目录
一、RG-SAM简介 (3)
二、常见名词解释 (3)
三、802.1X认证机制简介 (4)
四、FAQ (8)
五、服务与支持 (13)
一、RG-SAM简介
1.什么是RG-SAM
RG-SAM是一套认证计费系统,它主要作用是对接入网络的用户实施认证、授权、计费(Authentication,Authorization,Accounting,即通常所说的3A。)。与普通的认证计费软件不同的是,RG-SAM提供了各种增强功能,管理员可以设置各种规则。认证的用户,只有符合既定规则,才能通过认证。
RG-SAM基于IEEE-802.1X标准与RADIUS协议进行开发,并在这两个协议的基础上进行了扩展,加入了很多我司独有的特功能。
结构上RG-SAM主要由3部分构成:
(1) Supplicant :即客户端程序,简称Su
(2) 认证交换机:即NAS设备,支持802.1x端口认证功能的交换机
(3) SAM服务端软件:即RADIUS Server。
2.哪些交换机可做为认证交换机?
802.1x认证主要在网络的边缘进行的,因此认证交换机主要是接入或汇聚交换机。有关锐捷交换机对802.1x认证的支持情况,可以登陆www.ruijie产品页面进行查阅。
3.客户端软件有哪些版本?
目前客户端程序有以下版本:
(1) Su(A):适用于windows操作系统的,需要人工安装的客户端
(2) Su(B):适用于windows操作系统的,免安装客户端。用户上网前需先通过IE 访问指定网站,认证通过后才能使用其他网络资源
(3) Xrgsu:适用于linux操作系统
目前主要推荐用户使用Su(A)
4.SAM服务端软件有哪些版本
目前SAM服务端软件有以下版本:
(1) SAM认证版:只有认证授权功能,不具备计费功能
(2) SAM标准版:具有认证/计费完整的功能
(3) SAM企业版:在SAM标准版的基础上,增加对window集功能的支持以上3个版本均为支持windows平台的软件,搭配的数据库为Microsoft SQL 2000
(4) SAM linux版:支持Red Hat9.0操作系统,搭配的数据库为Oracle 9i
二、常见名词解释
1.协议:
IEEE-802.1X:
全称是IEEE-802.1X:Port-Based Network Access Control Protocol(基于端口的网络访问控制协议),最初由IEEE于2001年发布,并于2004年7月发布了最新修订版。802.1X本质上是一个基于Ethernet的局域网、城域网和各种宽带接入手段的用户接入认证协议,它采用了基于以太网端口的用户
访问控制技术,可以克服传统的PPPoE、WEB认证等方式带来的诸多问题,避免了引入集中式宽带接入服务器所带来的巨大投资。
RADIUS:
由RFC 2865、2866所定义,即Remote Authentication Dial In User Service,远程验证拨入用户服务。RADIUS协议能实现对用户的认证、授权和记账(AAA)的支持,并提供了良好的可扩展机制,它允许在报文中不断增加封装的属性,以支持新出现的认证需求。
RADIUS工作在IP层之上,默认使用1812端口用于认证,1813端口用于记账。
EAP(可扩展认证协议):
在RFC 3748中定义的一种认证协议,该协议用于在PPP等点到点网络中的认证,可支持多种认证机制。在802.1X中对EAP进行了简单的修改形成了EAPOL(EAP over LAN)协议,使其能在广播式的以太网中使用。EAP工作在OSI模型的第二层上,不需要用户端事先获取IP地址,简单易实现,主要用于客户端和认证者之间的认证信息交互。
2.角:
Supplicant(恳求者),SU:
802.1X中定义的客户端,在RG-SAM中为Supplicant客户端软件。
Authenticator(认证者):
上传下达用户的认证信息,并根据认证服务器返回的结果对用户执行认证操作,等同于RADIUS中的NAS(网络访问服务器),在实际应用中一般为支持802.1X的网络设备,如我司的21系列交换机。
Authentication Server(认证服务器):
