华为802.1X技术白皮书
智简园区交换机MACsec技术白皮书
华为智简园区交换机 MACsec技术白皮书前言摘要MACsec(802.1AE)提供同一个局域网内,设备端口MAC 层之间的安全通信服务,主要包含以下方面:数据机密性、数据完整性、数据来源真实性以及重放保护。
关键词MACsec 802.1AE目录前言 (ii)1概述 (4)2MACsec 技术原理 (5)2.1 MACsec 典型组网模式 (5)2.1.1面向主机点到点模式 (5)2.1.2面向设备点到点模式 (6)2.2 MACsec 基本概念 (6)2.3 MACsec 运行机制 (8)2.4 MACsec 密钥体系 (10)2.4.1密钥体系结构 (10)2.4.2密钥派生关系 (11)2.5 MKA 密钥协商交互流程 (12)2.6 MACsec 数据加解密转发 (13)3典型组网应用 (15)3.1 局域网MACsec 典型组网 (15)3.2 中间有传输设备MACsec 典型组网 (15)4 附录 (17)1 概述MACsec(Media Access Control Security)定义了基于IEEE 802 局域网络的数据安全通信的方法。
MACsec 可为用户提供安全的MAC 层数据发送和接收服务,包括用户数据加密(C o n fid e n tia l ity)、数据帧完整性检查(D a ta in te g rit y)、数据源真实性校验(D a t a o rigin a u th e n tic it y)及重放保护(Re p l ay p r o te c tio n)。
MACsec 主要涉及IEEE802.1AE 和802.1X 两个协议规范:IEEE802.1AE-2006 定义了数据封装、加密和认证的帧格式;802.1X-2010 中的MKA(MACsec Key Agreement)定义了密钥管理协议,提供了Peer-to-Peer 方式或Group 方式的密钥建立机制,使用MKA 协议协商生成的密钥对已认证的用户数据进行加密和完整性检查,可以避免端口处理未认证设备的报文或者未认证设备篡改的报文。
华为全系列数据通信产品白皮书
华为全系列数据通信产品白皮书第一部分:引言(200字)数据通信产品在现代社会中扮演着至关重要的角色,它们是连接世界的桥梁,促进了信息的传递和交流。
华为作为全球领先的通信技术解决方案提供商,为满足客户需求,推出了一系列高质量的数据通信产品。
本白皮书旨在介绍华为全系列数据通信产品的技术特点、应用场景和优势,帮助用户更好地了解和选择适合自己的产品。
第二部分:产品概述(200字)华为全系列数据通信产品包括路由器、交换机、光纤传输设备等多个种类。
这些产品具备高度的稳定性、可靠性和安全性,能够保证数据传输的质量和效率。
华为路由器是业界领先的产品之一,支持高速连接,稳定运行和智能优化。
交换机则提供灵活的网络管理和控制功能,适用于各种不同规模和需求的环境。
光纤传输设备则可以实现高容量和长距离的数据传送,特别适用于电信、金融和大型企业等行业。
第三部分:技术特点(300字)华为全系列数据通信产品具备一系列重要的技术特点。
首先,这些产品都采用了先进的硬件和软件技术,能够实现高效的数据处理和传输。
其次,华为产品支持灵活的网络配置和管理,可以根据实际需求进行定制和扩展。
同时,华为产品还具备高度的安全性,采用了先进的加密和认证技术,保障了数据的机密性和完整性。
此外,华为产品还支持智能化的运维和管理,通过数据分析和优化,提高了网络的性能和稳定性。
第四部分:应用场景(300字)华为全系列数据通信产品广泛应用于各个领域。
它们可以满足不同规模和需求的数据通信需求,适用于运营商、企业和个人用户等不同类型的客户。
在运营商领域,华为产品可以构建高速、稳定和安全的通信网络,支撑运营商的业务和服务。
在企业领域,华为产品可以实现灵活的网络管理和控制,提供高效的数据传输和存储解决方案。
对于个人用户来说,华为产品可以提供高速的网络连接和智能的家庭网络管理,满足各种娱乐和生活需求。
第五部分:产品优势(200字)华为全系列数据通信产品具备多个优势。
首先,它们拥有领先的技术和创新能力,能够满足不断变化的市场需求。
华为数据中心5800交换机01-02 802 1x认证配置
