集群环境下的认证报文研究
摘要:本文结合学校校园网建设实际,分析、研究了集群环境下802.1x在校园网认证中的数据报文流形式,给出了认证上网报文流的全过程。关键词:集群;802.1x协议;认证报文流
中图分类号:tp393文献标识码:a文章编号:1009-3044(2007)18-31601-03
authenticationdatagramprotocolresearchincluster
yangyong,chenggang,zouchun-an,zhoujian-guo
(huazhonguniversityofscienceandtechnology,wuhan430074,china)
abstract:accordingtotheconstructionpracticeofcampusnetwork,inthecluster,thispaperresearchandanalyzeauthenticatingdatagramprotocolstreamfor802.1xonourcampusnetwork.introducingallprocessaboutthelogonnetworkdataprotocolofauthenticating.
keywords:cluster;802.1xprotocol;authenticatingdatagramprotocolstream
1引言
伴随着网络技术的飞速发展,网络文化的迅速普及,网络资源的日益丰富,校园网上网规模和有效的网络带宽使用与管理已显现得越来越重要,网络上原有的认证系统已经不能很好地适应用户数量急剧增加和宽带业务多样化的需求。在这种环境背景下,一种新的宽带认证方式――ieee802.1x协议便应运而生了。
华中科技大学校园网在全国高校校园网中率先实施大规模认证上网系统,成功地在校园学生宿舍网内实现了集群认证系统和大规模802.1x认证实名制上网方式,先后对校园内的80多栋学生宿舍完成了近50000个联网信息点部署,网络几乎覆盖了全校的所有学生宿舍,如此大规模的网络建设和网络覆盖率,对集群系统、802.1x协议、网络二层接入设备、校园网络带宽、网络qos都是一次严峻的考验。
采用认证上网的初衷是为了实现安全、稳定、有序、可控、可管理、实名制上网,有效、合理地利用日益紧缺的网络带宽资源,集群运行环境有效地解决了认证系统的上述要求。
2典型的宽带上网认证方式
目前,在认证上网方面,普遍采用以下几种认证解决方案。pppoa+adsl+radius,pppoe+radius,web+radius,netflow+radius,802.1x+radius等。pppoa+adsl+radius为小容量宽带业务接入;pppoe+radius,web+radius由于需要采用设置在网络汇聚层的用户接入服务设备bas(broadbandaccessserver)而产生网络瓶颈,给大规模网络接入带来阻碍;netflow+radius需要配合交换机硬件速率限制的功能,并在相应的记费系统中体现,才能真正实现多层次的计费、控制方案;
802.1x认证是ieee802协议集的局域网接入控制协议,是基于端口的访问控制协议(portbasednetworkaccesscontrolprotocol)。其体系结构是一种c/s构架,每个上网用户需要安装一个上网客户端,客户端系统通常为一个客户端软件,用户通过启动这个客户端软件发起802.1x协议的认证过程。为支持基于端口的接入控制,客户端系统需支持基于以太网的扩展认证协议eapol(extensibleauthenticationprotocoloverlan)。
802.1x协议的体系结构由三个重要的部分组成。认证系统、认证服务器、认证客户端。
2.1典型的802.1x网络拓扑结构
典型的802.1x网络拓扑结构如图1所示。
在实际组网过程中,也可以将透传eap报文和端口控制放在汇聚层网络设备来进行,前提是汇聚层网络设备必须支持802.1x协议。
图1
2.2宽带认证上网集群解决方案:
华中科技大学采用双机集群认证系统+磁盘阵列的解决方案,其特点在于解决单机认证系统可能出现的认证服务器单点故障。集群中的每台服务器中都安装了认证系统和数据库管理系统,数据库放在磁盘阵列中,集群服务器之间分别处理不同的认证处理进程,一旦集群中的某项服务或某台认证服务器出现故障,另一台服务器可以立即接管出现故障服务器的处理任务,无须人工干预,接管进程的任务都是自动进行的。
安装集群。建立基于活动目录(activedirectory)的域控制器(domaincontroller,dc)上的集群名字hust,集群必须要在域中工作。
在节点1(hust-cl1)和节点2(hust-cl2)上用“internet协议(tcp/ip)”分别配置心跳ip地址192.168.10.1和192.168.10.2与相应的掩码;并在两节点的外网地址上分别配置ip地址172.20.10.201和172.20.10.202与相应的掩码及网关。
创建集群资源组,在集群中建立相关组件:
(1)集群名字
(2)数据备份磁盘
(3)虚拟出一个ip为172.20.10.200作为虚拟认证服务器地址
