7. 4. 2 802. 1 x 认证体系
802. 1 x 是一种基于端口的认证协议, 是一种对用户进行认证的方法和策略。 端口可以是一
个物理端口, 也可以是一个逻辑端口 ( 如 VLAN) 。 对于无线局域网来说, 一个端口就是一个
信道。 802. 1 x 认证的最终目的就是确定一个端口是否可用。 对于一个端口, 如果认证成功, 那
么就 “打开” 这个端口, 允许所有的报文通过; 如果认证不成功, 就使这个端口保持 “ 关闭”, 即只允许 802. 1 x 的认证协议报文通过。 802. 1 x 的体系为典型的 Client /Server 体系结构,如图 7-3 所示, 它的体系结构中包括 3 个部分, 即使用 802. 1 x 的系统包括三个实体: 请求者系统、 认证系统和认证服务器系统三部分。 在实际应用中, 三者分别对应: 用户终端 ( Client) 、交换机 ( Network Access Server, NAS) 和认证服务器 ( RADIUS Server) 。
1) 请求者是位于局域网链路一端的实体, 由连接到该链路另一端的认证系统对其进行
认证。 请求者通常是支持 802. 1 x 认证的用户终端设备, 用户通过启动客户端软件发起802. 1 x 认证。 请求者即客户端, 它是最终用户所扮演的角色, 一般是用户 PC, 目前最典型的客户端有 Windows XP 操作系统自带的 IEEE802. 1 x 客户端以及各大公司基于自身产品所推出的客户端, 如锐捷公司的 STAR Supplicant 软件。
2) 认证系统。 认证系统对连接到链路对端的认证请求者进行认证。 认证系统通常为支
持 802. 1 x 协议的网络设备, 它为请求者提供服务端口, 该端口可以是物理端口也可以是逻
辑端口, 一般在用户接入设备, 如局域网交换机 ( LAN Switch) 和无线接入 AP 上实现
802. 1 x 认证。 认证者通常为支持 802. 1 x 协议的交换机, 该设备的职责是根据客户端当前的
认证状态控制其与网络的连接状态。 在客户端和认证服务器之间, 该设备扮演着中介者的角
色。 从客户端要求用户名核实从服务器端的认证信息并且转发给客户端, 交换机要负责把从
客户端收到的回应封装到认证服务器格式的报文并转发给认证服务器, 同时还要把认证服务
器收到的信息解释出来并转发给客户端。
3) 认证服务器系统。 认证服务器是为认证系统提供认证服务的实体, 一般使用 RADIUS 服务器来实现认证和授权功能。 请求者和认证系统之间运行 802. 1 x 定义的 EAPOL ( Extensible Authentication Protocol over LAN) 协议。 当认证系统工作于中继方式时, 认证系统与
认证服务器之间也运行 EAP 协议, EAP 帧中封装认证数据, 将该协议承载在其他高层次协
议中 ( 如 RADIUS) , 以便穿越复杂的网络到达认证服务器; 当认证系统工作于终结方式时,
认证系统终结 EAPoL 消息, 并转换为其他认证协议 ( 如 RADIUS) , 传递用户认证信息给认
证服务器系统。
认证系统每个物理端口内部包含有受控端口和非受控端口。 非受控端口始终处于双向连