实 验 报 告 实验名称 队 别 姓 名 李王丁 网络接入方式分析 学 号 实验日期 实验报告要求: 1.实验目的 2.实验要求 3.实验环境 4.实验作业 5.问题及解决 6.思考问题 7.实验体会 【实验目的】 1.复习Wireshark抓包工具的使用及数据包分析方法; 2.分析iNode(802.1x)的认证过程; 3.分析PPPoE的协议流程。 【实验要求】 用Wireshark1.4.9截包,分析数据包。 抓取iNode登陆过程的数据包,参考RFC3748等文档,分析802.1x的认证过程。 阅读RFC1661等文档,并根据提供的PPPoE数据包及文档,分析PPPoE的协议流程。 【实验环境】 用以太网交换机连接起来的windows 7操作系统的计算机,通过iNode客户端接入Internet。 【实验中出现问题及解决方法】 1.1.4.3中在分析802.1x认证过程的数据帧时,对17、18帧的分析无法进行,因为这两帧的EAP数据代码类型显示为未知(Unknown),且后面Length长度的数据没有解释。推测出现该结果的原因可能是Wireshark版本较低,无法解析该数据代码。也有可能是当前802.1x协议有补充文档,即EAP数据被定义有新类型的代码。另外,还有可能是学校的网络协议含有一些不同于一般802.1x接入方式的定制项目。 2.区别于数据链路层的EAP协议,1.2中的DHCP虽然属于802.1x认证过程,但是它属于应用层的网络协议,实质上并不在建立链路的认证过程中。为了使分析802.1x认证过程完整,查阅参考了有关DHCP协议的相关资料,比较全面地了解之后做了简要的分析。 3.2.3.3中“编码”字段的多个编码及LCP的多个配置选项的代码未知,还有一些与课本上介绍的内容不符。例如,LCP配置选项中认证协议是03,环数是05;还应有13/0d-回调控制协议CBCP;IPCP编码中还应有81-DNS服务器IP地址等。后来,通过网站MSDN找到了全面而准确的答案。 4.2.3.4-⑴-①中回调协议控制(CBCP)选项课本上没有介绍,所以开始以为是该选项的作用导致请求被拒绝。后来,同样是在MSDN网站上找到了一些相关的描述和实例,了解了其含义后认为请求拒绝与回调选项本身的作用无关。 5.2.3.4-⑶-②中WINS服务器IP地址课本上没有介绍,所以不知道为什么存在该项请求就被拒绝。后来查找了相关资料,了解到WINS服务器与DNS服务器的区别与联系:WINS实现的是IP地址和计算机名称的映射,DNS实现的是IP地址和域名的映射;WINS作用的范围是某个内部网络,DNS的范围是整个互联网。由此不难想到请求被拒绝的原因,可能是因为其作用的范围应该是互联网而不是内部网络。 【思考问题】 1.802.1x与PPPoE认证方式有何优点和缺陷? 802.1x的主要优点: 1、提供了连接到局域网的用户认证和授权手段,达到了接受合法用户接入,保护网络安全的目的。 2、协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本。 3、报文直接承载在二层报文上,业务流和认证流实现分离,对后续的数据包处理没有特殊要求。 4、通过组播实现解决其他认证协议广播问题,对组播业务的支持性好。 802.1x的主要缺点: 1、需要特定客户端软件,如iNode。 2、网络现有楼道交换机升级处理问题。
1
3、IP地址分配和网络安全问题。 4、计费无法开展基于流量的计费或满足用户永远在线的要求。 PPPoE的主要优点: 1、它使服务提供商可以在以太网上采用各种灵活的方式管理用户。 2、允许通过一个连接客户的简单以太网桥启动一个PPP对话。 3、会话过程建立虚拟的点对点连接,使用唯一的会话ID,能够保证通信过程的高效稳定。 4、是传统窄带拨号接入技术在以太网接入技术的延伸,和原有窄带网络用户接入认证体系一致。 PPPoE的主要优点: 1、PPP协议和Ethernet技术本质上存在差异,需要被封装到以太帧中,所以封装效率很低。 2、PPPoE在发现阶段会产生大量的广播流量,对网络性能产生很大的影响。 3、组播业务开展困难,而视频业务大部分是基于组播的。 4、需要运营商提供客户终端软件,维护工作量过大。 5、一般需要外置BAS,容易造成单点瓶颈和故障,而且该设备通常非常昂贵。 2.除了802.1x与PPPoE之外还有哪些常用的认证方式? 还有Web+Portal接入方式。