背 景

办公网承载着企业内部多多关键业务系统，若是终端衔接到网络中便可直接接见办公网络资源，会带来网络被攻击的风险，企业内部资料有可能被拥有犯法意图的攻击者窃取。若何保障用户接入网络的合规与合法性，早已成为业界关注的焦点。网络接入认证技术就是在这样的布景下产生的。

 

多种网络接入认证方式

接入认证的方式有好多种，在园区网中常见的有以下四种：

1、802.1X（Port-Based Network Access Control）认证：

• 是一个基于端口的网络存取节造尺度，为LAN提供点对点式的安全接入
；

• 802.1X的最终主张就是确认一个物理端口或Wi-Fi衔接是否可用，若是认证成功就允许使用该物理端口或Wi-Fi衔接。

2、Portal认证：

• 也称Web认证，是一种对用户接见网络的权限进行节造的认证步骤
；

• 当用户必要接见认证服务器以表的其它网络资源时，就必须通过浏览器在Portal服务器上进行身份认证，只有认证通过后能力够接见有关网络资源。

3、PPPoE（Point-to-Point Protocol Over Ethernet）认证：

• 从窄带技术演化而来，PPP最早就是专门为电话线上网而设计的，当宽带遍及后，为了兼容以前的电话线用户习惯，故在宽带网络中继承了PPP技术
；

• 当客户端要通过PPPoE上网时，它必须首先进行发现阶段以鉴别对端的以太网MAC地址，并成立一个PPPoE ID，这样能力成功成立一个会话，从而接见网络资源。

4、IPoE认证：

• 又称DHCP+认证，使用DHCP共同其他技术实现认证，如DHCP+OPTION扩大字段进行认证
；

• IPoE认证基于上网用户的物理地位（唯一的VLAN ID/PVC ID）对用户进行认证和计费，用户上网时无需输入用户名和密码。

在企业办公网场景中最常用到的就是802.1X认证和Portal认证。本文将对802.1X认证技术和Portal认证技术进行具体解说。

 

 

802.1X认证技术详解

 

802.1X认证系统组成

如图1所示，802.1X认证系统由恳请者、认证者、认证服务器三个角色组成。在现实利用中，三者别离对应为：客户端（Client）、网络接入节造设备(Network Access Server，NAS)、RADIUS Server。

 

▲图1：802.1X认证系统组成

 

• 恳请者

恳请者是客户端所表演的角色
；
它要求对网络的接见，并对认证者的要求报文进行应答
；
恳请者必须运行切合802.1X客户端尺度的软件（目前各操作系统均已集成支持）。

• 认证者

认证者在客户端与认证服务器之间，通常是互换机、AP等接入设备
；

认证者设备也称为NAS，它要掌管把从客户端收到的认证信息封装成RADIUS体式的报文并转发给RADIUS Server，同时要把从RADIUS Server收到的信息进行解析后转发给客户端
；

认证者设备有两种类型的端口：受控端口（Controlled Port）和非受控端口（Uncontrolled Port）：

• 衔接在受控端口的用户只有通过认证能力接见网络资源
；

• 衔接在非受控端口的用户毋庸经过认证便能够直接接见网络资源。非受控端口重要是用来衔接认证服务器，以便保障服务器与设备的正常通讯。

• 认证服务器

认证服务器通常为RADIUS服务器，和认证者共同实现认证
；

认证服务器保留了用户名和密码，以及相应的授权信息
；

一台服务器能够对多台认证者提招认证服务，这样就能够实现对用户的集中治理。

 

802.1X认证状态机

认证通过前（非授权状态）

 

▲图2：认证通过前的端口状态

 

如图2，端口未认证，受控端口开路，只允许EAPOL（Extensible Authentication Protocol over LAN）报文和广播报文（DHCP,ARP）通过端口，不允许其它业务流通过。

• 认证通过后（授权状态）

 

▲图3：认证通过后的端口状态

如图3，认证通过后，受控端口关合，用户的业务流能够顺利通过。

• 认证状态的维持

认证者能够按时要求客户端沉新认证，功夫可配置，沉新认证的过程对用户是无感知的，即用户不必要沉新输入密码。

• 下线方式

1)   物理端口Down——拔插网线、关机、断开Wi-Fi等
；

2)   沉新认证不通过或超时
；

3)   用户自动下线
；

4)   网管强造下线。

 

