peap 身份验证协议

PEAP

受保护的可扩展的身份验证协议 (PEAP) 是可扩展的身份验证协议 (EAP) 家族的一个新成员。PEAP 使用传输级别安全性 (TLS) 在正在验证的 PEAP 客户端(例如无线计算机)和 PEAP 身份验证器(例如 Internet 验证服务 (IAS) 或远程验证拨号用户服务 (RADIUS) 服务器)之间创建加密通道。PEAP 不指定验证方法,但是会为其他 EAP 验证协议提供额外的安全性,例如 EAP-MSCHAPv2 协议,该协议可以通过 PEAP 提供的 TLS 加密通道得以实现。PEAP 用作 802.11 无线客户端计算机的身份验证方法,但虚拟专用网 (VPN) 客户端或其他远程访问客户端不支持它。

为增强 EAP 协议和网络安全性,PEAP 提供:

对通过 TLS 通道在客户端和服务器之间进行的 EAP 方法协商的保护。这有助于防止攻击者在客户端和网络访问服务器 (NAS) 之间插入数据包,以防对安全性较低的 EAP 方法进行协商。加密 TLS 通道也助于防止针对 IAS 服务器进行的拒绝服务攻击。

对消息碎片和消息重组的支持,允许使用不提供此功能的 EAP 类型。

能够对 IAS 或 RADIUS 服务器进行身份验证的无线客户端。因为服务器也对客户端进行身份验证,所以相互进行身份验证的情况出现。

当 EAP 客户端验证 IAS 服务器所提供的证书时,对部署未经授权的无线访问点 (WAP) 的保护。另外,PEAP 身份验证器和客户端创建的 TLS 主机密不与该访问点共享。因此,该访问点不能解密受 PEAP 保护的消息。

PEAP 快速重新连接,它减少客户端身份验证请求和 IAS 或 RADIUS 服务器响应之间的时间延迟,并允许无线客户端在访问点之间移动而无需重复身份验证请求。这样可以减少客户端和服务器的资源要求。

PEAP 身份验证过程

PEAP 客户端和身份验证器之间的 PEAP 身份验证过程有两个阶段。第一个阶段建立 PEAP 客户端和身份验证服务器之间的安全通道。第二个阶段提供 EAP 客户端和身份验证器之间的 EAP 身份验证。

TLS 加密通道

无线客户端与无线访问点关联。在客户端和访问点之间创建安全关联之前,基于 IEEE 802.11 的关联会提供开放系统或共享密钥验证。在客户端与访问点之间成功建立基于 IEEE 802.11 的关联之后,TLS 会话与访问点协商。成功完成无线客户端和服务器(例如 IAS 服务器)之间的身份验证之后,TLS 会话之间进行协商。在此协商期间获得的密钥用于加密所有后续通信。

进行 EAP 身份验证的通信

整个 EAP 通信,包括 EAP 协商在内,都通过 TLS 通道进行。IAS 服务器对用户和客户端计算机进行身份验证,具体方法由 EAP 类型决定,在 PEAP 内部选择使用(EAP-TLS 或 EAP-MS-CHAPv2)。访问点只会在无线客户端和 RADIUS 服务器之间转发消息,由于不是 TLS 终结点,访问点(或者对它们进行监视的人)无法对这些消息进行解密。

使用 PEAP 的 802.11 无线部署

可以在两种 EAP 类型中选择一种与 PEAP 共同使用:EAP-MS-CHAPv2 或 EAP-TLS。EAP-MS-CHAPv2 使用凭据(用户名和密码)进行用户身份验证,使用服务器计算机证书存储中的证书进行服务器验证。EAP-TLS 使用安装在客户端计算机或智能卡中的证书进行用户和客户端计算机验证,使用服务器计算机证书存储中的证书进行服务器验证。

