802.1X协议及Radius协议(三)

前面两节对802.1X及Radius的环境搭建和报文进行了介绍,本节主要分享一些在学习过程中的一些疑问?这些疑问所涉及到的知识可以说是博大精深。

1、AAA服务器的流量统计和时间计量主要体现在哪儿?

对于这个疑问,我在抓取计费报文的时候,发现在radius属性中包含一些与流量和时间相关的属性,然后我查了一下radius属性表,证实了这些属性的作用。

802.1X协议及Radius协议(三)_第1张图片

41 Acct-Delay-Time 生成计费报文花费的时间,以秒为单位

42 Acct-Input-Octets 上行字节数,单位为Byte、kbyte、Mbyte、Gbyte,具体使用何种单位可通过命令配置

43 Acct-Output-Octets 下行字节数,单位为Byte、kbyte、Mbyte、Gbyte,具体使用何种单位可通过命令配置

46 Acct-Session-Time 用户的上线时间,以秒为单位

47 Acct-Input-Packets 上行的报文数

48 Acct-Output-Packets 下行的报文数

52 Acct-Input-Gigawords 表示上行字节数是4G(232)Byte、kbyte、Mbyte、Gbyte(单位取何值由命令配置决定)的多少倍

53 Acct-Output-Gigawords 表示下行字节数是4G(232)Byte、kbyte、Mbyte、Gbyte(单位取何值由命令配置决定)的多少倍

所以AAA服务器的流量统计和时间计量主要体现在报文的radius属性中,然后通过服务器软件进行GUI的显示。

2、AAA域名携带问题?

我们在配置radius scheme的时候会配上一条“Username format:without-domain”的命令,这个命令的意思是用户名不带上域。我们知道,交换机是基于域对用户管理的,用户属于哪个域是由用户名中带的“@”后面的字段决定的,比如user@test就属于test域。

那么在做802.1X认证时,带不带域应该怎么去看呢?

EAP协议

我们知道802.1X如果是基于EAP协议做认证的话,交换机作用是封装报文再转发给服务器,不对报文去处理,所以我在802.1X客户端输入的用户名是user或者user@test的话,经过交换机不会做任何处理,到达radius服务器的用户名以客户输入的用户名为准,所以要想认证都通过的话,在radius服务器上应该配置user和user@test两个用户。

CHAP协议

802.1X使用CHAP协议做认证的话,交换机会自己去发送随机加密字给用户,让用户发送加密后的密码信息给交换机。交换机最后会将用户名、加密后的密码信息、加密字给radius服务器。那么,在发送用户名的时候,交换机会根据Username format这个命令去确定给服务器发送用户名信息的时候携不携带域的信息。

上述两种方法均是指定了域为test,如果交换机未指定默认域,即默认域仍为system。那么我们在输入user的时候会默认带上system域,认证不会通过。我们可以输入user@test,这样我们自己指定了用户名的域,也可以认证通过。

3、Radius协议采用UDP作为其传输协议的好处?

这个问题涉及到TCP与UDP的区别,回顾一下TCP与UDP的区别

1、基于连接和无连接的

2、对系统资源的要求(TCP多、UDP少)

3、开发程序难度(TCP复杂、UDP简单)

4、基于流模式和数据报模式(tcp流、udp数据报,这个想理解的话可以百度将tcp流的发送和接收比喻成水池注水和放水的模式)

5、TCP不丢包且按顺序发送,UDP可能丢包且不保证时序

以上,我们再来分析radius协议为何采用udp作为传输层协议。首先radius服务器有主服务器和备份服务器地址,其次我们可以为其配置retry次数。这两者的作用是如果我们报文丢失了,我们拥有重传机制,如果主服务器没有响应,我们可以向备份服务器发送数据报。所以我们允许丢包,使用udp也无所谓。我们的radius报文一般都是几十字节到上百字节的长度,这些认证报文简短,且对实时性有要求,不能让用户在认证阶段停留太长时间,所以我们采用UDP协议。当一个radius服务器同时处理成百上千的用户进行认证的时候,UDP协议可以简化服务器端的操作,提高系统效率。

4、PAP和CHAP认证的区别,此处针对802.1X中的传输过程进行分析

PAP认证协议(PasswordAuthenticationProtocol,口令认证协议):客户端将自己的用户名和密码发送给服务器,服务器在数据库中查找该用户名和密码并告知客户端是否验证通过。

CHAP认证协议(ChallengeHandshakeAuthenticationProtocol,质询握手认证协议):客户端将用户名发送给服务器,服务器通过用户名查找到密码信息,用随机生成的一个加密字对其进行处理,得到MD5值。并将加密字发给客户端,客户端通过该加密字同样生成一个MD5值发送给服务器,服务器将两者进行比对并返回是否通过验证的结果。

CHAP挑战的安全性由此可见,整个过程中密码都是不可见的,而PAP就谈不上安全性了。

5、802.1X和PPPoE、Web认证之间的区别

802.1X功能在交换机和路由器上很常见,一般用在校园网;PPPoE一般用在家庭网关上,私人家里用的比较多;web认证一般用在企业网;

你可能感兴趣的:(802.1X协议及Radius协议(三))