EAPOL是基於802.1x網路訪問認證技術發展而來的。
802.1x 的實現設計三個部分,請求者系統、認證系統和認證伺服器系統。因此EAPOL也是。
當認證系統工作於中繼方式時,認證系統與認證伺服器之間也運行EAP協定,EAP幀中封裝認證數據,將該協定承載在其它高層次協定中(如 RADIUS),以便穿越複雜的網路到達認證伺服器;當認證系統工作於終結方式時,認證系統終結EAPoL訊息,並轉換為其它認證協定(如 RADIUS),傳遞用戶認證信息給認證伺服器系統。
認證系統每個物理連線埠內部包含有受控連線埠和非受控連線埠。非受控連線埠始終處於雙向連通狀態,主要用來傳遞EAPoL協定幀,可隨時保證接收認證請求者發出的EAPoL認證報文;受控連線埠只有在認證通過的狀態下才打開,用於傳遞網路資源和服務。
整個802.1x的認證過程可以描述如下
(1) 客戶端向接入設備傳送一個EAPoL-Start報文,開始802.1x認證接入;
(2) 接入設備向客戶端傳送EAP-Request/Identity報文,要求客戶端將用戶名送上來;
(3) 客戶端回應一個EAP-Response/Identity給接入設備的請求,其中包括用戶名;
(4) 接入設備將EAP-Response/Identity報文封裝到RADIUS Access-Request報文中,傳送給認證伺服器;
(5) 認證伺服器產生一個Challenge,通過接入設備將RADIUS Access-Challenge報文傳送給客戶端,其中包含有EAP-Request/MD5-Challenge;
(6) 接入設備通過EAP-Request/MD5-Challenge傳送給客戶端,要求客戶端進行認證
(7) 客戶端收到EAP-Request/MD5-Challenge報文後,將密碼和Challenge做MD5算法後的Challenged-Pass-word,在EAP-Response/MD5-Challenge回應給接入設備
(8) 接入設備將Challenge,Challenged Password和用戶名一起送到RADIUS伺服器,由RADIUS伺服器進行認證
(9)RADIUS伺服器根據用戶信息,做MD5算法,判斷用戶是否合法,然後回應認證成功/失敗報文到接入設備。如果成功,攜帶協商參數,以及用戶的相關業務屬性給用戶授權。如果認證失敗,則流程到此結束;
(10) 如果認證通過,用戶通過標準的DHCP協定 (可以是DHCP Relay) ,通過接入設備獲取規劃的IP位址;
(11) 如果認證通過,接入設備發起計費開始請求給RADIUS用戶認證伺服器;
(12)RADIUS用戶認證伺服器回應計費開始請求報文。用戶上線完畢
相關詞條
-
802.1x身份認證
伺服器的認證和授權功能。請求者和認證系統之間運行802.1x定義的EAPoL...工作於終結方式時,認證系統終結EAPoL訊息,並轉換為其它認證協定(如...傳遞EAPoL協定幀,可隨時保證接收認證請求者發出的EAPoL認證報文...
基本情況 具體內容 -
802.1x
接入控制和用戶數據安全,可以採用的安全措施是對EAPoL和用戶的其它數據...
協定 認證特點 工作過程 環境特點 安全性 -
智慧型交換機
智慧型交換機概述 從具有對每個連線埠的額外處理能力以及刀片伺服器間巨大頻寬高度集成的體系結構,到相對簡單的每個伺服器都配備專用的處理...
智慧型交換機概述 智慧型交換機支持的功能 智慧型交換機的套用 智慧型交換機的發展 -
可擴展認證協定
用於LAN連線,通常稱為 EAP over LAN(EAPOL)。無線...
可擴展認證協定(EAP) -
ZTE中興認證客戶端
RADIUS Client。懇請者和認證者之間通過EAPOL協定交換信息.../identity,則用戶可以從懇請者客戶端程式傳送一個EAPOL-STAR報文...退出認證狀態,可以傳送一個EAPOL-Logoff報文通知交換機,交換...
簡介 參數設定 啟動程式 認證 退出程式