802.1X協(xié)議是IEEE802 LAN/WAN委員會(huì)為了解決無線局域網(wǎng)網(wǎng)絡(luò)安全問題提出的。后來該協(xié)議作為局域網(wǎng)端口的一個(gè)普通接入控制機(jī)制應(yīng)用于以太網(wǎng)中，主要用于解決以太網(wǎng)內(nèi)認(rèn)證和安全方面的問題，在局域網(wǎng)接入設(shè)備的端口這一級(jí)對(duì)所接入的設(shè)備進(jìn)行認(rèn)證和控制。

802.1X體系結(jié)構(gòu)

802.1X的系統(tǒng)是采用典型的Client/Server體系結(jié)構(gòu)，包括三個(gè)實(shí)體，如圖所示。

1) 客戶端：局域網(wǎng)中的一個(gè)實(shí)體，多為普通計(jì)算機(jī)，用戶通過客戶端軟件發(fā)起802.1X認(rèn)證，并由設(shè)備端對(duì)其進(jìn)行認(rèn)證。客戶端軟件必須為支持802.1X認(rèn)證的用戶終端設(shè)備。

2) 設(shè)備端：通常為支持802.1X協(xié)議的網(wǎng)絡(luò)設(shè)備，如本交換機(jī)，為客戶端提供接入局域網(wǎng)的物理/邏輯端口，并對(duì)客戶端進(jìn)行認(rèn)證。

3) 認(rèn)證服務(wù)器：為設(shè)備端提供認(rèn)證服務(wù)的實(shí)體，例如可以使用RADIUS服務(wù)器來實(shí)現(xiàn)認(rèn)證服務(wù)器的認(rèn)證和授權(quán)功能。該服務(wù)器可以存儲(chǔ)客戶端的相關(guān)信息，并實(shí)現(xiàn)對(duì)客戶端的認(rèn)證和授權(quán)。為了保證認(rèn)證系統(tǒng)的穩(wěn)定，可以為網(wǎng)絡(luò)設(shè)置一個(gè)備份認(rèn)證服務(wù)器。當(dāng)主認(rèn)證服務(wù)器出現(xiàn)故障時(shí)，備份認(rèn)證服務(wù)器可以接替認(rèn)證服務(wù)器的工作，保證認(rèn)證系統(tǒng)的穩(wěn)定。

802.1X認(rèn)證工作機(jī)制

IEEE 802.1X認(rèn)證系統(tǒng)使用EAP（Extensible Authentication Protocol，可擴(kuò)展認(rèn)證協(xié)議）來實(shí)現(xiàn)客戶端、設(shè)備端和認(rèn)證服務(wù)器之間認(rèn)證信息的交換。

1) 在客戶端與設(shè)備端之間，EAP協(xié)議報(bào)文使用EAPOL封裝格式，直接承載于LAN環(huán)境中。

2) 在設(shè)備端與RADIUS服務(wù)器之間，可以使用兩種方式來交換信息。一種是EAP協(xié)議報(bào)文使用EAPOR（EAP over RADIUS）封裝格式承載于RADIUS協(xié)議中；另一種是設(shè)備端終結(jié)EAP協(xié)議報(bào)文，采用包含PAP（Password Authentication Protocol，密碼驗(yàn)證協(xié)議）或CHAP（Challenge Handshake Authentication Protocal，質(zhì)詢握手驗(yàn)證協(xié)議）屬性的報(bào)文與RADIUS服務(wù)器進(jìn)行認(rèn)證。

3) 當(dāng)用戶通過認(rèn)證后，認(rèn)證服務(wù)器會(huì)把用戶的相關(guān)信息傳遞給設(shè)備端，設(shè)備端根據(jù)RADIUS服務(wù)器的指示（Accept或Reject）決定受控端口的授權(quán)/非授權(quán)狀態(tài)。

802.1X認(rèn)證過程

認(rèn)證過程可以由客戶端主動(dòng)發(fā)起，也可以由設(shè)備端發(fā)起。一方面當(dāng)設(shè)備端探測(cè)到有未經(jīng)過認(rèn)證的用戶使用網(wǎng)絡(luò)時(shí)，就會(huì)主動(dòng)向客戶端發(fā)送EAP-Request/Identity報(bào)文，發(fā)起認(rèn)證；另一方面客戶端可以通過客戶端軟件向設(shè)備端發(fā)送EAPOL-Start報(bào)文，發(fā)起認(rèn)證。

802.1X系統(tǒng)支持EAP中繼方式和EAP終結(jié)方式與遠(yuǎn)端RADIUS服務(wù)器交互完成認(rèn)證。以下關(guān)于兩種認(rèn)證方式的過程描述，都以客戶端主動(dòng)發(fā)起認(rèn)證為例。

1. EAP中繼方式

EAP中繼方式是IEEE 802.1X標(biāo)準(zhǔn)規(guī)定的，將EAP（擴(kuò)展認(rèn)證協(xié)議）承載在其它高層協(xié)議中，如EAP over RADIUS，以便擴(kuò)展認(rèn)證協(xié)議報(bào)文穿越復(fù)雜的網(wǎng)絡(luò)到達(dá)認(rèn)證服務(wù)器。一般來說，EAP中繼方式需要RADIUS服務(wù)器支持EAP屬性：EAP-Message和Message-Authenticator。本交換機(jī)支持的EAP中繼方式是EAP-MD5，EAP-MD5認(rèn)證過程如圖所示。

1) 當(dāng)用戶有訪問網(wǎng)絡(luò)需求時(shí)打開802.1X客戶端程序，輸入已經(jīng)申請(qǐng)、登記過的用戶名和密碼，發(fā)起連接請(qǐng)求（EAPOL-Start報(bào)文）。此時(shí)，客戶端程序?qū)�發(fā)出請(qǐng)求認(rèn)證的報(bào)文給設(shè)備端，開始啟動(dòng)一次認(rèn)證過程。

