日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

基于802.1x認(rèn)證技術(shù)的應(yīng)用分析( 二 )

云知道


圖2 基于EAP-MD5的802.1x認(rèn)證系統(tǒng)功能實(shí)體協(xié)議棧
點(diǎn)擊查看大圖
圖3 基于EAP-MD5的802.1x認(rèn)證流程
(1)客戶端向接入設(shè)備發(fā)送一個(gè)EAPoL-Start報(bào)文,開(kāi)始802.1x認(rèn)證接入;
(2)接入設(shè)備向客戶端發(fā)送EAP-Request/Identity報(bào)文,要求客戶端將用戶名送上來(lái);
(3)客戶端回應(yīng)一個(gè)EAP-Response/Identity給接入設(shè)備的請(qǐng)求,其中包括用戶名;
(4)接入設(shè)備將EAP-Response/Identity報(bào)文封裝到RADIUS Access-Request報(bào)文中,發(fā)送給認(rèn)證服務(wù)器;
(5)認(rèn)證服務(wù)器產(chǎn)生一個(gè)Challenge,通過(guò)接入設(shè)備將RADIUS Access-Challenge報(bào)文發(fā)送給客戶端,其中包含有EAP-Request/MD5-Challenge;
(6)接入設(shè)備通過(guò)EAP-Request/MD5-Challenge發(fā)送給客戶端,要求客戶端進(jìn)行認(rèn)證;
(7)客戶端收到EAP-Request/MD5-Challenge報(bào)文后,將密碼和Challenge做MD5算法后的Challenged-Pass-Word,在EAP-Response/MD5-Challenge回應(yīng)給接入設(shè)備;
(8)接入設(shè)備將Challenge,Challenged Password和用戶名一起送到RADIUS服務(wù)器,由RADIUS服務(wù)器進(jìn)行認(rèn)證:
(9)RADIUS服務(wù)器根據(jù)用戶信息,做MD5算法,判定用戶是否合法,然后回應(yīng)認(rèn)證成功/失敗報(bào)文到接入設(shè)備 。假如成功,攜帶協(xié)商參數(shù),以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán) 。假如認(rèn)證失敗,則流程到此結(jié)束;
(10)假如認(rèn)證通過(guò),用戶通過(guò)標(biāo)準(zhǔn)的DHCP協(xié)議(可以是DHCP Relay),通過(guò)接入設(shè)備獲取規(guī)劃的IP地址;
(11)假如認(rèn)證通過(guò),接入設(shè)備發(fā)起計(jì)費(fèi)開(kāi)始請(qǐng)求給RADIUS用戶認(rèn)證服務(wù)器;
(12)RADIUS用戶認(rèn)證服務(wù)器回應(yīng)計(jì)費(fèi)開(kāi)始請(qǐng)求報(bào)文 。用戶上線完畢 。
四、802.1x認(rèn)證組網(wǎng)應(yīng)用
按照不同的組網(wǎng)方式,802.1x認(rèn)證可以采用集中式組網(wǎng)(匯聚層設(shè)備集中認(rèn)證)、分布式組網(wǎng)(接入層設(shè)備分布認(rèn)證)和本地認(rèn)證組網(wǎng) 。不同的組網(wǎng)方式下,802.1x認(rèn)證系統(tǒng)實(shí)現(xiàn)的網(wǎng)絡(luò)位置有所不同 。
1.802.1x集中式組網(wǎng)(匯聚層設(shè)備集中認(rèn)證)
802.1x集中式組網(wǎng)方式是將802.1x認(rèn)證系統(tǒng)端放到網(wǎng)絡(luò)位置較高的LAN Switch設(shè)備上,這些LAN Switch為匯聚層設(shè)備 。其下掛的網(wǎng)絡(luò)位置較低的LAN Switch只將認(rèn)證報(bào)文透?jìng)鹘o作為802.lx認(rèn)證系統(tǒng)端的網(wǎng)絡(luò)位置較高的LAN Switch設(shè)備,集中在該設(shè)備上進(jìn)行802.1x認(rèn)證處理 。這種組網(wǎng)方式的優(yōu)點(diǎn)在于802.1x采用集中治理方式,降低了治理和維護(hù)成本 。匯聚層設(shè)備集中認(rèn)證如圖4所示 。


圖4 802.1x集中式組網(wǎng)(匯聚層設(shè)備集中認(rèn)證)
2.802.1x分布式組網(wǎng)(接入層設(shè)備分布認(rèn)證)
802.1x分布式組網(wǎng)是把802.lx認(rèn)證系統(tǒng)端放在網(wǎng)絡(luò)位置較低的多個(gè)LAN Switch設(shè)備上,這些LAN Switch作為接入層邊緣設(shè)備 。認(rèn)證報(bào)文送給邊緣設(shè)備,進(jìn)行802.1x認(rèn)證處理 。這種組網(wǎng)方式的優(yōu)點(diǎn)在于,它采用中/高端設(shè)備與低端設(shè)備認(rèn)證相結(jié)合的方式,可滿足復(fù)雜網(wǎng)絡(luò)環(huán)境的認(rèn)證 。認(rèn)證任務(wù)分配到眾多的設(shè)備上,減輕了中心設(shè)備的負(fù)荷 。接入層設(shè)備分布認(rèn)證如圖5所示 。
圖5 802.1x分布式組網(wǎng)(接入層設(shè)備分布認(rèn)證)
802.lx分布式組網(wǎng)方式非常適用于受控組播等特性的應(yīng)用,建議采用分布式組網(wǎng)對(duì)受控組播業(yè)務(wù)進(jìn)行認(rèn)證 。假如采用集中式組網(wǎng)將受控組播認(rèn)證設(shè)備端放在匯聚設(shè)備上,從組播服務(wù)器下行的流在到達(dá)匯聚設(shè)備之后,由于認(rèn)證系統(tǒng)還下掛接入層設(shè)備,將無(wú)法區(qū)分最終用戶,若打開(kāi)該受控端口,則匯聚層端口以下的所有用戶都能夠訪問(wèn)到受控組播消息源 。反之,假如采用分布式組網(wǎng),則從組播服務(wù)器來(lái)的組播流到達(dá)接入層認(rèn)證系統(tǒng),可以實(shí)現(xiàn)組播成員的精確粒度控制 。
3.802.1x本地認(rèn)證組網(wǎng)
802.1x的AAA認(rèn)證可以在本地進(jìn)行,而不用到遠(yuǎn)端認(rèn)證服務(wù)器上去認(rèn)證 。這種本地認(rèn)證的組網(wǎng)方式在專線用戶或小規(guī)模應(yīng)用環(huán)境中非常適用 。它的優(yōu)點(diǎn)在于節(jié)約成本,不需要單獨(dú)購(gòu)置昂貴的服務(wù)器,但隨著用戶數(shù)目的增加,還需要由本地認(rèn)證向RADIUS認(rèn)證遷移 。

推薦閱讀