设备端每个物理接口都在逻辑上划分为受控端口和非受控端口。非受控端口始终开 放,主要用来传递EAPOL协议帧,可随时保证接收客户端发出的EAPOL认证报文;受 控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。
认证方式 EAP终结认证
定义
优势
劣势
由网络接入设备 终结用户的EAP报 文,解析出用户
名和密码,并对
密码进行加密, 再将EAP报文转换 成标准的RADIUS 报文后发给 RADIUS服务器来 完成认证。
RADIUS服务器并 不需要支持EAP认 证,减轻了服务
器压力。
设备端处理较为 复杂。
认证流程
对于EAP中继方式,802.1x认证流程如图2-2所示。
CloudEngine 8800&7800&6800&5800 系列交换机 配置指南-安全
2 802.1x 认证配置
表 2-1 802.1x 认证方式
认证方式
定义
优势
劣势
EAP中继认证
也叫EAP透传认 证,由网络接入 设备直接把802.1x 用户的认证信息 以及EAP报文直接 封装到RADIUS报 文的属性字段
中,发送给 RADIUS服务器, 而无须将EAP报文 转换成标准的 RADIUS报文后再 发给RADIUS服务 器来完成认证。
可以支持的认证 方式包括:
l MD5Challenge:例 如基于Linux操 作系统的 Xsupplicant客 户端和 FreeRadius服务 器之间可以采 用MD5Challenge认 证。服务器需 要配置MD5策 略属性。EAPMD5认证方式 简单。
华为,华赛8021x配置
802.1X简介IEEE 802.1X标准(以下简称802.1X)是一种基于接口的网络接入控制(Port Based Network Access Control)协议。
“基于接口的网络接入控制”是指在局域网接入控制设备的接口对接入的设备进行认证和控制。
用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
802.1X系统为典型的Client/Server体系结构,包括三个实体:•Supplicant(客户端)客户端一般为用户终端设备,由设备端对其进行认证。
客户端需要安装802.1X的客户端软件,如Windows自带的802.1X客户端。
客户端必须支持局域网上的可扩展认证协议EAPoL(Extensible Authentication Protocol over LAN)。
•Authenticator(设备端)设备端通常为支持802.1X协议的网络设备,它为客户端提供接入局域网的接口。
•Authentication Server(认证服务器)认证服务器是为设备端提供认证服务的实体。
认证服务器用于实现对用户进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。
说明:在没有外部认证服务器的情况下,USG可以同时作为本地认证服务器和设备端。
USG的本地认证服务配置请参见配置本地认证。
在有外部认证服务器的情况下,USG作为设备端。
USG上对接RADIUS的配置请参见配置RADIUS认证。
认证实体的信息交换关系如图1所示。
设备端与认证服务器之间通过EAP帧交换信息。
客户端与设备端之间通过IEEE 802.1X所定义的EAPoL帧交换信息。
图1 802.1X认证系统的体系结构当客户端发起认证请求时,设备端作为中继与客户端和认证服务器交互,经过一系列的认证过程后,如果认证成功,设备的接口成为授权状态,允许客户端通过授权接口访问网络。
华为交换机8021x配置说明
radius-server shared-key test
radius-server authentication 1.1.1.3 1645
undo radius-server user-name domain-included 配置认证不带radius认证不带域名,
3.配置radius的认证方式,
q
domain default enable expodomain
#
dot1x
dot1x authentication-method eap
二、8号楼华为交换机3352-配置命令:
radius-server template expo
domain default
authentication-scheme huawei1 认证方式huawei1
