北信源桌面终端标准化管理系统
准入控制技术
使用手册
2010年5月
1-1. 802.1x的工作机制
勒夫波
IEEE 802.1x认证系统利用EAP(Extensible Authentication Protocol,可扩展认证协议)协议,作为在客户端和认证服务器之间交换认证信息的手段。 粽子机
802.1x认证系统的工作机制
在客户端PAE与设备端PAE之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN环境中。 在设备端PAE与RADIUS服务器之间,EAP协议报文可以使用EAPOR封装格式(EAP over RADIUS),承载于RADIUS协议中;也可以由设备端PAE进行终结,而在设备端PAE与RADIUS服务器之间传送PAP协议报文或CHAP协议报文。
便利贴印刷
当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE根据RADIUS服务器的指示(Accept或Reject)决定受控端口的授权/非授权状态。 1-2. 802.1x的认证过程
802.1x认证系统的认证过程
1. 当用户有上网需求时打开802.1x客户端,输入已经申请、登记过的用户名和口令,发起连接请求(EAPOL-Start报文)。此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。 正交编码器木砧板2. 交换机收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity报文)要求用户的客户端程序发送输入的用户名。
3. 客户端程序响应交换机发出的请求,将用户名信息通过数据帧(EAP-Response/Identity报文)送给交换机。交换机将客户端送上来的数据帧经过封包处理后(RADIUS Access-Request报文)送给RADIUS服务器进行处理。
4. RADIUS服务器收到交换机转发的用户名信息后,将该信息与数据库中的用户名表相比对,到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字通过RADIUS Access-Challenge报文传送给交换机,由交换机传给客户端程序。润滑油分配器
5. 客户端程序收到由交换机传来的加密字(EAP-Request/MD5 Challenge报文)后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的,生成EAP-Response/MD5 Challenge报文),并通过交换机传给RADIUS服务器。
6. RADIUS服务器将加密后的口令信息(RADIUS Access-Requeset报文)和自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息(RADIUS Access-Accept报文和EAP-Success报文)。交换机将端口状态改为授权状态,允许用户通过该端口访问网络。如果用户名和口令不正确,则将该端口状态改为非授权状态,将将该端口跳转到guest-vlan.
