网站首页/网络技术列表/内容

无线局域网的802.1X认证框架中的应用及完成方案

网络技术2023-08-28阅读
网络故障(network failure)是指由于硬件的问题、软件的漏洞、病毒的侵入等引起网络无法提供正常服务或降低服务质量的状态。

1简介

远程身份验证拨入用户服务(RADIUS)最初由Livingston提出,旨在为拨号用户提供身份验证和记帐。经过许多改进,它已逐渐成为一种通用的网络身份验证和计费协议,并在IETF提交的RFC2865和RFC2866文档中进行了定义。 RADIUS协议在客户端/服务器模式下工作。客户端是网络访问服务器(NAS)。它将身份验证和记帐信息提交到RADIUS服务器。 RADIUS服务器处理该信息,并将结果返回给NAS。

RADIUS协议具有广泛的应用范围,并且用于身份验证和计费系统中,以用于移动,数据和智能网络等服务。在无线局域网的80 2. 1X身份验证框架中,还建议在身份验证侧使用RADIUS协议。

本文将讨论RADIUS协议的原理,并讨论其在WLAN中的应用和实现。

2 RADIUS协议

2. 1 WLAN网络模型

在实际的商用无线LAN中,可以使用LAN交换机来实现80 2. 1X身份验证协议中的端口控制功能。为了确保网络的安全性,应在无线LAN的出口和身份验证端添加防火墙。 RADIUS服务器和也可以采用主备结构,以确保网络的健壮性。

网络模型如下所示:

radius协议宽带信息_思科radius协议_radius协议

radius协议宽带信息

图1无线LAN网络模型

无线LAN的身份验证端由RADIUS服务器,网络访问服务器(NAS)和组成。其中:

NAS:作为RADIUS服务器的客户端,它将用户的身份验证信息转发到RADIUS服务器。并且在用户通过身份验证后,它将记帐信息发送到RADIUS服务器。

RADIUS服务器:作为身份验证系统的中央服务器,它连接到NAS和。它接受从NAS提交的信息,对执行相应的操作,并将处理结果返回给NAS。

:用于存储所有用户信息,账单信息和其他信息。用户信息由网络管理员添加到中;记帐信息来自RADIUS服务器;其他信息包括日志信息等。

2. 2 RADIUS数据包结构

RADIUS是应用程序层协议。在传输层中,其消息封装在UDP消息中,然后封装在IP数据包中。 RADIUS身份验证使用端口1812,记帐使用端口1813。

思科radius协议_radius协议_radius协议宽带信息

RADIUS封装在以太网上之后的数据包结构:

radius协议宽带信息

RADIUS数据包分为5部分:

(1)代码:1个字节,用于区分RADIUS数据包的类型:常见类型为:

访问请求,代码= 1;访问接受,代码= 2;访问拒绝,代码= 3;收费请求(AccounTIng-Request),代码= 4等

([2) IdenTIfier:一个字节,用于匹配请求和响应数据包。

(3) Length:两个字节,代表RADIUS数据区域的长度(包括代码,标识符,长度,身份验证器,属性),单位为字节,最小为20,最大为4096。

(4) Authenticator:16个字节,用于验证服务器的响应,还用于加密用户密码。RADIUS服务器和NAS的共享机密以及请求验证码(请求验证码)和响应身份验证器,支持发送和接收消息的完整性和身份验证;此外,用户密码无法在NAS和RADIUS服务器之间以明文形式传输,但通常使用共享机密,并且身份验证代码(Authenticator)通过MD5加密进行加密和隐藏算法。

(5)属性:可变长度,最小可以为0个字节,描述RADIUS协议的属性,例如用户名,密码,IP地址和其他信息都存储在此数据段中。

2. 3 RADIUS身份验证和记帐过程

如图1的网络模型所示:

(1)当申请人登录网络时,NAS上将显示一个客户定义的登录提示,要求申请人输入用户信息(用户名和密码)。在申请人输入相关的身份验证信息后,将等待验证结果。

(2) NAS获取用户信息后,将根据RADIUS报文格式向RADIUS服务器发送“ Access-Request”报文,该报文一般包括以下RADIUS属性值:用户名,用户名密码,访问服务器ID,访问端口ID。

(3)当RADIUS服务器收到“访问请求”数据包时,它首先验证NAS的共享密码是否与RADIUS服务器中的预设一致,以确认它属于RADIUS客户端。报文检查正确后,RADIUS服务器将根据包中的用户名查询用户中的用户记录,如果用户信息不匹配,将向NAS发送“ Access-Reject”包NAS正在接收当拒绝包裹时,用户连接端口的服务请求将立即停止,并迫使用户注销。

(4)如果所有用户信息均匹配,则服务器向NAS发送“访问挑战”包以进一步验证用户的登录请求。包括:用户密码,用户对服务器IP的访问权限,物理NAS收到“访问挑战”数据包后,将向用户显示一条消息,并要求用户进一步确认登录请求,用户再次确认后,RADIUS服务器将对两者进行比较。请求信息并决定如何响应用户(再次发送Access-Accept,Access-Reject或Access-Challenge)。

(5)当所有身份验证条件和握手会话都通过后,RADIUS服务器会将用户配置信息放入“ Access-Accept”数据包中,并将其返回给NAS,NAS会根据配置信息包中定义了用户的特定网络访问功能,包括服务类型:SLIP,PPP,登录用户,Rlogin,成帧,回调等,还包括与服务类型有关的配置信息:IP地址,时间限制等..

(6)完成所有验证和授权后,将打开LAN交换机的控制端口。用户可以通过该交换机进入网络。同时,NAS发送“ Accounting-Request Start”数据包通知RADIUS服务器开始计费。当用户离开网络时,NAS会向RADIUS服务器发送“ Accounting-Request Stop”数据包,然后RADIUS服务器会根据计费包中的信息计算用户的网络使用费。


本文来自本站,转载请注明本文网址:
http://www.pc-fly.com/a/tongxingongju/article-360805-1.html


当今,越来越多的业务应用运行于网络架构之上,保障网络的持续、高效、安全的运行,成为网络管理者面临的巨大挑战。

……

标签:无线局域网的802.1X认证框架中的应用及完成方案
相关阅读