文档介绍:
北京港湾网络产品部
2002年2月
目 录
1
协议的开发背景
在IEEE802LAN所定义的局域网环境中,只
北京港湾网络产品部
2002年2月
目 录
1
协议的开发背景
在IEEE802LAN所定义的局域网环境中,只要存在物理的连接口,未经受权的网络设备就能够接入局域网,或者是未经受权的用户能够通过连接到局域网的设备进入网络。例如:一个能够访咨询公共网络的大厦的办公网,或者是某个组织机构与其他组织连接的网络。在如此的网络环境中,往往不希望未经受权的设备或用户连接到网络,使用网络提供的效劳。
后来,随着局域网技术的广泛应用,特别是在运营网络中的应用,对其平安认证的要求已经提到了议事日程上。如何既能够利用局域网技术简单、廉价的组网特点,同时又能够对用户或设备访咨询网络的合法性提供认证,是目前业界讨论的焦点。。
(Portbasednetworkaccesscontrolprotocol)。基于端口的访咨询操纵(Portbasednetworkaccesscontrol)能够在利用IEEE802LAN的优势根底上提供一种对连接到局域网(LAN)设备或用户进展认证和受权的手段。通过这种方式的认证,能够在LAN这种多点访咨询环境中提供一种点对点的识别用户的方式。这里端口是指连接到LAN的一个单点构造,能够是被认证系统的MAC地址,也能够是效劳器或网络设备连接LAN的物理端口,。
几个名词的定义
:
Supplicant客户端
客户端指LAN所连接的一端的实体(entity),它向认证系统(Authenticator如下)发起恳求,对其身份的合法性进展检验。
Authenticator认证系统
认证系统指在LAN连接的一端用于认证另一端设备的实体(entity)。
2
AuthenticationServer认证效劳器
认证效劳器指为认证系统提供认证效劳的实体。这里认证效劳器所提供的效劳是指通过检验客户端发送来的身份标识,来推断该恳求者是否有权使用认证系统所提供的网络效劳。
留意——认证效劳器与认证系统配合工作,能够集成在一起,也能够分开放
在认证系统通过网络能够远程访咨询的地点。
NetworkAccessPort网络访咨询端口
网络访咨询端口指用户系统连接到LAN的访咨询端口。访咨询端口能够是物理端口,例如连接到用户的网络设备端口;也能够是逻辑端口,例如用户设备的MAC地址。
留意——下文所指的端口均能够是物理端口或用户设备的MAC地址,假如
设备支持全程VLAN,也能够指VLANID。
PortAccessEntity(PAE)端口访咨询实体
指一个端口的相关协议实体。PAE能够支持的功能包括:客户端(Supplicant)完成的功能、认证系统(Authenticator)完成的功能或者两者功能同时具备。
System系统
系统是指通过一个或更多端口连接到LAN的设备,例如:终端、效劳器、交换机或路由器等设备都称为系统。
3
图2—
工作机制
下面将描绘基于端口访咨询操纵的构造框架,以及访咨询操纵功能和设备实体之间的关系:
各组成部分的功能
系统(Systems)、端口(Ports)
连接到LAN的设备()通常与LAN会有一个或多个连接点()。
留意1——一个终端一般通过网卡与LAN有一个连接点(有些终端如效劳
4
器可能会有多个网卡,与网络有多个连接);一个网络设备与网络一般有两个或多个连接点
一个系统的端口与网络连接,该系统就能够通过这个端口获得其他系统的效劳,同时也能够为其他系统提供效劳。基于端口的访咨询操纵能够操纵系统的端口状态,以保证只为受权的用户开放本人的效劳。
留意2——一个系统提供的效劳包括依照MAC地址的转发功能,网络层的路由功能,文件效劳器的功能等。
为了便于描绘基于端口的访咨询操纵过程,一个系统的端口(确切的讲应该是协议实体PAE)能够在整个操纵过程中充当多个