背 景

办公网承载着企业内部众多要害营业系统，若是终端毗连到网络中便可直接会见办公网络资源，会带来网络被攻击的危害，企业内部资料有可能被具有不法意图的攻击者窃取。怎样包管用户接入网络的合规与正当性，早已成为业界关注的焦点。网络接入认证手艺就是在这样的配景下爆发的。

 

多种网络接入认证方法

接入认证的方法有许多种，在园区网中常见的有以下四种：

1、802.1X（Port-Based Network Access Control）认证：

• 是一个基于端口的网络存取控制标准，为LAN提供点对点式的清静接入；

• 802.1X的最终目的就是确认一个物理端口或Wi-Fi毗连是否可用，若是认证乐成绩允许使用该物理端口或Wi-Fi毗连。

2、Portal认证：

• 也称Web认证，是一种对用户会见网络的权限举行控制的认证要领；

• 当用户需要会见认证效劳器以外的其它网络资源时，就必需通过浏览器在Portal效劳器上举行身份认证，只有认证通事后才可以会见相关网络资源。

3、PPPoE（Point-to-Point Protocol Over Ethernet）认证：

• 从窄带手艺演化而来，PPP最早就是专门为电话线上网而设计的，当宽带普及后，为了兼容以前的电话线用户习惯，故在宽带网络中继续了PPP手艺；

• 当客户端要通过PPPoE上网时，它必需首先举行发明阶段以识别对端的以太网MAC地点，并建设一个PPPoE ID，这样才华乐成建设一个会话，从而会见网络资源。

4、IPoE认证：

• 又称DHCP+认证，使用DHCP配合其他手艺实现认证，如DHCP+OPTION扩展字段举行认证；

• IPoE认证基于上网用户的物理位置（唯一的VLAN ID/PVC ID）对用户举行认证和计费，用户上网时无需输入用户名和密码。

在企业办公网场景中最常用到的就是802.1X认证和Portal认证。本文将对802.1X认证手艺和Portal认证手艺举行详细解说。

 

 

802.1X认证手艺详解

 

802.1X认证系统组成

如图1所示，802.1X认证系统由恳请者、认证者、认证效劳器三个角色组成。在现实应用中，三者划分对应为：客户端（Client）、网络接入控制装备(Network Access Server，NAS)、RADIUS Server。

 

▲图1：802.1X认证系统组成

 

• 恳请者

恳请者是客户端所饰演的角色；
它请求对网络的会见，并对认证者的请求报文举行应答；
恳请者必需运行切合802.1X客户端标准的软件（现在各操作系统均已集成支持）。

• 认证者

认证者在客户端与认证效劳器之间，一样平常是交流机、AP等接入装备；

认证者装备也称为NAS，它要认真把从客户端收到的认证信息封装成RADIUS名堂的报文并转发给RADIUS Server，同时要把从RADIUS Server收到的信息举行剖析后转发给客户端；

认证者装备有两种类型的端口：受控端口（Controlled Port）和非受控端口（Uncontrolled Port）：

• 毗连在受控端口的用户只有通过认证才华会见网络资源；

• 毗连在非受控端口的用户无须经由认证便可以直接会见网络资源。非受控端口主要是用来毗连认证效劳器，以便包管效劳器与装备的正常通讯。

• 认证效劳器

认证效劳器通常为RADIUS效劳器，和认证者配合完成认证；

认证效劳器生涯了用户名和密码，以及响应的授权信息；

一台效劳器可以对多台认证者提招供证效劳，这样就可以实现对用户的集中治理。

 

802.1X认证状态机

认证通过前（非授权状态）

 

▲图2：认证通过前的端口状态

 

如图2，端口未认证，受控端口开路，只允许EAPOL（Extensible Authentication Protocol over LAN）报文和广播报文（DHCP,ARP）通过端口，不允许其它营业流通过。

• 认证通事后（授权状态）

 

▲图3：认证通事后的端口状态

如图3，认证通事后，受控端口闭合，用户的营业流可以顺遂通过。

• 认证状态的坚持

认证者可以准时要求客户端重新认证，时间可设置，重新认证的历程对用户是无感知的，即用户不需要重新输入密码。

• 下线方法

1)   物理端口Down——拔插网线、关机、断开Wi-Fi等；

2)   重新认证欠亨过或超时；

3)   用户自动下线；

4)   网管强制下线。

 