(4)虚拟出一个ip为172.20.10.210作为虚拟数据库服务器地址。
(5)认证服务进程
建立以上集群资源组相关组件后,配置组件之间的相互依存关系,即可实现资源自动接管。
以上所有ip地址均采用内部ip,纯属网络安全方面的考虑。
认证集群解决方案拓扑结构,如图2所示。
3采用基于eap+md5(message-digestalgorithm5信息-摘要算法)的802.1x认证报文数据流分析:
(1)认证客户端软件向接入设备发送一个eapol认证开始报文,查询网络上能处理eapol数据包的设备,开始802.1x认证接入请求;帧结构为codeindentifylengthtypedata
图2
其认证报文数据形式如下:
direction:out,time:10:10:
40.510,size:1000//定义客户端报文大小1000字节
ethernetii
destinationmac:01:a5:8e:22:aa:cc//私有组播地址,生产厂商独有的
sourcemac:e0:51:23:46:ae:b5//本地mac网卡地址
ethertype:0x888e(34958)-eapol802.1x//0x888e表示eap类型
eapol802.1x
protocolversion:0x01(1)//协议版本标识
packettype:0x01(1)-eapol-start//0x01表示认证开始报文
packetlength:0x0000(0)//包长度为0
本文为全文原貌未安装pdf浏览器用户请先下载安装原版全文rawdata:
0x000001a58e22aacce051-2346aeb5888e0101
0x00100000ffff3777ff34-3de75e000000ff34//64字节字符串数据
0x00203de780acf1d73e9e-3300001311383032
0x003031782e6578650000-0000000000000000
0x00400000000000000000-0000000000020100
0x00500001
(2)接入设备向客户端发送eap-request/identity报文,要求用户提供合法的身份标识,如用户名及其密码;认证报文数据形式如下:
direction:in,time:10:10:
40.512,size:64//认证服务器返回报文定义64字节
ethernetii
destinationmac:e0:51:23:46:ae:b5
sourcemac:05:fe:a3:6d:67:80//认证服务器mac地址
ethertype:0x888e(34958)-eapol802.1x
eapol802.1x
protocolversion:0x01(1)
packettype:0x00(0)-eap-packet//表示是eap类型的报文
packetlength:0x0005(5)//包长度
eap
code:0x01(1)-request//认证服务器发起请求
identifier:0x01(1)//报文同步序列
length:0x0005(5)//包长度
type:0x01(1)-identity//请求客户端身份验证
rawdata:
0x0000e0512346aeb505fe-a36d6780888e0100
0x00100005010100050100-0000000000000000
0x00200000000000000000-0000000000000000
0x00300000000000000000-0000000000000000
(3)客户端回应一个eap-response/identity给接入设备的请求,提供用户名和密码;认证流从接入设备的未受控的逻辑端口经过,接入设备将eap-response/identity报文封装到radiusaccess-request报文中,通过eap协议将认证流发送给认证服务器;认证报文数据形式如下:
packet#2265,direction:out,time:10:10:41.616,size:1000
ethernetii
destinationmac:05:fe:a3:6d:67:80
sourcemac:e0:51:23:46:ae:b5
ethertype:0x888e(34958)-eapol802.1x
eapol802.1x
protocolversion:0x01(1)
packettype:0x00(0)-eap-packet
packetlength:0x000d(13)
此处内容需要权限查看
会员免费查看[5]vollbrecht,j.,calhoun,p.,farrell,s.,gommans,l.,gross,g.,debruijn,b.,delaat,c.,holdrege,m.andd.spence,”aaaauthorizationframework”,rfc2904,august2000.
注。本文中所涉及到的图表、注解、公式等内容请以pdf格式阅读原文。
本文为全文原貌未安装pdf浏览器用户请先下载安装原版全文