Portal认证的基本过程如下: 1、客户机首先通过DHCP协议获取到IP地址,但是客户使用获取到的IP地址并不能登上Internet。 2、在认证通过前只能访问特定的IP地址,这个地址通常是Portal服务器的IP地址。(采用Portal认证的接入设备必须具备这个能力。一般通过修改接入设备的访问控制表ACL可以做到。) 3、用户登录到Portal Server后可以浏览上面的内容,比如广告、新闻等免费信息,同时用户还可以在网页上输入用户名和密码,它们会被WEB客户端应用程序传给Portal Server,再由Portal Server与NAS之间交互来实现用户的认证。 4、Portal Server与NAS之间用Portal协议直接通信,而NAS又与RADIUS 服务器直接通信,完成用户的认证和上线过程。因为安全问题,此过程通常支持安全性较强的CHAP式认证。 Portal接入方式的主要优点: 1、不需要特殊的客户端软件,降低网络维护工作量。 2、可以提供Portal等业务认证。 Portal接入方式的主要缺点: 1、WEB承载在7 2、用户连接性差,不容易检测用户离线,基于时间的计费较难实现。 3、用户在访问网络前,不管是 TELNET、FTP还是其它业务,必须使用浏览器进行WEB认证。 4、IP地址的分配在用户认证前,如果不是上网用户,会造成地址的浪费,而且不便于多ISP的支持。 【实验体会】 这次实验使得我对以太网的两种认证接入方式有了全面的了解。一方面,对学校校园网的工作模式有了新的认识,对客户端iNode的认证过程(802.1x)有了理论理解;另一方面,对小区常用的PPPoE接入方式有了系统化的了解。在两种方式的对比中,逐渐体会到了网络协议的一般模式与工作流程。 在这次实验过程中,我深刻体会到了阅读相关RFC文档的重要性。这些文档之间不是孤立的,而是很多都有时间和逻辑上的联系。有些网络协议需要多个RFC共同定义,例如PPPoE接入方式的相关文档有RFC1661、RFC1662和RFC1962等。还有的网络协议因为时间的推移,被不停地修改补充,因而需要相关的补充文档,例如802.1x认证方式中的unknown代码类型。除此之外,这次实验还使我认识到了网络资源的强大,很多英文网站上有大量知识面广、内容丰满的资源,例如解决问题3时求助的网站MSDN。 成绩 优 良 中 及格 不及格 教师签名: 日期:
2
【实验作业】
实验一 分析iNode(802.1x)的认证过程
1.1 802.1x认证简述
802.1x身份认证,又称EAPOE(Extensible Authentication Protocol Of Ethernet)认证,全称为基于以太网端口的可扩展身份验证协议。该协议由IEEE协会提出,是完成标准化的一个 符合IEEE 802协议集的局域网接入控制协议,主要用于宽带城域网。它提供了一种连接到局域网的用户认证和授权手段,达到了接受合法用户接入,保护网络安全的目的。
802.1x认证体系主要由以下三个部分组成:
客户端:一般安装在用户的工作站上,当用户有上网需求时,激活客户端程序,输入必要的用户名和口令,客户端程序将会送出连接请求。
认证系统:在以太网系统中指认证交换机,其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口。
认证服务器:通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的网络服务,并根据认证结果向交换机发出打开或保持端口关闭的状态。
1.2 802.1x认证过程描述
⑴ 客户端广播发送一个EAPOL-Start报文寻找认证系统,准备802.1x认证接入; ⑵ 认证系统向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来; ⑶ 客户端回应一个EAP-Response/Identity报文给认证系统的请求,其中包括用户名; ⑷ 认证系统将报文封装到RADIUS Access-Request报文中,发送给认证服务器; ⑸ 认证服务器产生一个Challenge,通过RADIUS Access-Challenge报文发送给认证系统; ⑹ 认证系统通过EAP-Request/MD5-Challenge报文将Challenge发送给客户端进行认证; ⑺ 客户端收到报文后,将用户名、密码和Challenge做MD5算法得到Challenged-Password,通过EAP-Response/MD5-Challenge报文回应给认证系统;