802.1X认证基础协议

 

▲图4：装备间的报文交互

 

如图4，客户端和认证者之间用EAPoL名堂封装EAP协议传送认证信息；认证者与认证效劳器之间通过RADIUS协议传送信息。

• EAPoL协议

802.1x协议界说了一种报文封装名堂，这种报文称为EAPoL（EAP over LANs局域网上的扩展认证协议）报文，主要用于在客户端和认证系统之间传送EAP协议报文，以允许EAP协议报文在LAN上传送。

 

▲图5：EAPoL报文名堂

EAPoL报文名堂如图5，下面将对报文各字段举行诠释：

● PAE（Port Access Entity）Ethernet Type：2字节，体现协议类型，为0x888E；

● Protocol Version：1字节，体现EAPOL帧的发送方所支持的协议版本号；

● Type：1字节，体现EAPoL数据帧类型，详细类型如图6所示；

 

▲图6：EAPoL数据帧类型

 

● Length：2字节，体现数据长度，也就是“Packet Body”字段的长度，单位为字节。若是为0，则体现没有后面的数据域；

• EAPoL-Start和EAPoL-Logoff报文的Length值都为0

● Packet Body：体现数据内容，凭证差别的Type有差别的名堂。

• EAP协议

当EAPoL数据帧名堂Type域为EAP-Packet时，Packet Body为EAP数据报文。

 

▲图7：EAP报文名堂

 

EAP报文名堂如图7，下面将对报文各字段举行诠释：

●Code：一个字节，指明EAP包的类型，共有4种，界说如下：

1--------Request

2--------Response

3--------Success

4--------Failure

由于该字段值只界说了1到4，若是EAP报文的该字段为其它值，则应被认证者和客户端扬弃；

● Identifier：一个字节，用于应答报文和请求报文之间举行匹配；

● Length：两个字节，EAP包的长度，包括Code、Identifier、Length和Data域，单位为字节；

● Data：EAP数据包内容，长度为零个或多个字节，由Code类型决议。Request和Response类型报文的Data域名堂如图8所示：

 

▲图8：Request/Response Data域名堂

 

Type：1个字节，标识EAP的认证类型，Type字段现在界说的值及其简要说明如下：

• Type＝1 ----Identifier（用来询问对端的身份）

• Type＝2 ----Notification（非必需的一个新闻，传送一些忠言新闻，好比提醒密码将要超期、OTP的顺序号码靠近零以及认证失败的忠言等）

• Type＝3 ----Nak (Response Only)（Request报文中的认证类型不可接受时回复该类型的报文）

• Type＝4 ----MD5-Challenge（类似于CHAP中的MD5-Challenge，使用MD5算法）

• Type＝5 ----One-Time Password (OTP，一种密码交互的方法）

• Type＝6 ----Generic Token Card（通用令牌卡类型，适用于种种需要用户输入信息的令牌卡的实现）

• Type＝254 ----Expanded Types（供厂商支持自己的扩展类型）

Type＝255 ----Experimental use（在实验新的类型时使用）

Type Data：该字段的内容由Type字段的值决议。

• RADIUS协议

RADIUS是AAA(Authentication、Authorization、Accounting)协议的一个实现，RADIUS协议划定了NAS与RADIUS效劳器之间怎样转达用户信息和记账信息，RADIUS效劳器认真吸收用户的毗连请求，完成验证，并把转达效劳给用户所需的设置信息返回给NAS。

 

▲图9：RADIUS报文名堂

RADIUS报文名堂如图9，下面将对报文各字段举行诠释：

● Code：代指数据包的编号，标识了该数据包是什么类型的，若是是未知类型的数据包就会被默认扬弃，现在大致有以下几种常用编号：

1----Access-Request（接入请求，认证用）

2----Access-Accept （赞成接入，认证用）

3----Access-Reject （拒绝接入，认证用）

4----Accounting-Request（计费请求，计用度）

5----Accounting-Response （计费响应，计用度）

11----Access-Challenge （接入挑战，认证用）

● Identifier：RADIUS报文标识；

● Length：RADIUS报文长度；

● Authenticator：用于RADIUS Client 和Server之间新闻认证的有用性，和密码隐藏算法。

• 在Access-Request数据包中，Authenticator的值是16字节随机数，被称为请求认证器，认证字的值要不可被展望并且在一个共享密钥的生命期内唯一；