带 EAP-MS-CHAPv2 的 PEAP

带 EAP-MS-CHAPv2 (PEAP-EAP-MS-CHAPv2) 的 PEAP 比 EAP-TLS 更易于部署,因为用户身份验证是使用基于密码的凭据(用户名和密码)来完成的,而不是使用证书或智能卡 - 只有 IAS 或 RADIUS 服务器需要有证书。另外,服务器证书可以由客户端计算机所信任的公共证书颁发机构 (CA) 颁发(即,公用的 CA 证书已经存在于客户端计算机证书存储中的“受信根证书颁发机构”文件夹内)。在这种情况下,服务器证书不会被下载和添加到客户端受信任的根证书存储中,用户也不会被提示来决定是否信任服务器。

PEAP-EAP-MS-CHAPv2 可以提供比 MS-CHAPv2 更高的安全性,它使用相互身份验证,防止未经授权的服务器协商最不安全的身份验证方法,提供 TLS 生成的密钥。PEAP-EAP-MS-CHAPv2 要求客户端信任服务器提供的证书。

有关服务器和客户端计算机证书要求,请参阅网络访问身份验证和证书。有关使用 PEAP-EAP-MS-CHAPv2 的无线访问策略示例,请参阅使用安全密码身份验证的无线访问

带 EAP-TLS 的 PEAP

公钥证书提供的身份验证方法比使用基于密码的凭据更强。带 EAP-TLS 的 PEAP (PEAP-EAP-TLS) 使用证书对服务器进行身份验证,使用证书或智能卡对用户及客户端计算机进行身份验证。要使用 PEAP-EAP-TLS,必须部署公钥基础结构 (PKI)。

详细信息,请参阅网络访问身份验证和证书

PEAP 快速重新连接

PEAP 快速重新连接,能使无线客户端可以在同一网络的无线访问点之间移动,而不必在每次与新访问点关联时都被重新验证身份。

将无线访问点配置为 RADIUS 服务器的 RADIUS 客户端。如果无线客户端在配置为同一 RADIUS 服务器的客户端的访问点之间漫游,客户端无需因每个新关联而进行身份验证。当客户端移动到配置为不同 RADIUS 服务器的 RADIUS 客户端的访问点时,虽然要对客户端重新验证身份,但是此过程处理的效率要高得多。

因为将身份验证请求从新服务器转发到原来的服务器,所以 PEAP 快速重新连接减少了客户端和身份验证器之间的响应时间。由于 PEAP 客户端和身份验证器都使用先前缓存的 TLS 连接属性(其集合称为 TLS 句柄),所以身份验证器可以快速确定客户端连接是重新连接。

如果原来的 PEAP 身份验证器不可用,则在客户端和新的身份验证器之间必须进行完整的身份验证。客户端缓存新的 PEAP 身份验证器的 TLS 句柄。客户端可以缓存多个 PEAP 身份验证器的 TLS 句柄。对于智能卡或 PEAP-EAP-MSCHAPv2 身份验证,要求用户分别提供 PIN 或凭据。

使用 PEAP-EAP-MS-CHAPv2 身份验证:

 
在新的访问点是同一 RADIUS 服务器的客户端时 在新的访问点是新 RADIUS 服务器的客户端时

每次客户端计算机与新访问点关联时,不提示用户输入凭据。

提示用户在此初始关联上输入凭据。下一次客户端计算机与作为该服务器的客户端的访问点关联时,不需要用户凭据。

不需要 RADIUS 服务器提供证书。

RADIUS 服务器提供此初始关联上的证书,以便无线客户端可以对 RADIUS 服务器进行身份验证。下一次客户端计算机与作为该服务器的客户端的访问点关联时,不需要对服务器重新进行身份验证。

 

 

使用 PEAP-EAP-TLS 身份验证:

 
在新的访问点是同一 RADIUS 服务器的客户端时 在新的访问点是新 RADIUS 服务器的客户端时

不需要客户端和服务器交换证书。

客户端和服务器在此初始关联上交换证书。下一次客户端计算机与作为该服务器的客户端的访问点关联时,不交换证书。

客户端计算机每次与新访问点关联时,都不会提示用户输入智能卡的个人识别号 (PIN)。

提示用户在此初始关联上输入智能卡 PIN。下一次客户端计算机与该服务器的客户端的访问点关联时,不提示用户输入 PIN。

 

 

有关 RADIUS 客户端的详细信息,请参阅 RADIUS 基础结构的组件

有关 RADIUS 代理服务器的详细信息,请参阅作为 RADIUS 代理的 IAS

要启用 PEAP 快速重新连接,请执行以下操作:

PEAP 客户端(802.11 无线客户端)和 PEAP 身份验证器(RADIUS 服务器)必须启用快速重新连接。

PEAP 客户端漫游所至的所有访问点,必须配置为 RADIUS 服务器(PEAP 身份验证器)的 RADIUS 客户端,对于此服务器,PEAP 配置为无线连接的身份验证方法。

与 PEAP 客户端关联的所有访问点,都必须配置为优先选择同一 RADIUS 服务器(PEAP 身份验证器),以免被提示输入每个 RADIUS 服务器的凭据。如果访问点不能配置为优先选择 RADIUS 服务器,那么可以配置 IAS RADIUS 代理使用首选 RADIUS 服务器。

详细信息,请参阅配置 PEAP 和 EAP 方法

注意

在将 PEAP-EAP-TLS 和 EAP-TLS 身份验证方法与证书一起使用时,TLS 使用缓存的证书属性,而不是从证书存储中读取证书。如果证书被更改,或者被删除并由新证书替代,TLS 会继续使用过期的缓存证书信息,直到该缓存过期或被刷新为止。如果更改或替换证书,那么可以通过重新启动服务器计算机刷新 TLS 缓存。

PEAP 不支持用户名和密码为空的来宾身份验证。

当部署 PEAP 和不受 PEAP 保护 的 EAP 时,无论是否具备 PEAP,都不要使用同一个 EAP 身份验证类型。例如,如果部署带 EAP-TLS 的 PEAP (PEAP-EAP-TLS) 时,请不要部署不具备 PEAP 的 EAP-TLS。用同一类型部署身份验证方法(一种带有 PEAP 保护,另一种没有 PEAP)将产生安全漏洞。

您可以在 Windows Server 2003 Standard Edition 中配置 IAS,最多配置 50 个 RADIUS 客户端和 2 个远程 RADIUS 服务器组。您可以采用完全合格的域名或 IP 地址定义 RADIUS 客户端,但不能通过指定 IP 地址范围定义 RADIUS 客户端组。如果将 RADIUS 客户端的完全合格的域名解析为多个 IP 地址,则 IAS 服务器采用 DNS 查询中返回的第一个 IP 地址。使用 Windows Server 2003 Enterprise Edition 和 Windows Server 2003 Datacenter Edition 中的 IAS,可以配置无限多个 RADIUS 客户端和远程 RADIUS 服务器组。另外,您可以通过指定 IP 地址范围来配置 RADIUS 客户端。

以上内容来自:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/3e94a25d-8922-4935-b248-540aa6b8c510.mspx?mfr=true

[图]备份和恢复 S1908+ 的配置

备份:
第一种方法(适用于可以登录的情况下)
首先备份一些文件:
1.配置好一个 tftp 服务器,要和交换机在同一段 ip 的。
2.接着
telnet 192.168.1.241
ruijie
en
ruijie
dir(config.text,s1916+.bin) 
查看文件

S1#copy flash:tftp: 复制 flash rom 里面的文件到 tftp
Source filename []?config.text 
要复制的文件名

