数据链路的建立与拆除链路质量检测 身份认证网络层协议协商与配置(如IP协议的IP的地址等)两个子协议：LCP 与 NCP,接入网技术,PPP协议——LCP,,链路控制协议LCP Link Control Protocol链路建立链路参数协商（如MRU等）与配置是否认证或认证协议协商链路拆除等,接入网技术,PPP协议——NCP,,网络层控制协议NCP Network Control Protocol不同的网络层协议可复用在同一PPP链路上PPP为不同的网络层设计了相应的NCP如对应IP协议的NCP为IPCP对应IPX协议的NCP为IPXCP不同的NCP处理不同网络层特殊要求（如IP地址分配等）同一个PPP连接下可开启多个NCP,接入网技术,PPP的协议的封装格式,,类似HDLC的UI帧（无编号帧）,,,,,,地址,控制,协议,数据,FCS,字节,1　　1　　 2 　　　变长 　　　　2,,,,,地址,控制,数据,FCS,HDLC UI帧,PPP 帧,固定值OxFF,固定值Ox03,封装数据的协议类型,接入网技术,PPP的协议操作过程,,五个阶段及各阶段转换图,接入网技术,PPP协议的五个阶段,,死亡阶段物理层未准备好、PPP的初始阶段链路建立阶段，由LCP完成建立请求、协商MRU、认证协议、链路质量监测协议认证阶段,由LCP完成可选项，对用户身份的鉴别。

是否选或选择何种认证协议在建立连接阶段协商网络层协议阶段，由NCP完成对网络层协议进行配置，如网络层地址（IP地址）分配链路终止阶段,由LCP完成可以在任何时候终止链路，链路的正常终止由LCP分组完成，一个NCP的关闭不一定引起链路的关闭,接入网技术,PPPoE协议,,概念　PPP Over Ethernet 以太网的点到点的协议目前使用的版本: RFC 2516PPPoE的引入PPP只适应点到点链路的接入控制点到多点链路PPP仍然适应吗？否!PPPoE可以实现对点到多点链路的接入控制PPPoE的功能对以太网上每个用户与NAS之间建立一条PPP会话通道每一条PPP会话通道有唯一的连接标识实现对太网上每个用户进行单独的管理,接入网技术,PPPoE接入模型,,图中：接入桥接设备可为：交换机、ADSL Modem接入集中器可为：PPPoE服务器、DSLAM,,主机,主机,主机,,,接入集中器Access Concentrator,,,,,主机,,主机,,,,,ISP,,,,局域网（以太网）,,,,,,,PPP会话,桥接接入设备Bridging Access Device,,,,,,,,,,,,,,接入网技术,PPPoE协议分层模型,,接入网技术,PPPoE分组（帧）格式,,PPPoE协议封装在以太帧中（以太帧的载荷）,字节,,,,,,目的MAC地址,源MAC地址,类型,有效载荷（PPPoE分组）,FCS,6 6 2 变长 4,PPPoE封装在以太帧中,,,,,,版本,代码,类型,有效载荷,会话标识,比特,0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7,,长度,,,PPPoE分组格式,,固定值,不同阶段的分组类型,PPPoE 载荷长度,标识一个特定的PPPoE会话,发现阶段：为空会话阶段：PPP帧,接入网技术,PPPoE协议操作（运行）的两个阶段,,两个阶段：PPPoE发现与PPP会话发现阶段主机广播一个PPPoE有效发现启动分组，寻找合适的PPPoE服务器可能有多个服务器收到该消息，满足要求的服务器发送有效发现提供分组应答，否则不发应答主机选择一个合适的接入服务器，发有效发现请求分组接入服务器为主机分配唯一的会话标识。

发现过程结束,,,,,,主机,PPPoE接入服务器,① 广播PADI,② 单播PADO,③ 单播PADR,④ 单播PADS,接入网技术,PPPoE协议操作（运行）的两个阶段,PPP会话阶段发现结束后，主机和PPPoE接入服务器建立点到点隧道，进入会话阶段PPP帧封装在PPPoE帧中而PPPoE帧封装在Ethernet帧中，通过以太网或其它接入网承载或运送,接入网技术,12.3 接入认证/控制协议,,口令认证协议 PAP质询认证协议 CHAP可扩展的认证协议 EAP基于端口的接入认证与控制协议 802.1X,接入网技术,口令认证协议PAP,,PAP（由RFC 1334描述）Password Authentication Protocol 口令认证协议PAP认证过程被认证方向认证方发认证请求信息（明文）　请求信息含“用户名、口令”　认证方向被认证方发认证应答信息（明文）　　Auth-Ack or Auth-Nak,,认证请求（Auth-Request）,,,认证成功/失败（Auth-Ack / Auth-Nak）,,,A（被认证方）,B（认证方）,PAP认证的问题　