802.1X 身份认证
- EAP 是一种架构协议,允许协议设计人员打造自己的EAP 认证方式,EAP并未强制链路的协议。
- 802.1X 协议讨论的是 EAP在局域网内的实现,即EAPOL (EAP Over LAN ),802.1X是基于局域网的扩展认证协议。
- 802.1X 协议定义了报文封装格式,称为EAPOL报文,用于客户端和认证系统之间的EAP协议报文传输,以允许EAP协议报文在LAN上传送。
802.1X 架构
-
802.1X 协议 提供了基于端口的访问控制机制,它负责传输认证信息,以客户端 与 访问控制服务器之间的加密密钥,如 RADIUS 服务器。
802.1X 设备的连接端口只有两种状态:非处于授权状态(可用)和 未授权状态(不可用)。 -
逻辑上,整个身份认证交换程序是通过申请者(Supplicant)与认证服务器(Authentication Server)完成的,认证者(Authenticator)只是扮演中介的角色。
前端:Supplicant 与 Authenticator 间,使用由802.1X所定义的 EAP over LAN(EAPOL)协议。
后端:通过RADIUS 数据报文传递EAP数据 - EAP over RADIUS。
申请者(supplicant)
- 申请访问网络资源的设备,EAP验证阶段 由申请者发送验证申请 (EAPOL-Start) 后开始