Address of remote host []192.168.1.3 tftp 的地址

Destination filename [config.text]? 目的文件名

!
%Success : Transmission success,file length 378 
发送成功

第二种方法(适用于没有密码的情况下)
1.使用配置线连接好交换机和电脑。
2.关闭 S1908 的电源,然后打开超级终端,恢复到默认值后,每秒位数选57600。打开 S1908 电源,马上点连接,并连续按 Esc 键。
3.如果出现下图的时候就表示进入 ctrl 层,可以进行下一步了。如果10秒没有出现就重复第2个步骤吧。运气好,按一次就出来,运气不好,按烂 Esc 都出不来-_-# 。

4.出现 Continue with configuration dialog? [y/n] 当然是按 y 啦。出现工具菜单。记住,由于这个菜单是相对于交换机来说,所以 Download 是指从电脑下载到交换机,而 Upload 就是从交换机上传到电脑,别弄错了。

5.按 2 选择上传,然后输入要上传的文件名,等待  Xmodem upload file ... 的时候就在“传送”菜单选择“接收文件”,选择接收文件夹和协议(就 Xmodem 了),接着就是输入保存的文件名,确定就 OK 了,文件比较小,很快的。

恢复就不说了,只是目的地不一样。过程是一样的。下面附带配置的过程:

还原为未配置状态:

只需要删除 config.text 就可以了。命令是:
del flash:config.text
S1#reload
System configuration has been modified. Save? [yes/no]:n
Proceed with reload? [confirm]y

重启完后会出现 setup 的配置
------------------

S1#setup
       --- System Configuration Dialog ---

At any point you may enter a question mark '?' for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
Continue with configuration dialog? [yes/no]:y
Enter IP address:192.168.1.241
Enter IP netmask:255.255.255.0
Would you like to enter a default gateway address? [yes/no]:y
IP address of default gateway:192.168.1.254
Enter host name [S1]:
The enable secret is a one-way cryptographic secret use
instead of the enable password when it exists.
Enter enable secret:ruijie
Would you like to configure a Telnet password? [yes/no]:y
Enter Telnet password:ruijie

The following configuration command script was created:

interface VLAN 1
ip address 192.168.1.241 255.255.255.0
!
ip default-gateway 192.168.1.254
hostname S1
enable secret 5
&Z@IOrJ%2YLMp]K*5UAxB^"[YowNq&#Z
enable secret level 1 5 &Z@IOrJ%2YLMp]K*5UAxB^"[YowNq&#Z
!
end
Use this configuration? [yes/no]:y

Building configuration...

Use the enabled mode 'configure' command to modify this configuration.

Press RETURN to get started.

Initializing...
Done

0d:0h:0m:46s @5-WARMSTART:System warmstart
0d:0h:0m:46s @5-LINKUPDOWN:Fa0/2 changed state to up
0d:0h:0m:46s @5-LINKUPDOWN:Fa0/3 changed state to up
0d:0h:0m:46s @5-LINKUPDOWN:Fa0/8 changed state to up
0d:0h:0m:46s @5-LINKUPDOWN:VL1 changed state to up

S1>

网线的制作

目前,最常使用的布线标准有两个,即T568A标准和T568B标准。

T568A标准描述的线序从左到右依次为:1-白绿、2-绿、3-白橙、4-蓝、5-白蓝、6-橙、7-白棕、8-棕
T568B标准描述的线序从左到右依次为:
1-白橙、2-橙、3-白绿、4-蓝、5-白蓝、6-绿、7-白棕、8-棕

直通线制作:两头都是T568B标准,用在集线器、交换机、路由器和电脑互联。在网络施工中,建议使用T568B标准。

交叉线制作:一头是T568B标准,另一头是T568A标准,用于同等级的设备互联,如:电脑和电脑。

    千兆5类或超5类双绞线的形式与百兆网线的形式相同,也分为直通和交叉两种。直通网线与我们平时所使用的没有什么差别,都是一一对应的。但是传统的百兆网络只用到4 根线缆来传输,而千兆网络要用到8 根来传输,所以千兆交叉网线的制作与百兆不同。