⑻ 认证系统将Challenge,Challenged Password和用户名一起,通过RADIUS Access-Request报文送到认证服务器进行认证;
⑼ 认证服务器根据用户信息,做MD5算法判断用户是否合法,如果合法,则回应RADIUS Access-Accept报文到认证系统; 3
⑽ 认证系统携带协商参数及用户的相关业务属性,通过EAP-Success报文给客户端授权; ⑾ 客户端通过标准的DHCP协议 ,通过认证系统获取规划的IP地址; ⑿ 认证系统发起计费开始请求给认证服务器,服务器回应计费开始请求,用户上线完毕。
1.3 DHCP配置过程描述
⑴ 客户端为获取IP地址,广播发送DHCP-DISCOVERY报文,联系本地所有DHCP服务器; ⑵ DHCP服务器响应客户端的请求,向客户端发送DHCP-OFFER报文,包含客户端的配置信息及分配给它的IP地址;
⑶ 客户端选择一个服务器并向其发送DHCP-REQUEST报文; ⑷ DHCP服务器如果同意使用该配置,将向客户端发送DHCP-ACK报文,完成配置过程。
1.4 实例分析iNode客户端登录时的802.1x认证过程
1.4.1 操作步骤
⑴ 打开Wireshark软件,选择网络接口,对以太网适配器进行抓包。 ⑵ 打开iNode客户端,采用802.1x接入方式,输入用户名(111100824)和密码,自动获取IP地址接入互联网。客户端认证过程如下图。
⑶ 接入网络后,停止Wireshark抓包,过滤并分析与802.1x认证过程相关的数据包。
1.4.2 EAP数据包格式
EAP(Extensible Authentication Protocol,可扩展身份验证协议)的数据包通过IEEE 802协议集被定义在802.1x中,如果802.1x认证数据段内含的是EAP协议,则其头部的类型(Type)字节为[00](EAP Packet)。
EAP数据包格式如下图所示,这些字段从左到右传送。
4
代码(Code)字段是一个字节,确定了EAP数据包类型。定义了代码1-4,其它的代码将被简单丢弃。 01 请求 02 回应 03 成功 04 失败
身份(Id)字段是一个字节,用于匹配请求的回应。一次会话的两个或多个EAP数据包身份应相同。 长度(Length)字段是两个字节,用于表示EAP数据包包含代码,身份,长度和数据字段的字节数。超出长度字段的字节将被当作数据链路层的填补而被忽略,而当消息长度字段设置的值大于接收字节数时,将被简单丢弃。
数据(Data)字段是0字节或多字节,格式由代码字段确定。当代码字段是请求(01)或者回应(02)时,数据字段是多字节,请求/回应类型(Type)主要有:
01 身份
02 通知
03 Nak响应
04 MD5-挑战
254 扩展类型
正常且正确的认证过程一般只包含类型1和4。
1.4.3 认证过程分析
Ⅰ.先通过关键词“eapol”过滤出EAPOL协议的数据包,如下图。与认证过程相关的帧数为10、11、14、15、16、20。除此之外的第17、18帧代码类型未知(Unknown),原因可能是:1、Wireshark版本较低,无法解析该数据代码。2、802.1x协议有相关补充文档,即EAP数据有新类型的代码。3、学校的网络协议含有一些不同于一般802.1x接入方式的定制项目;第195、196和197帧已经不属于认证过程。
认证过程
以上的每一帧都由两部分组成:属于数据链路层的MAC帧头帧尾,和封装在其中的EAP协议数据段。其中,前者在整个认证过程中的数据基本相似,因此对MAC帧头帧尾只分析第10、11帧。
① 第10帧:EAPOL-Start报文
这一帧的作用是客户端通过广播一个EAPOL-Start报文,用来寻找所有可以接入的认证系统,过程对应上文1.2-⑴。
开始是MAC帧头信息,从ff到8e共14个字节。1-6字节是目标MAC地址[ff:ff:ff:ff:ff:ff],表示发送方式是广播(Broadcast)。7-12字节是源MAC地址[5c:26:0a:7e:3b:c7],解析为Dell_7e:3b:c7,对应于本机品牌(戴尔)和以太网适配器的物理地址,见下图,表示该帧由本机客户端发送。13-14字节是数据帧类型[0x888e],表示该帧封装了802.1x Authentication数据。
5