802.1X认证基础和谈

 

▲图4：设备间的报文交互

 

如图4，客户端和认证者之间用EAPoL体式封装EAP和谈传送认证信息
；认证者与认证服务器之间通过RADIUS和谈传送信息。

• EAPoL和谈

802.1x和谈界说了一种报文封装体式，这种报文称为EAPoL（EAP over LANs局域网上的扩大认证和谈）报文，重要用于在客户端和认证系统之间传送EAP和谈报文，以允许EAP和谈报文在LAN上传送。

 

▲图5：EAPoL报文体式

EAPoL报文体式如图5，下面将对报文各字段进行诠释：

● PAE（Port Access Entity）Ethernet Type：2字节，暗示和谈类型，为0x888E
；

● Protocol Version：1字节，暗示EAPOL帧的发送方所支持的和谈版本号
；

● Type：1字节，暗示EAPoL数据帧类型，具体类型如图6所示
；

 

▲图6：EAPoL数据帧类型

 

● Length：2字节，暗示数据长度，也就是“Packet Body”字段的长度，单元为字节。若是为0，则暗示没有后面的数据域
；

• EAPoL-Start和EAPoL-Logoff报文的Length值都为0

● Packet Body：暗示数据内容，凭据分歧的Type有分歧的体式。

• EAP和谈

当EAPoL数据帧体式Type域为EAP-Packet时，Packet Body为EAP数据报文。

 

▲图7：EAP报文体式

 

EAP报文体式如图7，下面将对报文各字段进行诠释：

●Code：一个字节，指明EAP包的类型，共有4种，界说如下：

1--------Request

2--------Response

3--------Success

4--------Failure

由于该字段值只界说了1到4，若是EAP报文的该字段为其它值，则应被认证者和客户端抛弃
；

● Identifier：一个字节，用于应答报文和要求报文之间进行匹配
；

● Length：两个字节，EAP包的长度，蕴含Code、Identifier、Length和Data域，单元为字节
；

● Data：EAP数据包内容，长度为零个或多个字节，由Code类型决定。Request和Response类型报文的Data域体式如图8所示：

 

▲图8：Request/Response Data域体式

 

Type：1个字节，标识EAP的认证类型，Type字段目前界说的值及其简要注明如下：

• Type＝1 ----Identifier（用来询问对端的身份）

• Type＝2 ----Notification（非必须的一个新闻，传送一些忠告新闻，好比提醒密码将要超期、OTP的挨次号码靠近零以及认证失败的忠告等）

• Type＝3 ----Nak (Response Only)（Request报文中的认证类型不成接受时回复该类型的报文）

• Type＝4 ----MD5-Challenge（类似于CHAP中的MD5-Challenge，使用MD5算法）

• Type＝5 ----One-Time Password (OTP，一种密码交互的方式）

• Type＝6 ----Generic Token Card（通用令牌卡类型，合用于各类必要用户输入信息的令牌卡的实现）

• Type＝254 ----Expanded Types（供厂商支持自己的扩大类型）

Type＝255 ----Experimental use（在尝试新的类型时使用）

Type Data：该字段的内容由Type字段的值决定。

• RADIUS和谈

RADIUS是AAA(Authentication、Authorization、Accounting)和谈的一个实现，RADIUS和谈划定了NAS与RADIUS服务器之间若何传递用户信息和记账信息，RADIUS服务器掌管接管用户的衔接要求，实现验证，并把传递服务给用户所需的配相信息返回给NAS。

 

▲图9：RADIUS报文体式

RADIUS报文体式如图9，下面将对报文各字段进行诠释：

● Code：代指数据包的编号，标识了该数据包是什么类型的，若是是未知类型的数据包就会被默认抛弃，目前大体有以下几种常用编号：

1----Access-Request（接入要求，认证用）

2----Access-Accept （赞成接入，认证用）

3----Access-Reject （回绝接入，认证用）

4----Accounting-Request（计费要求，计用度）

5----Accounting-Response （计费响应，计用度）

11----Access-Challenge （接入挑战，认证用）

● Identifier：RADIUS报文标识
；

● Length：RADIUS报文长度
；

● Authenticator：用于RADIUS Client 和Server之间新闻认证的有效性，和密码暗藏算法。

• 在Access-Request数据包中，Authenticator的值是16字节随机数，被称为要求认证器，认证字的值要不能被预测并且在一个共享密钥的性命期内唯一
；

