802.1x与EAPoL.docVIP

802.1x与EAPOL 个人理解：802.1x与EAPOL主要用于LAN里面的端口授权认证。进过认证的端口为用户提供服务，否则端口处于关闭状态，端口可以是物理端口或者逻辑端口 EAPOL EAPOL简介 　　EAP是Extensible Authentication Protocol的缩写，EAPOL就是(EAP OVER LAN )基于局域网的扩展认证协议。 　　EAPOL是基于802.1X网络访问认证技术发展而来的。 　　802.1X 的实现设计三个部分，请求者系统、认证系统和认证服务器系统。因此EAPOL也是。 　　当认证系统工作于中继方式时，认证系统与认证服务器之间也运行EAP协议，EAP帧中封装认证数据，将该协议承载在其它高层次协议中(如 RADIUS)，以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时，认证系统终结EAPoL消息，并转换为其它认证协议(如 RADIUS)，传递用户认证信息给认证服务器系统。 　　认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双向连通状态，主要用来传递EAPoL协议帧，可随时保证接收认证请求者发出的EAPoL认证报文;受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。 　　整个802.1X的认证过程可以描述如下 　　(1) 客户端向接入设备发送一个EAPoL-Start报文，开始802.1X认证接入; 　　(2) 接入设备向客户端发送EAP-Request/Identity报文，要求客户端将用户名送上来; 　　(3) 客户端回应一个EAP-Response/Identity给接入设备的请求，其中包括用户名; 　　(4) 接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中，发送给认证服务器; 　　(5) 认证服务器产生一个Challenge，通过接入设备将RADIUS Access-Challenge报文发送给客户端，其中包含有EAP-Request/MD5-Challenge; 　　(6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端，要求客户端进行认证 　　(7) 客户端收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回应给接入设备 　　(8) 接入设备将Challenge，Challenged Password和用户名一起送到RADIUS服务器，由RADIUS服务器进行认证 　　(9)RADIUS服务器根据用户信息，做MD5算法，判断用户是否合法，然后回应认证成功/失败报文到接入设备。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束; 　　(10) 如果认证通过，用户通过标准的DHCP协议 (可以是DHCP Relay) ，通过接入设备获取规划的IP地址; 　　(11) 如果认证通过，接入设备发起计费开始请求给RADIUS用户认证服务器; 　　(12)RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕 EAPoL总结: EAPoL与802.1x实际上是认证协议的一种，与RADIUS类似，不同的是 RADIUS相对高级，可以用于用户与接入设备，接入设备与BRAS，BRAS与RADIUS服务器的通信 而EAPoL与802.1x只用于用户和接入设备直接的通信认证，更高层次的认证是将EAPoL/802.1x封装到RADIUS协议中进行的。 802.1x IEEE 802.1X标准（以下简称802.1X）是一种基于端口的网络接入控制（Port Based Network Access Control）协议。 如果连接在端口上的用户能够通过认证，则可以通过端口访问网络中的资源；如果不能 通过认证，则无法访问网络中的资源（相当于连接被物理断开）。 802.1X标准的端口既可以是物理端口，也可以是逻辑端口。 802.1x的特性 l 支持基于业务虚端口的接入控制方式： 这种方式下，每个业务虚端口最多支持1个用户。 l 支持基于端口或端口+MAC接入控制方式，这种方式下，每个端口最多支持1个用户。 l 支持EAPoL或DHCP触发802.1X认证。 l 支持主动探测功能，主动触发802.1X认证。 l 支持802.1X扩展的Keep Alive机制，实时检测用户在线状态。 l 支持EAP终结方式和EAP中继方式。 802.1x的原理 802.1X对基于端口的网络接入控制进行了定义，其主要思路是： l 接入设备提供对接入端口(物理端