radius-server host 172.16.102.195 key Expo2010
radius-server vsa send authentication
radius-server retraymit 3
dot1x system-auth-control
int range f0/1 – 3
secondary accounting 172.16.102.195
key authentication Expo2010
key accounting Expo2010
user-name-format without-domain
q
#
domain expodomain
scheme radius-scheme exporadius
华为Wi-Fi 6(IEEE 802.11ax)技术白皮书
白皮书华为Wi-Fi 6(802.11ax)技术白皮书文档版本1.0目录1.Wi-Fi发展简介 (4)2.什么是Wi-Fi 6(802.11ax) (6)2.1Wi-Fi 6速度有多快? (6)2.2Wi-Fi 6核心技术 (9)2.2.1OFDMA频分复用技术 (9)2.2.2DL/UL MU-MIMO技术 (13)2.2.3更高阶的调制技术(1024-QAM) (15)2.2.4空分复用技术(SR)& BSS Coloring着色机制 (16)2.2.5扩展覆盖范围(ER) (19)2.3其他Wi-Fi 6(802.11ax)新特性 (19)2.3.1支持2.4GHz频段 (19)2.3.2目标唤醒时间(TWT) (20)3.为什么要Wi-Fi 6(802.11ax) (22)4.5G与Wi-Fi 6(802.11ax)的共存关系 (23)5.华为对Wi-Fi 6(802.11ax)产业发展的贡献 (26)6.华为Wi-Fi 6(802.11ax)产品和特性 (28)6.1业界首款商用Wi-Fi 6 AP (28)6.2华为第三代智能天线 (28)6.3三射频& 双5G设计 (29)6.4SmartRadio技术-智能射频调优 (30)6.5SmartRadio技术-智能EDCA调度 (32)6.6SmartRadio技术-智能无损漫游 (33)7.总结 (36)1.Wi-Fi发展简介Wi-Fi已成为当今世界无处不在的技术,为数十亿设备提供连接,也是越来越多的用户上网接入的首选方式,并且有逐步取代有线接入的趋势。
为适应新的业务应用和减小与有线网络带宽的差距,每一代802.11的标准都在大幅度的提升其速率。
1997年IEEE制定出第一个无线局域网标准802.11,数据传输速率仅有2Mbps,但这个标准的诞生改变了用户的接入方式,使人们从线缆的束缚中解脱出来,。
随着人们对网络传输速率的要求不断提升,在1999年IEEE发布了802.11b标准。
智简园区有线无线深度融合技术白皮书
华为智简园区有线无线深度融合技术白皮书摘要有线无线深度融合是华为公司推出的智简园区解决方案的一个子方案,指在敏捷交换机上融合WLAN AC功能后,有线和无线用户可以在敏捷交换机统一进行管理、认证和策略控制,流量集中易于管控,管理极致简化,实现了全新的接入体验。
目录摘要 (i)1 概述 (3)1.1 产生背景 (3)1.2 解决思路 (4)2 方案原理 (7)2.1 实现原理 (7)2.2 有线无线用户在敏捷交换机集中统一认证 (11)2.3 无线用户在敏捷交换机控制下实现漫游切换 (11)3 典型组网应用 (13)3.1 无线AP从ENP板卡接入 (13)3.1.1 中小型二层组网部署 (13)3.1.2 大型二层组网部署 (15)3.1.3 三层组网之核心点融合 (16)3.2 无线AP从ASIC板卡接入 (17)3.2.1 无线业务接入点多而分散 (17)3.2.2 旧有线网络增加无线业务 (19)A 缩略语 (20)1概述1.1 产生背景传统的有线无线园区网络分为有线无线完全分离和有线无线一体化两个阶段:●有线无线分离阶段:即独立AC旁挂式,AP通过接入交换机接入网络,AC多为单独的WLAN设备,一般旁挂在网关交换机上。
有线和无线网络管理、数据转发完全分离。
●有线无线一体化阶段:即插卡式AC,AP通过接入交换机接入网络,AC作为网关交换机的一块插卡,称为插卡式AC。
在这种组网下,虽然AC作为一块板卡融入了网关交换机,但无线AC和有线网关交换机还是独立的管理单元,有线无线数据转发,仍然是完全分开进行处理。
