DTL110020802.1X&Radius原理,ISSUE1.0,Page2.学完这门课,你会:掌握802.1X掌握协议原理RADIUS协议知识,目标,Page3,,,,,第1章802.1x第二章工作原理EAP和EAPOL第3章802.1x协议运行过程第4章RADIUS协议原则第五章RADIUS故障处理,内容介绍,Page4.为什么需要802?.1X?,,,,,,,,Internet,提供所有服务,只要有物理连接,PCA,PCB,PCC,,,太容易访问网络资源的路由器、数据服务器,Page5,802.1X的作用?,,,,,,,,Internet,未经验证,不提供服务,PCA,PCB,PCC,,,为什么我的网卡不能正常工作,路由器,数据服务器?,,,Page6.系统角色,Page7.受控端口和非受控端口,、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、LAN,,,、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、LAN,Page8、端口控制模式,Page九、工作原理、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、PAE,,,验证系统,PAE,LAN,验证服务器系统、验证服务器、验证系统提供的服务,并在高级协议中承载EAP,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,Page10,,,,,第1章802.1x第二章工作原理EAP和EAPOL第3章802.1x协议运行过程第四章RADIUS协议原则第五章RADIUS故障处理,内容介绍,Page11,EAP报文格式,Page12验证的信息,Page13.没有成功和无效的报纸Type和Type-Data字段,Page14,EAPOL报文格式,Version,Type,PacketBodyLength,PacketBody...,EAP该字段包装了报文,Page15,EAPOL报文类型,Page16,EAPOL报文二层报文头,Page17,,,,,第1章802.1x第二章工作原理EAP和EAPOL第3章802.1x协议运行过程第四章RADIUS协议原则第五章RADIUS故障处理,内容介绍,Page发起认证,Page19,EAP交换过程举例,,,请求者,验证者,验证服务器,,EAPOL开始报文,EAP请求报文,EAP回应报文,使用RADIUS承载EAP,,RADIUS接受报文,EAP成功报文,Page20、注销机制,Page,,,,,.1x工作原理第2章EAP和EAPOL第3章802.1x协议运行过程第四章RADIUS协议原则第五章RADIUS故障处理,内容介绍,Page22,RADIUS网络结构的设计,Lsw2,Lsw2.城市网/光纤,Lsw2,Lsw2,BAS,IPOX/PPPOX/Wlan等,Page23,RADIUS在这个模型中,原理,客户端/服务器模式,NAS/BAS与用户相比,服务器是服务器端RADIUS服务器是客户端,其功能是提取用户认证信息并封装为标准RADIUS并发送报文RADIUS服务器处理。RADIUS服务器根据NAS/BAS验证服务器发送的用户名和密码,同时授权用户的访问权限NAS/BAS统计用户使用网络的信息(时间和流量)RADIUS计费处理。,Page24,RADIUS报文流程(完整PAP),Page25,RADIUS报文流程(CHAP),Page26,RADIUS报文流程(RADIUS),Page27,RADIUS协议栈结构,RADIUS,Page28,RADIUS报文结构,Page29,RADIUS报文说明,Code,8bit,用以标识RADIUS报文的类型Identifier,8bit,匹配请求包和响应包Length,16bit,识别报纸长度Authenticator,32bit,验证报纸的合法性Attribute,不定长,TLV格式,属性的具体内容,Page30,常用RADIUS报文介绍,Code1Access-request认证请求2Access-accept认证通过3Access-reject认证拒绝4Accounting-request计费请求5Accounting-response计费响应11Access-challenge挑战请求,Page31、常用属性介绍,Page32,介绍其他属性,本页属性MA5200R以007版为例介绍了007版本RADIUS所有属性,不同的产品属性定义可能不同,请参考每个产品的定义!,Page33,RADIUS 1.0/1.1协议,RADIUS 1.0/1.协议报文格式和报文类型相同RADIUS协议是一样的,但对报文属性的定义和支持是不同的,比如connect_id具体格式的定义请参考各种产品RADIUS属性说明文档!,Page34,ExtendedRADIUSPractices,6AccountingStatus7PasswordRequest8PasswordAck9PasswordReject10AccountingMessage21ResourceFreeRequest22ResourceFreeResponse23ResourceQueryRequest24ResourceQueryResponse25AlternateResourceReclaimRequest26NASRebootRequest27NASRebootResponse,29NextPasscode30NewPin31TerminateSession32PasswordExpired33EventRequest34EventResponse40DisconnectRequest41DisconnectAck42DisconnectNak43ChangeFiltersRequest44ChangeFiltersAck45ChangeFiltersNak50IPAddressAllocate51IPAddressRelease,这是对报报文类型的扩展定义MA5200里支持40-45,参考RFC2882,Page35,DynamicAuthorizationExtensionstoRADIUS,DM=DisconnectMessage,,,,,Code=41(42),Code=40,Bas,Radius,COA=Change-of-AuthorizationMessages,,,,,Code=44(45),Code=43,Bas,Radius,Radius通过此属性切断指定用户,Radius动态修改指定用户的权限,Page36,,,,,第1章802.1x第二章工作原理EAP和EAPOL第3章820.1x协议运行过程第4章RADIUS协议原则第五章RADIUS故障处理,内容介绍,Page实际报文分析,Page,RADIUS常见故障(一),RADIUS报告无响应:设备发布code=1/4的报文,没有收到这些报纸的回应,RADIUS地址错误,密钥不正确,端口不一致,协议类型不一致,属性不识别,响应加班,请求或响应报告丢失,路由无法到达,RADIUS对应的未配置NAS-IP,或在报文中IP地址不一致,Page39,RADIUS常见故障(二),RADIUS认证失败,收到code=3拒绝报文,[RADIUSDebug]Receive:IP=[218.106.145.163],Code=[3],Length=[112](T=1670014(s):13)[18Reply-Message][44][Errorcode30:Youhavenotimeusenetwork],RADIUS拒绝时,一般会在18号属性中带回明确的拒绝原因,如果有时没有带回明确的原因,如:authenticationfailwithunknownreasons,则需要联系RADIUS配合检查。,Page40,RADIUS常见故障(三),RADIUS属性不识别,RADIUS已经响应CODE=但是我们不识别这个属性,[RADIUSDebug]Receiverawpacketis:(T=1665482(s):42)02990050b8ab427daa805be0aff915707bf099af1c06000007081a0c000007db0106002000001a0c000007db0206002000001a02000007db0406002000001a0c000007db0506002000000806fffffffe,Page41,RADIUS常见故障理(4),RADIUS下发属性不生效,两端定义格式不一致,RADIUS未下发,Page42,RADIUS常见故障(5),RADIUS出现up/down告警,根本原因是RADIUS报文没有回应,RADIUS地址错误,密钥不正确,端口不一致,协议类型不一致,属性不识别,超时响应,请求或响应报告丢失,路由无法到达,RADIUS对应的未配置NAS-IP,或在报文中IP地址不一致,Page43,RADIUS解决问题的想法,确认配置(RADIUS无响应)和正常的网络检查配置,PING测试路由网络是否正常分析报文RADIUS流程分析调试信息,是否有异常协调RADIUS一般RADIUS所有的问题都需要协调RADIUS配合检查,除非问题的原因可以从调试信息中定位。必要时,对于一些问题,如RADIUSUP/DOWN等待,需要知道报纸在网上传输的时间,此时只能通过抓包来确认;
开始阅读全文