802.1x与EAPOL
个人理解:802.1x与EAPOL主要用于LAN里面的端口授权认证。进过认证的端口为用户提供服务,否则端口处于关闭状态,端口可以是物理端口或者逻辑端口
EAPOL
EAPOL简介
EAP是Extensible Authentication Protocol的缩写,EAPOL就是(EAP OVER LAN )基于局域网的扩展认证协议。
EAPOL是基于802.1X网络访问认证技术发展而来的。
802.1X 的实现设计三个部分,请求者系统、认证系统和认证服务器系统。因此EAPOL也是。
当认证系统工作于中继方式时,认证系统与认证服务器之间也运行EAP协议,EAP帧中封装认证数据,将该协议承载在其它高层次协议中(如 RADIUS),以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时,认证系统终结EAPoL消息,并转换为其它认证协议(如 RADIUS),传递用户认证信息给认证服务器系统。
认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双向连通状态,主要用来传递EAPoL协议帧,可随时保证接收认证请求者发出的EAPoL认证报文;受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。
整个802.1X的认证过程可以描述如下
(1) 客户端向接入设备发送一个EAPoL-Start报文,开始802.1X认证接入;
(2) 接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;
(3) 客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名;
(4) 接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,发送给认证服务器;
(5) 认证服务器产生一个Challenge,通过接入设备将RADIUS Access-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge;
(6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证
(7) 客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备
(8) 接入设备将Challenge,Challenged Password和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证
(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结束;
(10) 如果认证通过,用户通过标准的DHCP协议 (可以是DHCP Relay) ,通过接入设备获取规划的IP地址;
(11) 如果认证通过,接入设备发起计费开始请求给RADIUS用户认证服务器;
(12)RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕
EAPoL总结:
EAPoL与802.1x实际上是认证协议的一种,与RADIUS类似,不同的是
1. RADIUS相对高级,可以用于用户与接入设备,接入设备与BRAS,BRAS与RADIUS服务器的通信
2. 而EAPoL与802.1x只用于用户和接入设备直接的通信认证,更高层次的认证是将EAPoL/802.1x封装到RADIUS协议中进行的。
802.1x
IEEE 802.1X标准(以下简称802.1X)是一种基于端口的网络接入控制(Port Based
Network Access Control)协议。
如果连接在端口上的用户能够通过认证,则可以通过端口访问网络中的资源;如果不能
通过认证,则无法访问网络中的资源(相当于连接被物理断开)。
802.1X标准的端口既可以是物理端口,也可以是逻辑端口。
802.1x的特性
l 支持基于业务虚端口的接入控制方式:
这种方式下,每个业务虚端口最多支持1个用户。
l 支持基于端口或端口+MAC接入控制方式,这种方式下,每个端口最多支持1个用户。
l 支持EAPoL或DHCP触发802.1X认证。
l 支持主动探测功能,主动触发802.1X认证。
l 支持802.1X扩展的Keep Alive机制,实时检测用户在线状态。
l 支持EAP终结方式和EAP中继方式。
802.1x的原理
802.1X对基于端口的网络接入控制进行了定义,其主要思路是:
l 接入设备提供对接入端口(物理端口或逻辑端口)进行认证控制的功能。
l 在端口通过认证之前,端口处于关闭状态,连接在该端口上的用户无法获取网络资源。
l 如果用户能够通过认证,则端口打开,用户可以正常访问网络。否则,端口关闭,用户不能访问网络。
802.1X系统定义了三个功能实体:请求者系统、认证系统和认证服务器系统。802.1X
体系结构如图13-7所示。
一般说来,数字用户终端承载请求者系统实体功能,需要安装支持802.1X的客户端软
件,通过客户端软件发起认证和退出认证。
认证系统对请求者的请求进行认证,认证系统通常为支持802.lX协议的网络设备,为请
求者提供服务端口,该端口可以是物理端口也可以是逻辑端口,对接入用户实现802.1X
认证。
认证服务器是为认证系统提供认证服务的实体,802.1X的认证服务器系统一般驻留在运
营商的AAA中心。
认证系统的端口可以分成两类端口:受控端口(Controlled Port)和非受控端口
(Uncontrolled Port)。
l 受控端口用于传送通过认证的业务报文。如果用户通过认证,则受控端口的状态为
已认证状态,可以传送业务报文;如果用户未通过认证,则受控端口的状态为未认
证状态,不能传送业务报文。
l 非受控端口始终处于双向连通状态,可以传送认证协议报文,与受控端口的状态是
已认证状态(Authorized)或者未认证状态(Unauthorized)无关。