制作方法如下:1对3,2对6,3对1,4对7,5对8,6对2,7对4,8对5
例如:
一端为:
白橙、橙,白绿、蓝,白蓝、绿,白棕、棕
另一端:
白绿、绿,白橙、白棕、棕,橙,蓝,白蓝

做好后接到千兆网卡上灯是显示橙色的。

OSI 七层和 TCP/IP 四层模型

┌─────┐
            │ 应用层 │←第七层
├─────┤
│ 表示层 │
├─────┤
│ 会话层 │
├─────┤
│ 传输层 │
├─────┤
│ 网络层 │
├─────┤
│数据链路层│
├─────┤
            │ 物理层 │←第一层
└─────┘
  OSI 七层参考模型

┌────────┐┌─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┐
│        ││D│F│W│F│H│G│T│I│S│U│ │
│        ││N│I│H│T│T│O│E│R│M│S│其│
│第四层,应用层 ││S│N│O│P│T│P│L│C│T│E│ │
│        ││ │G│I│ │P│H│N│ │P│N│ │
│        ││ │E│S│ │ │E│E│ │ │E│它│
│        ││ │R│ │ │ │R│T│ │ │T│ │
└────────┘└─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┘
┌────────┐┌─────────┬───────────┐
│第三层,传输层 ││   TCP   │    UDP    │
└────────┘└─────────┴───────────┘
┌────────┐┌─────┬────┬──────────┐
│        ││     │ICMP│          │
│第二层,网间层 ││     └────┘          │
│        ││       IP            │
└────────┘└─────────────────────┘
┌────────┐┌─────────┬───────────┐
│第一层,网络接口││ARP/RARP │    其它     │
└────────┘└─────────┴───────────┘
   TCP/IP 四层参考模型

用十进制计算IP

  要划分子网就需要计算子网掩码和分配相应的主机块,尽管采用二进制计算可以得出相应的结论,但如果采用十进制计算方法,计算起来更为简便。
一、明确概念
在介绍十进制算法前我们先要明确一些概念。各类范围:
IP地址常采用点分十进制表示方法X.Y.Y.Y,在这里,X在1~126范围内称为A类地址;X在128~191范围内称为B类地址;X在192~223范围内称为C类地址。比如10.202.52.130,因为X为10,在1~126范围内,所以称为A类地址。
A类IP段  0.0.0.0 到127.255.255.255
B类IP段  128.0.0.0 到191.255.255.255
C类IP段  192.0.0.0 到223.255.255.255各类默认子网掩码:
A类为 255.0.0.0; B类为 255.255.0.0; C类为 255.255.255.0。当我们要划分子网用到子网掩码M时,类子网掩码的格式如下:A类为 255.M.0.0,B类为 255.255.M.0,C类为255.255.255.M。M是相应的子网掩码,比如255.255.255.240。十进制计算基数是256(下面,我们所有的十进制计算都要用256来进行)。

二、变量说明

1.Subnet_block 指可分配子网块大小,表示在某一子网掩码下子网的块数。
2.Subnet_num 是可分配子网数,指可分配子网块中要剔除首、尾两块(注:RFC950中要求限制全0和全1的子网使用,不过实际中可以正常使用。),是某一子网掩码下可分配的实际子网数量。Subnet_num =Subnet_block-2。
3.IP_block 指每个子网可分配的IP地址块大小。
4.IP_num 指每个子网实际可分配的IP地址数。因为每个子网的首、尾IP地址必须保留(一个为网络地址,一个为广播地址),所以它等于IP_block-2,IP_num也用于计算主机块。
5.M 指子网掩码。

表示上述变量关系的公式如下:
    M=256-IP_block
IP_block=256/Subnet_block 或 Subnet_block=256/IP_block
IP_num=IP_block-2
Subnet_num=Subnet_block-2