根据认证者传达的认证信息对用户的合法性进行验证的服务器,在SAMⅡ解决方案中为我司的RG-SAM认证服务器。
三、802.1X认证机制简介
如前文所述,802.1X机制中有3个重要角:恳求者、认证者和认证服务器,在RG-SAM认证系统中分别对应了SU客户端、21等接入交换机以及RG-SAM认证服务器。
相比PPPoE等传统的认证手段,802.1X的最大优势在于做到了“分布控制,集中仲裁”。在PPPoE和WEB认证等认证系统中,对用户的控制、验证和数据报文转发都是由一台中央的BAS(宽带接入服务器)集中进行,所有用户的所有数据包都要由BAS一一进行验证,对服务器的性能带宽要求很高;而在802.1X体系中,对用户的控制分散到下层的接入交换机执行,认证服务器只需要根据接入交换机提交上来的用户信息进行验证,仲裁该用户是否有权使用网络,并将仲裁结果下发给接入交换机执行即可,用户认证之后的数据报文不需要交由认证服务器处理,大大减轻了认证服务器的负担,对用户的控制也更加简单有效。
1.EAP与RADIUS在80
2.1X中的应用:
802.1X只是提供了一个认证系统的整体框架,在实际的应用环境中还需要具体的认证协议配合。在大多数的802.1X认证系统中,客户端和认证者之间使用EAPOL协议,认证者和认证服务器之间使用RADIUS协议,在我司的RG-SAM认证系统中也是如此。Array 2.对接入用户的控制:
在用户的认证通过之前,认证者(即交换机)只允许用于认证的EAP报文通过端口发送;用户认证通过之后,认证者开放对端口的限制,允许该用户的所有报文通过端口发送,用户可以正常访问网络。
RG-SAM认证系统中对用户的访问控制是基于MAC地址实现的。认证者(即交换机)将MAC地址作为区分不同用户的依据,如果一个交换机的物理端口启用了了802.1X认证,则该端口MAC地址的学习将会受到控制,只有通过认证的用户,其MAC地址才会被添加到交换机端口转发表中,该用户的报文才会被交换机转发。这就是所谓的“基于MAC地址的逻辑端口”被打开。这样即使有多个用户接入在同一个物理端口上,也不会因为其中一个
用户通过认证,造成该端口下所有用户都可以不受限制的访问网络。
3.802.1X认证过程:
在一个典型的认证过程中,操作步骤如下:
认证阶段:
(1)客户端SU以组播方式发送一个EAP报文发起认证过程(协议标准组播地址为
01-80-C2-00-00-03,锐捷私有组播地址为01-D0-F8-00-00-03)。
其中两个主要的协议(2)交换机收到该报文后,发送一个EAP-Request报文响应客户端的认证请求,要求用
户提供用户名信息。
(3)客户端收到EAP-Request之后响应一个EAP-Response报文,将用户名封装在EAP
报文中发给交换机。
(4)交换机将客户端送来的EAP-Request报文与自己的交换机IP、端口等相关信息一起
封装在RADIUS Access-Request报文中发给认证服务器。
(5)认证服务器收到RADIUS Access-Request报文后进行验证,如果该用户的相关信
息有效,则对该用户发起一次认证挑战(RADIUS Access-Challenge),要求用户提供密码。
(6)交换机收到这条RADIUS Access-Challenge报文后,将挑战请求用一条
EAP-Challenge Request转发给客户端。
(7)客户端接到挑战请求后,将用户密码进行加密处理,封装在EAP-Challenge
Response中返回给交换机。
(8)交换机将用户的EAP-Challenge Response封装为RADIUS Access-Request报文
转发给认证服务器。
(9)认证服务器对用户的密码进行验证,如果验证失败,服务器将返回一条RADIUS
Access-Reject报文,拒绝用户的认证请求;如果验证通过,服务器则发送一条RADIUS Access-Accept报文给交换机。
(10)交换机在接到认证服务器发来的RADIUS Access-Accept之后,解除对客户端的访
问控制,同时发送一条EAP-Success报文给客户端通知其认证已经成功。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论