无论是独立AC或插卡式AC,有线和无线流量转发完全分离,分别是在交换机和AC设备完成。
这将导致有线用户和无线用户的流量转发、网络管理和排障、认证以及访问策略的设置和控制实施都是分开在有线网络和无线网络中独立维护的,这种传统的无线网络和有线网络不能统一管理和深度融合带来排障、管控的工作量增加等问题。
华为Wi-Fi 6(802.11ax)技术白皮书
华为Wi-Fi 6 (802.11ax)技术白皮书华为技术有限公司目录1.Wi-Fi发展简介 (4)2.什么是Wi-Fi 6(802.11ax) (6)2.1Wi-Fi 6速度有多快? (6)2.2Wi-Fi 6核心技术 (9)2.2.1OFDMA频分复用技术 (9)2.2.2DL/UL MU-MIMO技术 (13)2.2.3更高阶的调制技术(1024-QAM) (15)2.2.4空分复用技术(SR)& BSS Coloring着色机制 (16)2.2.5扩展覆盖范围(ER) (19)2.3其他Wi-Fi 6(802.11ax)新特性 (19)2.3.1支持2.4GHz频段 (19)2.3.2目标唤醒时间(TWT) (20)3.为什么要Wi-Fi 6(802.11ax) (22)4.5G与Wi-Fi 6(802.11ax)的共存关系 (23)5.华为对Wi-Fi 6(802.11ax)产业发展的贡献 (26)6.华为Wi-Fi 6(802.11ax)产品和特性 (28)6.1业界首款商用Wi-Fi 6 AP (28)6.2华为自适应阵列天线 (28)6.3三射频& 双5G设计 (29)6.4SmartRadio技术-智能射频调优 (30)6.5SmartRadio技术-智能EDCA调度 (32)6.6SmartRadio技术-智能无损漫游 (33)7.总结 (35)1.Wi-Fi发展简介Wi-Fi已成为当今世界无处不在的技术,为数十亿设备提供连接,也是越来越多的用户上网接入的首选方式,并且有逐步取代有线接入的趋势。
为适应新的业务应用和减小与有线网络带宽的差距,每一代802.11的标准都在大幅度的提升其速率。
1997年IEEE制定出第一个无线局域网标准802.11,数据传输速率仅有2Mbps,但这个标准的诞生改变了用户的接入方式,使人们从线缆的束缚中解脱出来,。
随着人们对网络传输速率的要求不断提升,在1999年IEEE发布了802.11b标准。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
华为802.1X技术白皮书华为802.1X技术白皮书目录1概述 (1)2802.1X的基本原理 (1)2.1 体系结构 (1)2.1.1端口P AE (2)2.1.2受控端口 (2)2.1.3受控方向 (2)2.2 工作机制 (2)2.3 认证流程 (3)3华为802.1X的特点 (3)3.1 基于MAC的用户特征识别 (3)3.2 用户特征绑定 (4)3.3 认证触发方式 (4)3.3.1标准EAP触发方式 (4)3.3.2DHCP触发方式 (4)3.3.3华为专有触发方式 (4)3.4 T RUNK端口认证 (4)3.5 用户业务下发 (5)3.5.1VLAN业务 (5)3.5.2CAR业务 (5)3.6 P ROXY检测 (5)3.6.1Proxy典型应用方式 (5)3.6.2Proxy检测机制 (5)3.6.3Proxy检测结果处理 (6)3.7 IP地址管理 (6)3.7.1IP获取 (6)3.7.2IP释放 (6)3.7.3IP上传 (7)3.8 基于端口的用户容量限制 (7)3.9 支持多种认证方法 (7)3.9.1P AP方法 (7)3.9.2CHAP方法 (8)3.9.3EAP方法 (8)3.10 独特的握手机制 (8)3.11 对认证服务器的兼容 (8)3.11.1EAP终结方式 (8)3.11.2EAP中继方式 (9)3.12 内置认证服务器 (9)3.13 基于802.1X的受控组播 (9)3.14 完善的整体解决方案 (10)4典型组网 (10)4.1 集中认证方案 (10)4.2 边缘分布认证方案 (10)4.3 内置服务器认证方案 (11)5结论与展望 (11)摘要802.1X作为一种基于端口的用户访问控制安全机制,由于其低成本、良好的业务连续性和扩充性以及较高的安全性和灵活性,自从2001年6月正式成为IEEE 802系列标准开始,便迅速受到了包括华为在内的设备制造商、各大网络运营商和最终用户在内的广泛支持和肯定。