6.2的幂数。大家要熟练掌握2的1至8次方(256)以内的2的幂代表的十进制数(如128=2的7次方、64=2的6次方等),这样可以使我们立即推算出Subnet_block和IP_block的数目。

三、举例说明

现在,通过举一些实际例子,大家可以对子网掩码和主机块的十进制算法有深刻的了解。

1.已知所需子网数12,求实际子网数。

这里实际子网数指Subnet_num,由于12最接近2的幂为16(2的4次方),即Subnet_block=16,那么Subnet_num=16-2=14,故实际子网数为14。

2.已知一个B类子网的每个子网主机数要达到60×255个(约相当于X.Y.0.1~X.Y.59.254的数量),求子网掩码。

首先,60接近2的幂为64(2的6次方),即IP_block=64; 其次,子网掩码M=256-IP_block=256-64=192,最后由子网掩码格式B类是255.255.M.0得出子网掩码为255.255.192.0。

3.如果所需子网数为7,求子网掩码。

7最接近2的幂为8,但8个Subnet_block因为要保留首、尾2个子网块,即 8-2=6< 7,并不能达到所需子网数,所以应取2的幂为16,即Subnet_block=16。因为IP_block=256/Subnet_block=256/16=16,所以子网掩码M=256-IP_block=256-16=240。

4.已知网络地址为211.134.12.0,要有4个子网,求子网掩码及主机块。

由于211.Y.Y.Y是一个C类网,子网掩码格式为255.255.255.M,又知有4个子网,4接近2的幂是8(2的3次方),所以Subnet_block=8,Subnet_num=8-2=6,IP_block=256/Subnet_block=256/8=32,子网掩码M=256-IP_block=256-32=224,故子网掩码表示为255.255.255.224。又因为子网块的首、尾两块不能使用,所以可分配6个子网,每个子网有32个可分配主机块,即32~63、64~95、96~127、128~159、160~191、192~223,其中首块(0~31)和尾块(224~255)不能使用。

由于每个子网块中的可分配主机块又有首、尾两个不能使用(一个是子网网络地址,一个是子网广播地址),所以主机块分别为33~62、65~94、97~126、129~158、161~190及193~222,因此子网掩码为255.255.255.224,主机块共有6段,分别为211.134.12.33~211.134.12.62、211.134.12.65~211.134.12.94、211.134.12.97~211.134.12.126、211.134.12.129~211.134.12.158、211.134.12.161~211.134.12.190及211.134.12.193~211.134.12.222。用户可以任选其中的4段作为4个子网。

总之,只要理解了公式中的逻辑关系,就能很快计算出子网掩码,并得出可分配的主机块。

FTP 的两种模式

FTP会话时包含了两个通道,一个叫控制通道,一个叫数据通道。

控制通道:控制通道是和FTP服务器进行沟通的通道,连接FTP,发送FTP指令都是通过控制通道来完成的。
数据通道:数据通道是和FTP服务器进行文件传输或者列表的通道。

FTP协议中,控制连接均有客户端发起,而数据连接有两种工作方式:PORT方式和PASV方式

 

PORT模式(主动方式)

FTP 客户端首先和FTP Server的TCP 21端口建立连接,通过这个通道发送命令,客户端需要接收数据的时候在这个通道上发送PORT命令。 PORT命令包含了客户端用什么端口(一个大于1024的端口)接收数据。在传送数据的时候,服务器端通过自己的TCP 20端口发送数据。 FTP server必须和客户端建立一个新的连接用来传送数据。

PASV模式(被动方式)

在建立控制通道的时候和PORT模式类似,当客户端通过这个通道发送PASV 命令的时候,FTP server打开一个位于1024和5000之间的随机端口并且通知客户端在这个端口上传送数据的请求,然后FTP server 将通过这个端口进行数据的传送,这个时候FTP server不再需要建立一个新的和客户端之间的连接传送数据。