• 在Access-Accept、Access-Reject和Access-Challenge数据包中的Authenticator被称为响应认证器，值界说为MD5(Code + ID + Length + RequestAuth + Attributes + Secret)。

● Attributes：存储用户的信息，如用户名，IP地点等。

 

802.1X认证流程详解

802.1X认证历程如图10：

 

▲图10：802.1X认证历程

 

1. 当用户会见网络时翻开（Windows自带客户端可自动翻开）802.1x客户端程序，凭证提醒输入已经在RADIUS效劳器中建设的用户名和密码，提倡毗连请求，此时，客户端程序将向装备端发出认证请求。‥APoL-Start），启动认证历程；

2. NAS收到该报文后，发送一个EAP-Request报文响应客户端的认证请求，要求用户提供用户名信息；

3. 客户端收到EAP-Request之后响应一个EAP-Response报文，将用户名封装在EAP报文中发给NAS；

4. NAS将客户端送来的EAP-Request报文与自己的装备IP、端口等相关信息一起封装在RADIUS Access-Request报文中发给认证效劳；

5. 认证效劳器收到RADIUS Access-Request报文后举行验证，若是该用户的相关信息有用，则对该用户提倡一次认证挑战（RADIUS Access-Challenge），要求用户提供密码；

6. NAS收到这条RADIUS Access-Challenge报文后，将挑战请求用EAP-Challenge Request转发给客户端；

7. 客户端接到挑战请求后，将用户密码举行MD5加密处置惩罚，并封装在EAP-Challenge Response中返回给NAS；

8. NAS将用户的EAP-Challenge Response封装为RADIUS Access-Request报文转发给认证效劳器；

9. 认证效劳器对用户的密码举行验证，若是验证失败，效劳器将返回一条RADIUS Access-Reject报文，拒绝用户的认证请求；若是验证通过，则发送一条RADIUS Access-Accept报文给交流机；

10. NAS在接到认证效劳器发来的RADIUS Access-Accept之后，扫除对客户端的会见控制，同时发送一条EAP-Success报文给客户端通知其认证已经乐成；

11. NAS向认证效劳器发送一条RADIUS Accounting-Request（Start）报文，申请对该用户举行记账；

12. 认证效劳器接到请求后最先记账，并向NAS返回一条RADIUS Accounting-Response报文，见告记账操作已经最先；

13. 用户下线时，客户端向NAS发送一条EAPoL-Logoff报文，申请下线；

14. NAS向认证效劳器发送RADIUS Accounting-Request（Stop）请求，申请对该用户阻止记账；

15. 认证效劳器收到请求后阻止记账，同时响应一条RADIUS Accounting-Response报文；

16. NAS发送一条EAPoL Failure新闻给客户端提醒下线乐成，并翻开对该用户的会见控制。

 

 

Portal认证手艺详解

Portal认证，以其轻量、易安排等特点，受到许多企业用户的接待。Portal认证营业可以为治理者提供利便的治理功效，如要求所有用户在门户网站举行认证，门户网站可以开展企业个性化信息推广营业等，为信息撒播提供一个优异的载体。

 

Portal认证系统组成

 

▲图11：Portal认证系统

 

• Client

认证客户端，通常是一个浏览器，运行HTTP协议，用户通过浏览器上网时浏览器将发出HTTP请求。

• NAS

在网络拓扑中一样平常是接入层装备，和用户终端装备直接相连；
在NAS上需要启动Portal认证功效，NAS吸收Portal Server发过来的用户认证信息，并向RADIUS Server提倡认证请求，凭证认证效果设置用户是否可以上网，同时向Portal Server反响认证效果。

• Portal 效劳器

提供Portal认证页面，和NAS交互认证客户端的认证信息；
Portal 效劳器向客户端推送认证页面，用户在认证页面上填入帐号、密码等信息，提交到Portal效劳器，Portal效劳器提取其中的账号信息，并将此信息发送到NAS，同时凭证NAS反响的认证效果，通过页面反响给用户；
Portal效劳器可分为内置Portal效劳器和外置Portal效劳器两种。