明文传输认证信息容易被窃取，存在安全隐患,接入网技术,质询认证协议 CHAP,,CHAPChallenge Authentication Protocol质询认证协议由RFC 1994描述CHAP认证的特点认证信息采用密文传送采用共享密钥与PAP相比安全性更高认证所花时间更长,接入网技术,质询认证协议 CHAP,,,CHAP认证的交互过程,2) 响应（Response） （密文）,,,1) 质询（Challenge）(明文）,,,A（被认证方）,B（认证方）,3) 认证成功/失败（Auth-Ack / Auth-Nak）,,接入网技术,可扩展认证协议 EAP,,EAP的含义Extensible Authentication Protocol可扩展的认证协议由RFC 2284描述并非一个具体的认证协议是一个认证协议的封装协议定义了一种封装的框架、格式具体的认证协议和认证信息封装在EAP分组中，如 PAP over EAP、CHAP over EAP etc.迄今EAP支持的认证协议达42种,接入网技术,用户接入控制协议 802.1X,概念　IEEE802.1X 基于端口的接入控制协议目前使用标准版本: IEEE Std 802.1X-2001一个专用于802网络用户接入认证与控制的协议接入要求LAN用户以点到点方式接入到LAN的端口上端口可以是物理端口（如以太网交换机端口）端口也可以是逻辑端口（如WLAN中的AP端口）功能为LAN用户提供接入认证及授权的服务功能,接入网技术,802.1X协议模型的三种实体,客户系统（Supplicant System）运行802.1X客户软件的用户终端系统认证系统（Authenticator System）为802.1X客户系统（即LAN用户）提供授权的接入服务，通常为支持802.1X协议的网络接入设备认证服务器系统（Authentication Server System）为认证系统提供认证服务,接入网技术,802.1X的协议运行模型,,PAE: Port Access Entity: 端口接入实体,客户系统,认证系统,认证服务器系统,客户 PAE,提供授权 的服务,认证PAE,,,,,,受控端口,认 证 服务器,,,,LAN,,,,,不受控 端口,运行802.1X客户 软件的用户终端,支持802.1X的网络 接入设备为801.1x客户提供 授权的接入服务,为认证系统 提供认证服务,802.1X的不受控/受控端口,不受控端口传输认证信息始终连通受控端口传输用户业务数据受控方式：双向受控或仅输入受控端口默认状态为未授权状态，即断开状态双向受控：端口此时禁止收、发业务数据仅输入受控：端口此时只能发送数据通过认证后，处于授权状态，即接通状态,受控端口,不受控 端口,接入网技术,802.1X协议运行,协议运行实体客户PAE、认证PAE、认证服务器认证协议封装类型客户PAE与认证PAE之间：EAPOL(EAP Over Ethernet）认证PAE与认证服务器之间：EAP认证的发起者客户PAE或认证PAE,接入网技术,802.1X的认证与接入过程,1)客户PAE将认证信息由EAPOL封装，并通过认证系统的不受控端口传输到认证PAE2)认证PAE将认证信息由EAP封装传输到认证服务器3)认证服务器验证用户认证信息，并将认证结果返回到认证PAE（成功或失败）4)认证PAE将认证结果反馈给客户PAE认证成功：受控端口设为授权状态，向用户提供接入服务认证失败：受控端口继续断开，拒绝向用户提供接入服务,接入网技术,通过以太网交换机接入的交换式以太网每台主机以点到点方式接入到交换机每个端口接入点为交换机的物理端口通过AP接入的无线局域网每台无线主机以点到点方式 接入AP的同一无线端口控制端口为逻辑端口不同的逻辑端口可由 MAC地址区分,注：PC中安装客户PAE 交换机或AP中安装认证PAE,,,802.1X协议的应用,接入网技术,,概念RADIUS的含义协议的发展协议的功能协议模型协议运行报文格式和类型（自学）RADIUS代理协议应用,12.4 接入管理协议,接入网技术,RADIUS 的含义 Remote Authentication Dial In User Service 远程认证拨号用户服务　　　　　　　　　　　　协议标准：RFC2865，RFC2866扩展版本：RFC2867，RFC2868 等协议发展与应用范围最初仅针对拨号用户，实现AAA的管理功能现已发展成一种通用的、广泛使用的实现AAA功能的协议适用于各种方式接入的用户的集中管理协议的功能对接入用户提供认证、授权和记帐功能支持对漫游用户的接入管理,用户接入管理协议– RADIUS,接入网技术,,协议模型,LAN,,用户,NAS,RADIUS server,,,,接入 client,。