本文介绍了802.1X的基本概念和技术原理,以及华为公司802.1X解决方案的特点和组网情况。
关键词802.1X 受控端口 RADIUS 客户端设备端缩略语802.1X 本文指IEEE 802.1X标准RADIUS 远程用户拨入认证服务(Remote Authentication Dial In User Service)PAP 密码验证协议(Password Authentication Protocol)CHAP 质询握手验证协议(Challenge Handshake Authentication Protocol)EAP 扩展验证协议(Extensible Authentication Protocol)MD5 消息摘要算法5版本(Message-Digest Algorithm 5)PAE 端口认证实体(Port Authentication Entity)CAR 承诺存取速率(Commit Access Rate)AP 无线接入访问点(Access Point)1概述802.1X,全称是Port-Based Networks Access Control,即基于端口的网络访问控制。
802.1X作为一种基于端口的用户访问控制机制,由于其低成本、良好的业务连续性和扩充性以及较高的安全性和灵活性,自从2001年6月正式成为IEEE 802系列标准开始,便迅速受到了包括华为在内的设备制造商、各大网络运营商和最终用户在内的广泛支持和肯定。
IEEE 802 协议定义的局域网不提供接入认证,一般来说,只要用户接入局域网就可以访问网络上的设备或资源。
但是对于如电信接入、写字楼局域网以及移动办公等应用场合,网络管理者希望能对用户设备的接入进行控制和配置,为此产生了基于端口或用户的网络接入控制需求。
目前802.1X技术在宽带城域网和园区网中获得了大量的应用。
在现在竞争激烈的宽带网络建设中,基本业务类似的情况下,802.1X及其扩展业务特性往往成为关键点。
华为公司VRP平台的802.1X业务除兼容标准外,根据需要进行了多项扩充。
2802.1X的基本原理2.1体系结构IEEE 802.1X的体系结构如图1 所示。
802.1X系统共有三个实体:Supplicant(客户端),Authenticator System(设备端),Authentication Server System(认证服务器)。
图1 IEEE 802.1X认证系统体系结构客户端是位于点对点局域网段一端的一个实体,由连接到该链接另一端的设备端对其进行认证。
客户端一般为一个用户终端设备,用户通过启动客户端软件发起802.1X认证。
客户端必须支持EAPOL协议。
设备端是位于点对点局域网段一端的一个实体,便于对连接到该链接另一端的实体进行认证。
设备端通常为支持802.1X协议的网络设备,它为客户端提供接入局域网的端口,该端口可以是物理端口(如以太网交换机的一个以太网口或者AP的接入信道),也可以是逻辑端口(如用户的MAC地址、VLAN ID等)。
认证服务器是为设备端提供认证服务的实体。
认证服务器用于实现用户的认证、授权和计费。
本文中,认证服务器均以RADIUS服务器为例。
2.1.1端口PAE端口PAE为802.1X系统中,一个给定的设备端口执行算法和协议操作的实体对象。
设备端PAE利用认证服务器对需要接入局域网的客户端执行认证,并根据认证结果相应地控制受控端口的授权/非授权状态。
客户端PAE负责响应设备端的认证请求,向设备端提交用户的认证信息。
客户端PAE也可以主动向设备端发送认证请求和下线请求。
2.1.2受控端口设备端为客户端提供接入局域网的端口,这个端口被划分为两个虚端口:受控端口和非受控端口。
非受控端口始终处于双向连通状态,用于传递EAP认证报文。
受控端口在授权状态下处于连通状态,用于传递业务报文;受控端口在非授权状态下处于断开状态,禁止传递任何报文。
受控端口和非受控端口是同一端口的两个部分;任何到达该端口的帧,在受控端口与非受控端口上均可见。
如图2所示。
图2 非受控端口和受控端口2.1.3受控方向在非授权状态下,受控端口可以被设置成单向受控和双向受控。
实行双向受控时,禁止帧的发送和接收;实行单向受控时,禁止从客户端接收帧,但允许向客户端发送帧。