• 通常交流机/AC会内置Portal效劳器。受限于接入装备存储空间、功效和性能，内置Portal效劳器只适合功效简朴、接入人数少的场景；

• 若是需要实现微信接入、短信接入等重大的功效，思量到接入装备性能和认证体验，需要具有自力于接入装备之外的硬件效劳器来承载Portal认证营业。

• RADIUS效劳器

与NAS举行交互，提供基于RADIUS协议的用户认证，从而完成对用户的认证、计费和授权。

 

Portal认证状态机

• 认证通过前

客户端通过手动设置或DHCP获取的一个公网IP举行认证，通过认证前用户的所有HTTP请求都重定向（使用的是HTTP协议中的302报文的特征）到Portal效劳器。

• 认证通事后

接入装备会打起源口，允许用户会见被治理员授权的互联网资源。

• 认证状态的坚持

客户端和Portal 效劳器准时发送心跳报文交互，关于客户端来说，4个心跳报文没有收到回复，就以为自己已经下线，重新提倡认证；关于Portal效劳器，在指定的时间内没有收到心跳报文，就以为用户下线，并通知接入装备将用户下线。但在现实应用中，以PP电子5金狮的交流机（交流机做NAS）为例，若是在一准时间内没有收到流量即以为用户下线。

• 下线方法

1)   物理端口Down——拔插网线、关机、断开Wi-Fi等；

2)   重新认证欠亨过或超时；

3)   用户自动下线；

4)   网管强制下线。

 

Portal认证基础协议

• Portal协议

Portal协议是一种私有协议，承载于TCP上。Portal协议现在有两个版本：Portal v1.0和Portal v2.0，v2.0协议是对原有v1.0协议保存的误差和不对理处举行部分完善：

1.   修改了报文名堂，在AttrNum字段之后增添了16个字节的Authenticator字段；

2.   增添对所有协议报文的校验，包括上线流程、下线流程和盘问流程；

3.   修改了TextInfo属性，使其完全切合TLV【Tag（标签），Length（长度），Value（值）】名堂。

若v1.0与v2.0有冲突的地方，现在均以v2.0版本为准。

 

▲图12：Portal报文名堂

 

Portal报文如图12，下面将对各字段举行诠释：

● Ver：协议的版本号，长度为 1 字节，Ver = 0x01或0x02；

● Type：界说报文的类型，长度为 1 字节；

● Pap/Chap ：Pap/Chap字段界说此用户的认证方法，长度为 1 字节，只对Type值为 0x03 的认证请求报文有意义：

• Chap方法认证－－－值为0x00

• Pap  方法认证－－－值为0x01

● Rsv：Rsv现在为保存字段，长度为 1 字节，在所有报文中值为 0；

● SerialNo：报文的序列号，长度为 2 字节，由PortalServer随机天生，该字段作用主要用于区别同类型但差别认证流程中的报文；

● ReqID：2个字节，由认证装备随机天生，该字段作用主要用于区别同类型但差别认证流程中的报文，该字段关于PAP认证无意义，在Chap认证中，该字段低8位作为Chap_Password 天生历程中MD5函数的输入；

● UserIP：Portal用户的IP地点，长度为 4 字节，其值由PortalServer凭证其获得的IP地点填写，在所有的报文中此字段都要有详细的值；

● UserPort：该字段现在没有用到，长度为 2 字节，在所有报文中其值为0；

● ErrCode：该字段和Type字段一起体现一定的意义，长度为 1字节，各组合意义如下表：

 

▲表1： ErrCode值表
说明：其中type类型为9、10的两个报文其ErrCode的界说为v2.0新增界说。

 

● AttrNum：体现厥后边可变长度的属性字段属性的个数，长度为 1 字节，即最多可携带属性255个属性。

 

Portal认证流程详解

Portal认证流程如下：

 

▲图13：Portal认证流程

 