• 在Access-Accept、Access-Reject和Access-Challenge数据包中的Authenticator被称为响应认证器，值界说为MD5(Code + ID + Length + RequestAuth + Attributes + Secret)。

● Attributes：存储用户的信息，如用户名，IP地址等。

 

802.1X认证流程详解

802.1X认证过程如图10：

 

▲图10：802.1X认证过程

 

1. 当用户接见网络时打开（Windows自带客户端可自动打开）802.1x客户端法式，凭据提醒输入已经在RADIUS服务器中创建的用户名和密码，提议衔接要求，此时，客户端法式将向设备端发出认证要求。‥APoL-Start），启动认证过程
；

2. NAS收到该报文后，发送一个EAP-Request报文响应客户端的认证要求，要求用户提供用户名信息
；

3. 客户端收到EAP-Request之后响应一个EAP-Response报文，将用户名封装在EAP报文中发给NAS
；

4. NAS将客户端送来的EAP-Request报文与自己的设备IP、端口等有关信息一路封装在RADIUS Access-Request报文中发给认证服务
；

5. 认证服务器收到RADIUS Access-Request报文后进行验证，若是该用户的有关信息有效，则对该用户提议一次认证挑战（RADIUS Access-Challenge），要求用户提供密码
；

6. NAS收到这条RADIUS Access-Challenge报文后，将挑战要求用EAP-Challenge Request转发给客户端
；

7. 客户端接到挑战要求后，将用户密码进行MD5加密处置，并封装在EAP-Challenge Response中返回给NAS
；

8. NAS将用户的EAP-Challenge Response封装为RADIUS Access-Request报文转发给认证服务器
；

9. 认证服务器对用户的密码进行验证，若是验证失败，服务器将返回一条RADIUS Access-Reject报文，回绝用户的认证要求
；若是验证通过，则发送一条RADIUS Access-Accept报文给互换机
；

10. NAS在接到认证服务器发来的RADIUS Access-Accept之后，解除对客户端的接见节造，同时发送一条EAP-Success报文给客户端通知其认证已经成功
；

11. NAS向认证服务器发送一条RADIUS Accounting-Request（Start）报文，申请对该用户进行记账
；

12. 认证服务器接到要求后起头记账，并向NAS返回一条RADIUS Accounting-Response报文，奉告记账操作已经起头
；

13. 用户下线时，客户端向NAS发送一条EAPoL-Logoff报文，申请下线
；

14. NAS向认证服务器发送RADIUS Accounting-Request（Stop）要求，申请对该用户终场记账
；

15. 认证服务器收到要求后终场记账，同时响应一条RADIUS Accounting-Response报文
；

16. NAS发送一条EAPoL Failure新闻给客户端提醒下线成功，并打开对该用户的接见节造。

 

 

Portal认证技术详解

Portal认证，以其轻量、易部署等特点，受到好多企业用户的欢迎。Portal认证业务可以为治理者提供方便的治理职能，如要求所有效户在门户网站进行认证，门户网站能够发展企业个性化信息推广业务等，为信息传布提供一个优良的载体。

 

Portal认证系统组成

 

▲图11：Portal认证系统

 

• Client

认证客户端，通常是一个浏览器，运行HTTP和谈，用户通过浏览器上网时浏览器将发出HTTP要求。

• NAS

在网络拓扑中通常是接入层设备，和用户终端设备直接相连
；
在NAS上必要启动Portal认证职能，NAS接管Portal Server发过来的用户认证信息，并向RADIUS Server提议认证要求，凭据认证了局设置用户是否能够上网，同时向Portal Server反馈认证了局。

• Portal 服务器

提供Portal认证页面，和NAS交互认证客户端的认证信息
；
Portal 服务器向客户端推送认证页面，用户在认证页面上填入帐号、密码等信息，提交到Portal服务器，Portal服务器提取其中的账号信息，并将此信息发送到NAS，同时凭据NAS反馈的认证了局，通过页面反馈给用户
；
Portal服务器可分为内置Portal服务器和表置Portal服务器两种。