默认情况下,受控端口实行双向受控。
2.2工作机制IEEE 802.1X认证系统利用EAP协议,作为在客户端和认证服务器之间交换认证信息的手段。
在客户端PAE与设备端PAE之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN环境中。
在设备端PAE与RADIUS服务器之间,EAP协议报文可以使用EAPOR封装格式(EAP over RADIUS),承载于RADIUS协议中;也可以由设备端PAE进行终结,而在设备端PAE与RADIUS 服务器之间传送PAP协议报文或CHAP协议报文(参见IETF RFC 1994)。
设备端PAE和认证功能相分离,RADIUS服务器可以使用多种不同的认证机制对客户端PAE 进行认证,包括MD5-challenge、TLS、PAP、智能卡、Kerberos、Public Key Encryption、One Time Passwords等等。
在非共享网段的有线LAN中,一般实现MD5-challenge认证机制;在共享网段的有线LAN和WLAN中,通常实现双向认证。
设备端PAE根据RADIUS服务器的指示(Accept或Reject)决定受控端口的授权/非授权状态。
RADIUS协议承载的图3 IEEE 802.1X认证系统的工作机制2.3认证流程以设备端PAE对EAP报文进行中继转发为例,IEEE 802.1X认证系统的基本业务流程如图4所示。
图4 IEEE 802.1X认证系统的EAP方式业务流程3华为802.1X的特点华为公司根据国内网络实际运营环境和特点,在符合标准的基础上,根据多项发明专利,有效地扩展了802.1X的业务支持能力和组网能力。
3.1基于MAC的用户特征识别IEEE 802.1X的标准是一个基于端口的访问控制协议,其基本要求是对用户接入端口进行控制。
这对无线接入访问点而言是足够的,因为一个用户占用一个信道。
但在电信接入和酒店等环境中,以端口为对象的控制粒度难以满足要求,基于MAC地址逻辑端口控制势在必行。
华为VRP平台的802.1X特性不仅提供基于端口(Portbased)的用户访问控制,而且提供基于用户MAC地址(Macbased)的访问控制。
控制粒度为端口,组网非常灵活。
系统缺省为Macbased的控制方式。
3.2用户特征绑定无论是基于端口认证还是基于用户MAC地址的认证,服务器验证的都是用户帐号,即“用户名+密码”。
一旦帐号泄漏,会给用户带来很大的安全隐患。
VRP平台的802.1X,可以与CAMS(综合接入管理系统)等RADIUS服务器或者设备内置认证服务器配合,实现用户帐号和用户特征的多种绑定,从而增强用户安全性。
绑定方式可以是用户账号与VLANID/MAC/PORT的任意组合。
例如:1.支持“用户账号+VLANID”绑定2.支持“用户账号+VLANID+PORT”绑定3.支持“用户账号+VLANID+PORT+MAC”绑定4.支持“用户账号+VLANID+PORT+MAC+IP”绑定某些绑定方式,例如“用户账号+IP”,需要华为扩展属性(VSA)支持。
3.3认证触发方式认证触发方式指用户通过何种报文来触发设备对用户进行认证。
华为802.1X系统支持三种认证触发方式,即可标准EAP、DHCP和华为专有方式。
3.3.1标准EAP触发方式IEEE 802.1X协议规定,可以通过EAP-Start报文触发认证。
在以太网中,802.1X 认证EAP报文分配地址为“01-80-C2-00-00-03”。
这里有两种情况,其一是仅仅第一个EAP-Start报文采用这个多播地址,其他EAP报文采用单播地址。
客户端和设备端分别采用对方报文的源地址作为向对方发送报文的目的地址。
其二是整个认证过程报文都采用协议分配多播地址作为目的地址。
在有线LAN中一般采用前一种情况以减少广播;在WLAN中一般采用后一种方式。
华为客户端支持上述两种方式。
3.3.2DHCP触发方式即采用DHCP报文作为触发设备对用户进行认证的条件。
WIN XP自带客户端即是这种情况。
3.3.3华为专有触发方式标准触发方式如上所述。
但是有些通信设备不能透传上述多播报文,如果在用户和认证设备之间存在这类设备,就会阻断用户认证请求。
华为公司通过采用专利技术“广播触发认证方式”,成功的解决了上述问题,使用户可以通过这类设备到达认证服务器完成认证。