认证端口的工作状态
非受控端口:不进行认证控制,始终处于双向连接状态,主要用于传递在通过认证前必须的EAPOL协议帧,保证客户端始终能够发出或者接收认证报文
受控端口:通过认证之前,只允许认证报文和广播报文通过端口,不允许任何业务数据流通过;认证后双向联通,可进行正常的业务报文传递。
逻辑受控端口:多个客户端公用一个物理端口。当某个客户端没有通过认证之前,只允许认证报文通过,但其他已认证的客户端业务不受影响
认证过程
1、客户端向设备端发出认证,启动认证过程
2、设备端收到认证请求后,请求对方发送身份标志信息
3、客户端发送用户名信息
4、设备端将接收到的用户名信息发送给认证服务器
5、服务器从收到的认证信息中提取出用户名信息,与数据库对比,找到对应的密码信息,用challenge码对密码进行加密处理保存,然后将challenge信息发送给设备端
6、设备端将challenge信息转发给客户端
7、客户端收到challenge信息后对用户密码进行加密发送给设备端
8、设备端转发给服务器
9、服务器将客户端加密的信息与自身加密的信息进行对比,相同则通过认证,向设备端发送认证通过报文
10、设备端收到认证通过报文后,向客户端发送,并将自身端口改为授权状态,允许用户通过端口访问网络
11、用户在线期间设备端会向客户端定期发送握手报文,检测用户在线情况
12、客户端收到握手报文后向设备端发送应答报文,表示用户仍然在线。设备端发送的两次握手都未得到客户端应答,设备端就会让用户下线
13、客户端可以发送信息帧给设备端,主动要求下线
14、设备端收到客户端发的信息帧后,把端口从授权状态改成未授权,确认对应客户端下线