图2 基于EAP-MD5的802.1x认证系统功能实体协议栈
点击查看大图
图3 基于EAP-MD5的802.1x认证流程
(1)客户端向接入设备发送一个EAPoL-Start报文,开始802.1x认证接入;
(2)接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;
(3)客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名;
(4)接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,发送给认证服务器;
(5)认证服务器产生一个Challenge,通过接入设备将RADIUS Access-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge;
(6)接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证;
(7)客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-Word,在EAP-Response/MD5-Challenge回应给接入设备;
(8)接入设备将Challenge,Challenged Password和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证:
(9)RADIUS服务器根据用户信息,做MD5算法,判定用户是否合法,然后回应认证成功/失败报文到接入设备 。假如成功,携带协商参数,以及用户的相关业务属性给用户授权 。假如认证失败,则流程到此结束;
(10)假如认证通过,用户通过标准的DHCP协议(可以是DHCP Relay),通过接入设备获取规划的IP地址;
(11)假如认证通过,接入设备发起计费开始请求给RADIUS用户认证服务器;
(12)RADIUS用户认证服务器回应计费开始请求报文 。用户上线完毕 。
四、802.1x认证组网应用
按照不同的组网方式,802.1x认证可以采用集中式组网(汇聚层设备集中认证)、分布式组网(接入层设备分布认证)和本地认证组网 。不同的组网方式下,802.1x认证系统实现的网络位置有所不同 。
1.802.1x集中式组网(汇聚层设备集中认证)
802.1x集中式组网方式是将802.1x认证系统端放到网络位置较高的LAN Switch设备上,这些LAN Switch为汇聚层设备 。其下挂的网络位置较低的LAN Switch只将认证报文透传给作为802.lx认证系统端的网络位置较高的LAN Switch设备,集中在该设备上进行802.1x认证处理 。这种组网方式的优点在于802.1x采用集中治理方式,降低了治理和维护成本 。汇聚层设备集中认证如图4所示 。
图4 802.1x集中式组网(汇聚层设备集中认证)
2.802.1x分布式组网(接入层设备分布认证)
802.1x分布式组网是把802.lx认证系统端放在网络位置较低的多个LAN Switch设备上,这些LAN Switch作为接入层边缘设备 。认证报文送给边缘设备,进行802.1x认证处理 。这种组网方式的优点在于,它采用中/高端设备与低端设备认证相结合的方式,可满足复杂网络环境的认证 。认证任务分配到众多的设备上,减轻了中心设备的负荷 。接入层设备分布认证如图5所示 。
图5 802.1x分布式组网(接入层设备分布认证)
802.lx分布式组网方式非常适用于受控组播等特性的应用,建议采用分布式组网对受控组播业务进行认证 。假如采用集中式组网将受控组播认证设备端放在汇聚设备上,从组播服务器下行的流在到达汇聚设备之后,由于认证系统还下挂接入层设备,将无法区分最终用户,若打开该受控端口,则汇聚层端口以下的所有用户都能够访问到受控组播消息源 。反之,假如采用分布式组网,则从组播服务器来的组播流到达接入层认证系统,可以实现组播成员的精确粒度控制 。
3.802.1x本地认证组网
802.1x的AAA认证可以在本地进行,而不用到远端认证服务器上去认证 。这种本地认证的组网方式在专线用户或小规模应用环境中非常适用 。它的优点在于节约成本,不需要单独购置昂贵的服务器,但随着用户数目的增加,还需要由本地认证向RADIUS认证迁移 。
推荐阅读
- 基于射频无线的数据采集系统及其应用
- WCDMA成为3G主流标准
- 基于手机无线局域网的架构与应用
- Cookie是什么意思 Cookie是什么
- GPRS网络结构
- 什么是无线局域网Wi-Fi认证?
- 基于网络的嵌入式MPEG-2远程视频监控系统的实现
- 管理体系认证是什么意思
- WiMAX技术应用定位和优势
- 基于uCLinux的嵌入式无线IPSec VPN网关