802.1x协议

目录

1.什么是802.1x协议

2.为什么使用802.1x协议

3.如何使用802.1x协议

1）客户端 设备端 认证服务器需要满足的要求

2）802.1x的触发方式

3）802.1x的认证方式

4）EAP中继认证方式流程图

---

1.什么是802.1x协议

802.1x协议是基于Client/Server的访问控制和认证协议。

它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPOL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

2.为什么使用802.1x协议

通常在新建网络、用户集中或者信息安全要求严格的场景中使用802.1X认证。802.1X认证具有以下优点：

• 对接入设备的性能要求不高。802.1X协议为二层协议，不需要到达三层，可以有效降低建网成本。
• 在未授权状态下，不允许与客户端交互业务报文，因此保证了业务安全。

以企业网络为例。员工终端一般需要接入办公网络，安全要求较高，此时推荐使用802.1X认证。

但802.1X认证要求客户端必须安装802.1X客户端软件。在机场、商业中心等公共场所，用户流动性大，终端类型复杂，且安全要求不高，可以使用Portal认证。对于打印机、传真机等哑终端，可以使用MAC认证，以应对哑终端不支持安装802.1X客户端软件，或者不支持输入用户名和密码的情况。

3.如何使用802.1x协议

1）客户端 设备端 认证服务器需要满足的要求

如下图所示，802.1X认证系统为典型的Client/Server结构，包括三个组件：客户端、接入设备和认证服务器。

 

客户端：局域网用户终端设备，但必须是支持EAPOL（Extensible Authentication Protocol over LAN，局域网可扩展认证协议）的设备（如PC机），可通过启动客户端设备上安装的802.1x客户端软件发起802.1x认证。

设备端：支持802.1x协议的网络设备（如交换机），对所连接的客户端进行认证。它为客户端提供接入局域网的端口，可以是物理端口，也可以是逻辑端口（如Eth-Trunk口）。

认证服务器：为设备端802.1x协议提供认证服务的设备，是真正进行认证的设备，实现对用户进行认证、授权和计费，通常为RADIUS服务器。

2）802.1x的触发方式

802.1x的认证过程可以由客户端主动发起，也可以由设备端主动发起。在“客户端主动触发方式”中，由客户端主动向设备端发送EAPOL-Start（EAPOL开始）报文来触发认证；而“设备端主动触发方式”中用于支持不能主动发送EAPOL-Start报文的客户端，例如Windows XP自带的802.1x客户端。

设备端主动触发方式”中又有两种以下具体的触发方式“

• DHCP报文触发：设备在收到用户的DHCP请求报文后主动触发对用户的802.1x认证，仅适用于客户端采用DHCP方式自动分配IP地址的情形。因为DHCP请求报文是以广播方式发送的，所以在同一网段中的设备都可以收到，故设备端不一定就是担当DHCP服务器的设备。
• 源MAC地址未知报文触发：当设备收到源MAC地址未知的报文时主动触发对用户的802.1x认证。若设备端在设置的时长内没有收到客户端的响应，则重发该报文。

3）802.1x的认证方式

• 在客户端与接入设备之间，EAP协议报文使用EAPoL（EAP over LANs）封装格式，直接承载于LAN环境中。
• 在接入设备与认证服务器之间，可以采用EAP终结方式或者EAP中继方式交互认证信息。
  • EAP终结方式：接入设备直接解析EAP报文，把报文中的用户认证信息封装到RADIUS报文中，并将RADIUS报文发送给RADIUS服务器进行认证。EAP终结方式的优点是大多数RADIUS服务器都支持PAP和CHAP认证，无需升级服务器；但对接入设备的要求较高，接入设备要从EAP报文中提取客户端认证信息，通过标准的RADIUS协议对这些信息进行封装，且不能支持大多数EAP认证方法（MD5-Challenge除外）。
  • EAP中继方式：接入设备对接收到的EAP报文不作任何处理，直接将EAP报文封装到RADIUS报文中，并将RADIUS报文发送给RADIUS服务器进行认证。EAP中继方式也被称为EAPOR（EAP over Radius）。EAP中继方式的优点是设备端处理更简单，支持更多的认证方法；缺点则是认证服务器必须支持EAP，且处理能力要足够强。

4）EAP中继认证方式流程图

 

EAP中继认证流程

1. 客户端发送EAPoL-Start报文触发802.1X认证。

2. 接入设备发送EAP请求报文，请求客户端的身份信息。

3. 客户端程序响应接入设备发出的请求，将身份信息通过EAP响应报文发送给接入设备。

4. 接入设备将EAP报文封装在RADIUS报文中，发送给认证服务器进行处理。

5. RADIUS服务器收到接入设备转发的身份信息后，启动和客户端EAP认证方法的协商。RADIUS服务器选择一个EAP认证方法，将认证方法封装在RADIUS报文中，发送给接入设备。

6. 接入设备收到RADIUS报文，将其中的EAP信息转发给客户端。

7. 客户端收到EAP信息，解析其中的EAP认证方法。如果支持该认证方法，客户端发送EAP响应报文给接入设备；否则，客户端在EAP响应报文中封装一个支持的EAP认证方法，并发送给接入设备。

8. 接入设备将报文中的EAP信息封装到RADIUS报文中，并发送RADIUS报文到RADIUS服务器。
9. RADIUS服务器收到后，如果客户端与服务器选择的认证方法一致，EAP认证方法协商成功，开始认证。以EAP-PEAP认证方法为例，服务器将自己的证书封装到RADIUS报文中，通过接入设备发送给客户端。客户端与RADIUS服务器协商TLS参数，建立TLS隧道。TLS隧道建立完成后，用户信息将通过TLS加密在客户端、接入设备和RADIUS服务器之间传输。
10. RADIUS服务器完成对客户端身份验证之后，通知接入设备认证成功。
11. 接入设备向客户端发送认证成功报文，并将端口改为授权状态，允许用户通过该端口访问网络。