• 通常互换机/AC会内置Portal服务器。受限于接入设备存储空间、职能和机能，内置Portal服务器只适合职能单一、接入人数少的场景
；

• 若是必要实现微信接入、短信接入等复杂的职能，思考到接入设备机能和认证履历，必要拥有独立于接入设备之表的硬件服务器来承载Portal认证业务。

• RADIUS服务器

与NAS进行交互，提供基于RADIUS和谈的用户认证，从而实现对用户的认证、计费和授权。

 

Portal认证状态机

• 认证通过前

客户端通过手动配置或DHCP获取的一个公网IP进行认证，通过认证前用户的所有HTTP要求都沉定向（利用的是HTTP和谈中的302报文的个性）到Portal服务器。

• 认证通过后

接入设备会打初步口，允许用户接见被治理员授权的互联网资源。

• 认证状态的维持

客户端和Portal 服务器按时发送心跳报文交互，对于客户端来说，4个心跳报文没有收到回答，就以为自己已经下线，沉新提议认证
；对于Portal服务器，在指定的功夫内没有收到心跳报文，就以为用户下线，并通知接入设备将用户下线。但在现实利用中，以iSlot官方网站的互换机（互换机做NAS）为例，若是在一按功夫内没有收到流量即以为用户下线。

• 下线方式

1)   物理端口Down——拔插网线、关机、断开Wi-Fi等
；

2)   沉新认证不通过或超时
；

3)   用户自动下线
；

4)   网管强造下线。

 

Portal认证基础和谈

• Portal和谈

Portal和谈是一种私有和谈，承载于TCP上。Portal和谈目前有两个版本：Portal v1.0和Portal v2.0，v2.0和谈是对原有v1.0和谈存在的缝隙和不合理处进行部门美满：

1.   批改了报文体式，在AttrNum字段之后增长了16个字节的Authenticator字段
；

2.   增长对所有和谈报文的校验，蕴含上线流程、下线流程和查问流程
；

3.   批改了TextInfo属性，使其齐全切合TLV【Tag（标签），Length（长度），Value（值）】体式。

若v1.0与v2.0有矛盾的处所，目前均以v2.0版本为准。

 

▲图12：Portal报文体式

 

Portal报文如图12，下面将对各字段进行诠释：

● Ver：和谈的版本号，长度为 1 字节，Ver = 0x01或0x02
；

● Type：界说报文的类型，长度为 1 字节
；

● Pap/Chap ：Pap/Chap字段界说此用户的认证方式，长度为 1 字节，只对Type值为 0x03 的认证要求报文有意思：

• Chap方式认证－－－值为0x00

• Pap  方式认证－－－值为0x01

● Rsv：Rsv目前为保留字段，长度为 1 字节，在所有报文中值为 0
；

● SerialNo：报文的序列号，长度为 2 字节，由PortalServer随机天生，该字段作用重要用于区别同类型但分歧认证流程中的报文
；

● ReqID：2个字节，由认证设备随机天生，该字段作用重要用于区别同类型但分歧认证流程中的报文，该字段对于PAP认证无意思，在Chap认证中，该字段低8位作为Chap_Password 天生过程中MD5函数的输入
；

● UserIP：Portal用户的IP地址，长度为 4 字节，其值由PortalServer凭据其获得的IP地址填写，在所有的报文中此字段都要有具体的值
；

● UserPort：该字段目前没有效到，长度为 2 字节，在所有报文中其值为0
；

● ErrCode：该字段和Type字段一路暗示肯定的意思，长度为 1字节，各组合意思如下表：

 

▲表1： ErrCode值表
注明：其中type类型为9、10的两个报文其ErrCode的界说为v2.0新增界说。

 

● AttrNum：暗示其后边可变长度的属性字段属性的个数，长度为 1 字节，即最多可携带属性255个属性。

 

Portal认证流程详解

Portal认证流程如下：

 

▲图13：Portal认证流程

 

