2024年6月2日发(作者:)

802.1x与EAPOL

个人理解:802.1x与EAPOL主要用于LAN里面的端口授权认证。进过认证的端口为

用户提供服务,否则端口处于关闭状态,端口可以是物理端口或者逻辑端口

EAPOL

EAPOL简介

EAP是Extensible Authentication Protocol的缩写,EAPOL就是(EAP OVER LAN )

基于局域网的扩展认证协议。

EAPOL是基于802.1X网络访问认证技术发展而来的。

802.1X 的实现设计三个部分,请求者系统、认证系统和认证服务器系统。因此EAPOL

也是。

当认证系统工作于中继方式时,认证系统与认证服务器之间也运行EAP协议,EAP帧

中封装认证数据,将该协议承载在其它高层次协议中(如 RADIUS),以便穿越复杂的网络

到达认证服务器;当认证系统工作于终结方式时,认证系统终结EAPoL消息,并转换为其

它认证协议(如 RADIUS),传递用户认证信息给认证服务器系统。

认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双向

连通状态,主要用来传递EAPoL协议帧,可随时保证接收认证请求者发出的EAPoL认证

报文;受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。

整个802.1X的认证过程可以描述如下

(1) 客户端向接入设备发送一个EAPoL-Start报文,开始802.1X认证接入;

(2) 接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;

(3) 客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名;

(4) 接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报

文中,发送给认证服务器;

(5) 认证服务器产生一个Challenge,通过接入设备将RADIUS Access-Challenge

报文发送给客户端,其中包含有EAP-Request/MD5-Challenge;

(6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认

(7) 客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5

算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备

(8) 接入设备将Challenge,Challenged Password和用户名一起送到RADIUS服务

器,由RADIUS服务器进行认证

(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证

成功/失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务属性给用户授

权。如果认证失败,则流程到此结束;