EAP_交換機知識--802.1X

2023年12月13日發(作者：格列佛游記好詞好句)

802.1X協議是IEEE802 LAN/WAN委員會為了解決無線局域網網絡安全問題提出的。后來該協議作為局域網端口的一個普通接入控制機制應用于以太網中，主要用于解決以太網內認證和安全方面的問題，在局域網接入設備的端口這一級對所接入的設備進行認證和控制。

802.1X體系結構

802.1X的系統是采用典型的Client/Server體系結構，包括三個實體，如圖所示。

1) 客戶端：局域網中的一個實體，多為普通計算機，用戶通過客戶端軟件發起802.1X認證，并由設備端對其進行認證。客戶端軟件必須為支持802.1X認證的用戶終端設備。

2) 設備端：通常為支持802.1X協議的網絡設備，如本交換機，為客戶端提供接入局域網的物理/邏輯端口，并對客戶端進行認證。

3) 認證服務器：為設備端提供認證服務的實體，例如可以使用RADIUS服務器來實現認證服務器的認證和授權功能。該服務器可以存儲客戶端的相關信息，并實現對客戶端的認證和授權。為了保證認證系統的穩定，可以為網絡設置一個備份認證服務器。當主認證服務器出現故障時，備份認證服務器可以接替認證服務器的工作，保證認證系統的穩定。

802.1X認證工作機制

IEEE 802.1X認證系統使用EAP（Extensible Authentication Protocol，可擴展認證協議）來實現客戶端、設備端和認證服務器之間認證信息的交換。

1) 在客戶端與設備端之間，EAP協議報文使用EAPOL封裝格式，直接承載于LAN環境中。

2) 在設備端與RADIUS服務器之間，可以使用兩種方式來交換信息。一種是EAP協議報文使用EAPOR（EAP over RADIUS）封裝格式承載于RADIUS協議中；另一種是設備端終結EAP協議報文，采用包含PAP（Password Authentication Protocol，密碼驗證協議）或CHAP（Challenge Handshake Authentication Protocal，質詢握手驗證協議）屬性的報文與RADIUS服務器進行認證。

3) 當用戶通過認證后，認證服務器會把用戶的相關信息傳遞給設備端，設備端根據RADIUS服務器的指示（Accept或Reject）決定受控端口的授權/非授權狀態。

802.1X認證過程

認證過程可以由客戶端主動發起，也可以由設備端發起。一方面當設備端探測到有未經過認證的用戶使用網絡時，就會主動向客戶端發送EAP-Request/Identity報文，發起認證；另一方面客戶端可以通過客戶端軟件向設備端發送EAPOL-Start報文，發起認證。

802.1X系統支持EAP中繼方式和EAP終結方式與遠端RADIUS服務器交互完成認證。以下關于兩種認證方式的過程描述，都以客戶端主動發起認證為例。

1. EAP中繼方式

EAP中繼方式是IEEE 802.1X標準規定的，將EAP（擴展認證協議）承載在其它高層協議中，如EAP over RADIUS，以便擴展認證協議報文穿越復雜的網絡到達認證服務器。一般來說，EAP中繼方式需要RADIUS服務器支持EAP屬性：EAP-Message和Message-Authenticator。本交換機支持的EAP中繼方式是EAP-MD5，EAP-MD5認證過程如圖所示。

1) 當用戶有訪問網絡需求時打開802.1X客戶端程序，輸入已經申請、登記過的用戶名和密碼，發起連接請求（EAPOL-Start報文）。此時，客戶端程序將發出請求認證的報文給設備端，開始啟動一次認證過程。

2) 設備端收到請求認證的數據幀后，將發出一個請求幀（EAP-Request/Identity報文）要求用戶的客戶端程序發送輸入的用戶名。

3) 客戶端程序響應設備端發出的請求， 將用戶名信息通過數據幀（EAP-Respon/Identity報文）發送給設備端。設備端將客戶端發送的數據幀經過封包處理后（RADIUS Access-Request報文）送給認證服務器進行處理。

4) RADIUS服務器收到設備端轉發的用戶名信息后，將該信息與數據庫中的用戶名表對比，找到該用戶名對應的密碼信息，用隨機生成的一個加密字對它進行加密處理，同時也將此加密字通過RADIUS Access-Challenge報文發送給設備端，由設備端轉發給客戶端程序。

5) 客戶端程序收到由設備端傳來的加密字（EAP-Request/MD5 Challenge報文）后，用該加密字對密碼部分進行加密處理（此種加密算法通常是不可逆的，生成EAP-Respon/MD5 Challenge報文），并通過設備端傳給認證服務器。

6) RADIUS服務器將收到的已加密的密碼信息（RADIUS Access-Request報文）和本地經過加密運算后的密碼信息進行對比，如果相同，則認為該用戶為合法用戶，反饋認證通過的消息（RADIUS Access-Accept報文和EAP-Success報文）。

7) 設備收到認證通過消息后將端口改為授權狀態，允許用戶通過端口訪問網絡。在此期間，設備端會通過向客戶端定期發送握手報文的方法，對用戶的在線情況進行監測。缺省情況下，兩次握手請求報文都得不到客戶端應答，設備端就會讓用戶下線，防止用戶因為異常原因下線而設備無法感知。

8) 客戶端也可以發送EAPOL-Logoff報文給設備端，主動要求下線，設備端把端口狀態從授權狀態改變成未授權狀態。

1. EAP終結方式

EAP終結方式將EAP報文在設備端終結并映射到RADIUS報文中，利用標準RADIUS協議完成認證、授權和計費。設備端與RADIUS服務器之間可以采用PAP或者CHAP認證方法。本交換機支持的EAP終結方式是PAP，PAP認證過程如圖所示。 在PAP模式中，交換機對用戶口令信息進行加密，然后把用戶名、隨機加密字和客戶端加密后的口令信息一起轉發給認證服務器進行相關的認證處理；而在EAP-MD5模式中，隨機加密字由認證服務器產生，交換機只負責把認證信息報文封裝后轉發。

802.1X定時器

802.1X認證過程中會啟動多個定時器以控制接入用戶、設備以及RADIUS服務器之間進行合理、有序的交互。本交換機中的802.1X定時器主要有以下三種：

1) 客戶端認證超時定時器：當交換機向客戶端發送報文后，交換機啟動此定時器，若在該定時器設置的時長內，交換機沒有收到客戶端的響應，交換機將重發該報文。

2) 認證服務器超時定時器：當交換機向認證服務器發送報文后，交換機啟動此定時器，若在該定時器設置的時長內，交換機沒有收到認證服務器的響應，交換機將重發認證請求報文。

3) 靜默定時器：對用戶認證失敗以后，交換機需要靜默一段時間（該時間由靜默定時器設置），在靜默期間，交換機不再處理該用戶的認證請求。