2) 設(shè)備端收到請(qǐng)求認(rèn)證的數(shù)據(jù)幀后，將發(fā)出一個(gè)請(qǐng)求幀（EAP-Request/Identity報(bào)文）要求用戶的客戶端程序發(fā)送輸入的用戶名。

3) 客戶端程序響應(yīng)設(shè)備端發(fā)出的請(qǐng)求， 將用戶名信息通過數(shù)據(jù)幀（EAP-Response/Identity報(bào)文）發(fā)送給設(shè)備端。設(shè)備端將客戶端發(fā)送的數(shù)據(jù)幀經(jīng)過封包處理后（RADIUS Access-Request報(bào)文）送給認(rèn)證服務(wù)器進(jìn)行處理。

4) RADIUS服務(wù)器收到設(shè)備端轉(zhuǎn)發(fā)的用戶名信息后，將該信息與數(shù)據(jù)庫中的用戶名表對(duì)比，找到該用戶名對(duì)應(yīng)的密碼信息，用隨機(jī)生成的一個(gè)加密字對(duì)它進(jìn)行加密處理，同時(shí)也將此加密字通過RADIUS Access-Challenge報(bào)文發(fā)送給設(shè)備端，由設(shè)備端轉(zhuǎn)發(fā)給客戶端程序。

5) 客戶端程序收到由設(shè)備端傳來的加密字（EAP-Request/MD5 Challenge報(bào)文）后，用該加密字對(duì)密碼部分進(jìn)行加密處理（此種加密算法通常是不可逆的，生成EAP-Response/MD5 Challenge報(bào)文），并通過設(shè)備端傳給認(rèn)證服務(wù)器。

6) RADIUS服務(wù)器將收到的已加密的密碼信息（RADIUS Access-Request報(bào)文）和本地經(jīng)過加密運(yùn)算后的密碼信息進(jìn)行對(duì)比，如果相同，則認(rèn)為該用戶為合法用戶，反饋認(rèn)證通過的消息（RADIUS Access-Accept報(bào)文和EAP-Success報(bào)文）。

7) 設(shè)備收到認(rèn)證通過消息后將端口改為授權(quán)狀態(tài)，允許用戶通過端口訪問網(wǎng)絡(luò)。在此期間，設(shè)備端會(huì)通過向客戶端定期發(fā)送握手報(bào)文的方法，對(duì)用戶的在線情況進(jìn)行監(jiān)測(cè)。缺省情況下，兩次握手請(qǐng)求報(bào)文都得不到客戶端應(yīng)答，設(shè)備端就會(huì)讓用戶下線，防止用戶因?yàn)楫惓Ｔ�因下線而設(shè)備無法感知。

8) 客戶端也可以發(fā)送EAPOL-Logoff報(bào)文給設(shè)備端，主動(dòng)要求下線，設(shè)備端把端口狀態(tài)從授權(quán)狀態(tài)改變成未授權(quán)狀態(tài)。

1. EAP終結(jié)方式

EAP終結(jié)方式將EAP報(bào)文在設(shè)備端終結(jié)并映射到RADIUS報(bào)文中，利用標(biāo)準(zhǔn)RADIUS協(xié)議完成認(rèn)證、授權(quán)和計(jì)費(fèi)。設(shè)備端與RADIUS服務(wù)器之間可以采用PAP或者CHAP認(rèn)證方法。本交換機(jī)支持的EAP終結(jié)方式是PAP，PAP認(rèn)證過程如圖所示。

在PAP模式中，交換機(jī)對(duì)用戶口令信息進(jìn)行加密，然后把用戶名、隨機(jī)加密字和客戶端加密后的口令信息一起轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器進(jìn)行相關(guān)的認(rèn)證處理；而在EAP-MD5模式中，隨機(jī)加密字由認(rèn)證服務(wù)器產(chǎn)生，交換機(jī)只負(fù)責(zé)把認(rèn)證信息報(bào)文封裝后轉(zhuǎn)發(fā)。

802.1X定時(shí)器

802.1X認(rèn)證過程中會(huì)啟動(dòng)多個(gè)定時(shí)器以控制接入用戶、設(shè)備以及RADIUS服務(wù)器之間進(jìn)行合理、有序的交互。本交換機(jī)中的802.1X定時(shí)器主要有以下三種：

1) 客戶端認(rèn)證超時(shí)定時(shí)器：當(dāng)交換機(jī)向客戶端發(fā)送報(bào)文后，交換機(jī)啟動(dòng)此定時(shí)器，若在該定時(shí)器設(shè)置的時(shí)長(zhǎng)內(nèi)，交換機(jī)沒有收到客戶端的響應(yīng)，交換機(jī)將重發(fā)該報(bào)文。

2) 認(rèn)證服務(wù)器超時(shí)定時(shí)器：當(dāng)交換機(jī)向認(rèn)證服務(wù)器發(fā)送報(bào)文后，交換機(jī)啟動(dòng)此定時(shí)器，若在該定時(shí)器設(shè)置的時(shí)長(zhǎng)內(nèi)，交換機(jī)沒有收到認(rèn)證服務(wù)器的響應(yīng)，交換機(jī)將重發(fā)認(rèn)證請(qǐng)求報(bào)文。

3) 靜默定時(shí)器：對(duì)用戶認(rèn)證失敗以后，交換機(jī)需要靜默一段時(shí)間（該時(shí)間由靜默定時(shí)器設(shè)置），在靜默期間，交換機(jī)不再處理該用戶的認(rèn)證請(qǐng)求。