1. 用户通过尺度的DHCP和谈获取到规划的IP地址
；

2. 用户打开IE，接见某个网站，提议HTTP要求
；

3. NAS截获用户的HTTP要求，由于用户没有认证过，就强造到Portal服务器
；

4. Portal服务器向用户终端推送Web认证页面
；

5. 用户在认证页面上填入帐号、密码等信息，提交到Portal服务器
；

6. Portal服务器将接管到的用户认证信息发给NAS
；

7. NAS向RADIUS服务器提议RADIUS认证
；

8. RADIUS服务器凭据用户信息判断用户是否合法,向NAS返回认证了局报文
；

9. NAS返回认证了局给Portal服务器
；

10. Portal服务器凭据认证了局，推送认证了局页面
；

11. Portal服务器回应NAS收到认证了局报文,若是认证失败，则流程到此实现
；

12. 认证若是成功，NAS提议计费起头要求给RADIUS服务器
；

13. RADIUS服务器回应计费起头响应报文，并将响应信息返回给NAS,用户上线结束，起头上网
；

14. 在用户上网过程中，为了
；び没Ъ品研畔，每隔一段功夫NAS就向RADIUS服务器发送记账更新报文
；

15. RADIUS服务器回应实时计费确认报文给NAS。

总 结

本文对802.1X 和Portal 认证进行了工作道理和认证流程的具体论述。单一的说，802.1X认证的最终主张，就是确定一个端口（物理端口或Wi-Fi衔接）是否能被放通，从而实现对接入实体的管控。对于一个端口，若是认证成功就打开这个端口，并提供网络服务
；若是认证失败就使这个端口维持关关，不提供网络服务。Portal认证的贝笫其实和802.1X一样，都是基于认证了局判断接口是否可用。相对于802.1X认证来说，Portal更轻量化，无需装置客户端软件，浏览器即可实现认证。同时，由于Portal服务器和用户浏览器有页面交互，用户能够凭据现实需要对认证页面进行定造，将认证主页建设为企业网内部员工信息颁布平台。

值妥贴心的是，此刻好多认证规划都是基于这两种认证的，好比双因子认证（用户名密码+短信验证码）、无感知认证（802.1X+MAC或Portal+MAC）、证书认证（802.1X+证书或Portal+证书）、OTP认证（802.1X+随机验证码或Portal+随机验证码）等。此表，还能通过认证获得分歧的接见权限。我们能够凭据现实需要利用分歧的认证规划，关于这些扩大技术规划的实现方式，我们将会在后续的文章中和各人分享。

 

 

本期作者：李莹
iSlot官方网站网络互联网系统部行业征询

 

往期杰出回首  

• 【第一期】浅谈物联网技术之通讯和谈的纷争
• 【第二期】若何通过网络遥测（Network Telemetry）技术实现精密化网络运维？
• 【第三期】畅谈数据中心网络运维自动化
• 【第四期】基于Rogue AP反造的无线安全技术探求
• 【第五期】流量可视化之ERSPAN的前世今生
• 【第六期】若何实现数据中心网络架构“去”堆叠
• 【第七期】运维可视化之INT职能详解
• 【第八期】浅析RDMA网络下MMU水线设置
• 【第九期】第七代无线技术802.11ax详解
• 【第十期】数据中心自动化运维技术索求之互换机零配置上线
• 【第十一期】 浅谈数据中心100G光？
• 【第十二期】数据中心网络等价多蹊径（ECMP）技术利用钻研
• 【第十三期】若何为RDMA构建无损网络
• 【第十四期】基于EVPN的散布式VXLAN实现规划
• 【第十五期】数据中心自动化运维技术索求之NETCONF
• 【第十六期】一文读懂网络界新贵Segment Routing技术化繁为简的奥秘
• 【第十七期】浅谈UWB（超宽带）室内定位技术
• 【第十八期】PoE以太网供电技术详解
• 【第十九期】机框式主题互换机硬件架构演进
• 【第二十期】 IPv6基础篇（上）——地址与报文体式
• 【第二十一期】IPv6系列基础篇（下）——邻居发现和谈NDP
• 【第二十二期】IPv6系列安全篇——SAVI技术解析
• 【第二十三期】IPv6系列安全篇——园区网IPv6的接入安全战术
• 【第二十四期】Wi-Fi 6真的很“6”（概述篇）——不只是更高的传输速度
• 【第二十五期】 Wi-Fi 6真的很“6”（技术篇） ——前方高能，幼白慎入
• 【第二十六期】IPv6系列利用篇——数据中心IPv4/IPv6双栈架构探求
• 【第二十七期】你不成忽视的园区网ARP安全防护

有关推荐：

• 你不成忽视的园区网ARP安全防护