文档介绍:第12天安全认证计费技术
Radius报文格式
封装在UDP数据域的RADIUS报文:
code
id
length
Authenticator
TLV
TLV
TLV
……
Type
Len
Value
以是一个就像VLAN一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道)
。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,(Extensible Authentication Protocol over LAN)通过。
认证者(交换机)
恳请者
EAPOL
EAPOL
Extensible Authentication
Protocol over LAN
认证服务器
Controlled
Un-Controlled
非受控端口主要是用来连接认证服务器,以便保证服务器与交换机的正常通讯
连接在受控端口的用户只有通过认证才能访问网络资源
EAPOL
EAPOL
认证前后端口的状态
,端口的状态决定了客户端是否能接入网络,(unauthorized),在该状态下, 报文和广播报文外不允许任何业务输入、输出通讯。当客户通过认证后,则端口状态切换到授权状态(authorized),允许客户端通过端口进行正常通讯。
基本的认证过程
认证通过前:通道的状态为unauthorized,;
认证通过时:通道的状态切换为authorized,此时从远端认证服务器可以传递来用户的信息,比如VLAN、CAR参数、优先级、用户的访问控制列表等等;
认证通过后:用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等过程。
认证通过后
认证通过之后的保持:
认证端Authenticator可以定时要求Client重新认证,时间可设。重新认证的过程对User是透明的(应该是User不需要重新输入密码)。
下线方式:
物理端口Down;
重新认证不通过或者超时;
客户端发起EAP_Logoff帧;
网管控制导致下线;
PPP帧格式
一个典型的PPP协议的帧格式
Flag
Address
Control
Protocol
Information
protocol域表明协议类型为C227(PPP EAP)时,在PPP数据链路层帧的Information域中封装且仅封装PPP EAP数据包
EAP报文格式
Code域:为一个字节,表示了EAP数据包的类型,EAP的Code的值指定和意义如下:
Code=1————→Request
Code=2 ————→Response
Code=3 ————→Success
Code=4 ————→Failure
Indentifier域:为一个字节,辅助进行request和response的匹配———每一个request都应该有一个response相对应,这样的一个Indentifier域就建立了这样的一个对应关系———相同的Indentifier相匹配。
Length域:为两个字节,表明了EAP数据包的长度,包括Code,Identifier,Length以及Data等各域。超出Length域范围的字节应该视为数据链路层填充(padding),在接收时应该被忽略掉。
Data域:为0个或者多个字节,Data域的格式由Code的值来决定。
Code
Identifier
Length
Data
Request和Response报文
Code域
Identifier域
Length域
Type域
Type Data域
Code
Identifier
Length
Type
Type Data
Success和Failure报文
当Code域为3或者4的时候,这个时候为EAP的Success和Failure报文,报文的格式如上:
当Code域为3的时候是Successs报文,当Code为4的时候是Failure报文。
Identifier域为一个字节,辅助匹配Response应答。Identifier域必须与其正在应答的Response域中的Identifier域相匹