本文详细介绍了华为H3C交换机配合Radius认证的方案,包括认证体系结构、客户端认证过程、认证设备和服务器的选择。客户端通过802.1x协议与交换机交互,认证服务器通过Radius协议处理认证请求。文中还对比了EAP中继方式和EAP终结方式的优缺点,强调了认证设备在选择认证方式时的考虑因素。
最近做的一个嵌入式Radius认证方案,分上中下,上:认证方案,中:嵌入式客户端代码 下:交换机和Radius配置
技术交流:1532709892@qq.com
(一)Radius认证方案说明:
当交换机设置成需要认证模式,交换机只允许认证协议包通过交换机,其他网络数据包不允许通过,直到认证通过,交换机开放端口。
Radius认证方案是一个由客户端,设备和服务器三个实体组成的解决方案。客户端负责与交换机通信(通过802.1x协议),发送认证请求和数据包;交换机将客户端上送的用户名和密码通过加密转送给服务器;服务器存储认证用户名和密码,并对交换机通过CHAP/EAP协议送过来的用户名和密码进行验证,返回认证结果;如果通过认证,交换机开放端口,网络数据包可以通过交换机。
3.1 Radius认证体系结构
802.1X系统为典型的Client/Server结构,如图 1 所示,包括三个实体:客户端(Client)、设备端(Device)和认证服务器(Server)。
图 1 802.1X认证体系结构
客户端 是位于局域网段一端的一个实体,由该链路另一端的设备端对其进行认证。客户端一般
为一个用户终端设备,用户可以通过启动客户端软件发起802.1X 认证。客户端必须支持
EAPOL(Extensible Authentication Protocol over LAN,局域网上的可扩展认证协议)。(NCU监控在该体系架构中属于Client的角色,如果监控需要支持Radius认证功能,需要做的工作就是移植或者开发一个802.1X客户端)。
设备端 是位于局域网段一端的另一个实体,对所连接的客户端进行认证。设备端通常为支持
802.1X 协议的网络设备,它为客户端提供接入局域网的端口,该端口可以是物理端口,也可
以是逻辑端口。(设备端一般为交换机,目前华为与思科等厂家的交换机基本上支持Radius认证功能,除少部分较老型号的产品)。
认证服务器 是为设备端提供认证服务的实体。认证服务器用于实现对用户进行认证、授权和计
费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)
服务器。(认证服务器一种是纯软件,部署在虚拟机下,例如FreeRadius等开源软件;一种是硬件加软件成套设备)。
3.2认证客户端
客户端为一个802.1x客户端,通过802.1x协议与交换机交互,客户端主动向交换机发送认证请求,交换机接受到请求后向客户端请求相关的认证协议包。
3.2.1 客户端对802.1x协议支持
802.1X协议是一种基于端口的网络接入控制协议(port based network access control protocol)。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
有协议就有报文,802.1X对应的数据包是EAP(Extensible Authentication Protocol)和EAPOL(Extensible Authentication Protocol over LAN),EAPOL是对EAP的封装(报文可以看出来)使其能够在局域网中以广播包或组播包的形式传输。通过EAP数据包再与远端的RADIUS(用户远程拨号接入服务系统)服务器进行认证,设备端与认证服务器之间交互信息采用的是radius数据包。
最低0.47元/天 解锁文章
扫一扫
633
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