1. 用户通过标准的DHCP协议获取到妄想的IP地点；

2. 用户翻开IE，会见某个网站，提倡HTTP请求；

3. NAS截获用户的HTTP请求，由于用户没有认证过，就强制到Portal效劳器；

4. Portal效劳器向用户终端推送Web认证页面；

5. 用户在认证页面上填入帐号、密码等信息，提交到Portal效劳器；

6. Portal效劳器将吸收到的用户认证信息发给NAS；

7. NAS向RADIUS效劳器提倡RADIUS认证；

8. RADIUS效劳器凭证用户信息判断用户是否正当,向NAS返回认证效果报文；

9. NAS返回认证效果给Portal效劳器；

10. Portal效劳器凭证认证效果，推送认证效果页面；

11. Portal效劳器回应NAS收到认证效果报文,若是认证失败，则流程到此竣事；

12. 认证若是乐成，NAS提倡计费最先请求给RADIUS效劳器；

13. RADIUS效劳器回应计费最先响应报文，并将响应信息返回给NAS,用户上线完毕，最先上网；

14. 在用户上网历程中，为了；び没Ъ品研畔，每隔一段时间NAS就向RADIUS效劳器发送记账更新报文；

15. RADIUS效劳器回应实时计费确认报文给NAS。

总 结

本文对802.1X 和Portal 认证举行了事情原理和认证流程的详细叙述。简朴的说，802.1X认证的最终目的，就是确定一个端口（物理端口或Wi-Fi毗连）是否能被放通，从而实现对接入实体的管控。关于一个端口，若是认证乐成绩翻开这个端口，并提供网络效劳；若是认证失败就使这个端口坚持关闭，不提供网络效劳。Portal认证的实质着实和802.1X一样，都是基于认证效果判断接口是否可用。相关于802.1X认证来说，Portal更轻量化，无需装置客户端软件，浏览器即可完成认证。同时，由于Portal效劳器和用户浏览器有页面交互，用户可以凭证现实需求对认证页面举行定制，将认证主页建设为企业网内部员工信息宣布平台。

值得注重的是，现在许多认证计划都是基于这两种认证的，好比双因子认证（用户名密码+短信验证码）、无感知认证（802.1X+MAC或Portal+MAC）、证书认证（802.1X+证书或Portal+证书）、OTP认证（802.1X+随机验证码或Portal+随机验证码）等。别的，还能通过认证获得差别的会见权限。我们可以凭证现实需求应用差别的认证计划，关于这些扩展手艺计划的实现方法，我们将会在后续的文章中和各人分享。

 

 

本期作者：李莹
PP电子5金狮网络互联网系统部行业咨询

 

往期精彩回首  

• 【第一期】浅谈物联网手艺之通讯协议的纷争
• 【第二期】怎样通过网络遥测（Network Telemetry）手艺实现细腻化网络运维？
• 【第三期】泛论数据中心网络运维自动化
• 【第四期】基于Rogue AP反制的无线清静手艺探讨
• 【第五期】流量可视化之ERSPAN的宿世今生
• 【第六期】怎样实现数据中心网络架构“去”堆叠
• 【第七期】运维可视化之INT功效详解
• 【第八期】浅析RDMA网络下MMU水线设置
• 【第九期】第七代无线手艺802.11ax详解
• 【第十期】数据中心自动化运维手艺探索之交流机零设置上线
• 【第十一期】 浅谈数据中心100G光？
• 【第十二期】数据中心网络等价多路径（ECMP）手艺应用研究
• 【第十三期】如作甚RDMA构建无损网络
• 【第十四期】基于EVPN的漫衍式VXLAN实现计划
• 【第十五期】数据中心自动化运维手艺探索之NETCONF
• 【第十六期】一文读懂网络界新贵Segment Routing手艺化繁为简的神秘
• 【第十七期】浅谈UWB（超宽带）室内定位手艺
• 【第十八期】PoE以太网供电手艺详解
• 【第十九期】机框式焦点交流机硬件架构演进
• 【第二十期】 IPv6基础篇（上）——地点与报文名堂
• 【第二十一期】IPv6系列基础篇（下）——邻人发明协议NDP
• 【第二十二期】IPv6系列清静篇——SAVI手艺剖析
• 【第二十三期】IPv6系列清静篇——园区网IPv6的接入清静战略
• 【第二十四期】Wi-Fi 6真的很“6”（概述篇）——不但是更高的传输速率
• 【第二十五期】 Wi-Fi 6真的很“6”（手艺篇） ——前方高能，小白慎入
• 【第二十六期】IPv6系列应用篇——数据中心IPv4/IPv6双栈架构探讨
• 【第二十七期】你不可忽视的园区网ARP清静防护

相关推荐：

• 你不可忽视的园区网ARP清静防护