8021X协议的工作机制流程详解.docVIP

作为一个认证协议，802.1X在实现的过程中有很多重要的工作机制。下图显示了802.1X协议的基本原理：Supplicant发出一个连接请求（EPAoL），该请求被Authenticator（支持802.1X协议的交换机）转发到Authentication Server（支持EAP验证的RADIUS服务器）上，Authentication Server得到认证请求后会对照用户数据库，验证通过后返回相应的网络参数，如客户终端的IP地址，MTU大小等。Authenticator得到这些信息后，会打开原本被堵塞的端口。客户机在得到这些参数后才能正常使用网络，否则端口就始终处于阻塞状态，只允许802.1X的认证报文EAPoL通过。?  HYPERLINK /forum/attachment.php?aid=56nothumb=yes \t _blank 3.5.GIF (3.42 KB) 2008-8-25 21:06 802.1X认证协议原理1.1.1基本认证流程图3-6是一个典型的认证会话流程，采用的认证机制是MD5-Challenge：(1)Supplicant发送一个EAPoL-Start报文发起认证过程。(2)Authenticator收到EAPoL-Start后，发送一个EAP-Request报文响应Supplicant的认证请求，请求用户ID。(3)Supplicant以一个EAP-Response报文响应EAP-Request，将用户ID封装在EAP报文中发给Authenticator。(4)Authenticator将Supplicant送来的EAP-Request报文与自己的NAS IP、NAS Port等相关信息一起封装在RADIUS Access-Request报文中发给认证服务器（Authentication Server）。?  HYPERLINK /forum/attachment.php?aid=57nothumb=yes \t _blank 3.6.GIF (10.85 KB) 2008-8-25 21:06 典型的认证会话流程(5)认证服务器收到RADIUS Access-Request报文后，将用户ID提取出来在数据库中进行查找。如果找不到该用户ID，则直接丢弃该报文；如果该用户ID存在，认证服务器会提取出用户的密码等信息，用一个随机生成的加密字进行MD5加密，生成密文。同时，将这个随机加密字封装在一个EAP-Challenge Request报文中，再将该EAP报文封装在RADIUS Access-Challenge报文的EAP-Message属性中发给Authenticator。(6)Authenticator收到RADIUS Access-Challenge报文后，将封装在该报文中的EAP-Challenge Request报文发送给Supplicant。(7)Supplicant用认证服务器发来的随机加密字对用户名密码等信息进行相同的MD5加密运算生成密文，将密文封装在一个EAP-Challenge Response报文中发给Authenticator。(8)Authenticator收到EAP-Challenge Response报文后，将其封装在一个RADIUS Access-Request报文的EAP-Message属性中发给认证服务器。(9)认证服务器拆开封装，将Supplicant发回的密文与自己在第（5）步中生成的密文进行对比。如果不一致，则认证失败，服务器将返回一条RADIUS Access-Reject信息，同时保持端口关闭状态；如果一致，则认证通过，服务器将一条EAP-Success消息封装在RADIUS Access-Accept报文的属性中发送给Authenticator。(10)Authenticator在接到认证服务器发来的RADIUS Access-Accept之后，将端口状态更改为“已授权”，同时将RADIUS Access-Accept中的EAP-Success报文拆出来发送给Supplicant。(11)Authenticator向认证服务器发送一个RADIUS Accounting-Request（Start）报文，申请开始计账。(12)认证服务器开始记账，向Authenticator返回RADIUS Accounting-Response报文。(13)用户下线时，Supplicant向Authenticator发送EAPOL-Logoff报文。(14)Authenticator向认证服务器发送RADIUS Accounting-Request（Stop）请求。(