802.1x協議認證流程
802.1x 的認證中,端口的狀態決定了客戶端是否能接入網絡,在啓用802.1x 認證時端口初始狀態一般爲非授權(unauthorized),在該狀態下,除802.1X 報文和廣播報文外不允許任何業務輸入、輸出通訊。當客戶通過認證後,則端口狀態切換到授權狀態(authorized),允許客戶端通過端口進行正常通訊。
基於802.1x 的認證系統在客戶端和認證系統之間使用EAPOL 格式封裝EAP 協議傳送認證信息,認證系統與認證服務器之間通過RADIUS 協議傳送認證信息。由於EAP 協議的可擴展性,基於EAP 協議的認證系統可以使用多種不同的認證算法,如EAP-MD5,EAP-TLS,EAP-SIM,EAP-TTLS 以及EAP-AKA 等認證方法。以EAP-MD5爲例,描述802.1x的認證流程。EAP-MD5是一種單向認證機制,可以完成網絡對用戶的認證,但認證過程不支持加密密鑰的生成。基於EAP-MD5的802.1x認證系統功能實體協議棧如圖2所示。基於EAP-MD5的802.1x認證流程如圖3所示,認證流程包括以下步驟:
(1)客戶端向接人設備發送一個EAPOL-Start 報文,開始802.1x 認證接人;
(2)接人設備向客戶端發送EAP-Request/Identity 報文,要求客戶端將用戶名送上來;
(3)客戶端迴應一個EAP-Response/Identity 給接人設備的請求,其中包括用戶名;
(4)接人設備將EAP-Response/Identity 報文封裝到RADIUSAccess.Request 報文中,發送給認證服務器;
(5)認證服務器產生一個Challenge,通過接人設備將RA DIUSAccess—Challenge 報文發送給客戶端,其中包含有EAP-Request/MD5-Challenge;
(6)接入設備通過EAP-Request/MD5-Challenge 發送給客戶端,要求客戶端進行認證;
(7)客戶端收到EAP-Request/MD5-Challenge 報文後,將密碼和Challenge 做MD5 算法後的Challenged-Password,在EAP-Response/MD5-Challenge 迴應給接入設備;
(8)接入設備將Challenge,Challenged Password 和用戶名一起送到RADIUS 服務器, 由RADIUS 服務器進行認證;
(9)RADIUS 服務器根據用戶信息,做MD5 算法,判斷用戶是否合法,然後迴應認證成功/失敗報文到接入設備。如果成功,攜帶協商參數,以及用戶的相關業務屬性給用戶授權。如果認證失敗,則流程到此結束;
(10)如果認證通過,用戶通過標準的DHCP 協議(可以是DHCPRelay),通過接入設備獲取規劃的IP 地址;
(11)如果認證通過,接入設備發起計費開始請求給RADIUS 用戶認證服務器;
(12)RADIUS 用戶認證服務器迴應計費開始請求報文。用戶上線完畢。
認證通過之後的保持:認證端Authenticator 可以定時要求Client 重新認證,時間可設。重新認證的過程對User 是透明的(應該是User 不需要重新輸入密碼)。
下線方式:物理端口Down;重新認證不通過或者超時;客戶端發起EAP_Logoff 幀;網管控制導致下線;
現在的設備(switch)端口有三種認證方式:
(1)ForceAuthorized:端口一直維持授權狀態,switch 的 Authenticator 不主動發起認證;
(2)ForceUnauthorized:端口一直維持非授權狀態,忽略所有客戶端發起的認證請求;
(3)Auto:激活802.1X,設置端口爲非授權狀態,同時通知設備管理模塊要求進行端口認證控制,使端口僅允許EAPOL 報文收發,當發生UP 事件或接收到EAPOL-start 報文,開始認證流程,請求客戶端Identify,並中繼客戶和認證服務器間的報文。認證通過後端口切換到授權狀態,在退出前可以進行重認證。
802.1x 協議的認證端口
受控端口:在通過認證前,只允許認證報文EAPOL 報文和廣播報文(DHCP、ARP)通過端口,不允許任何其他業務數據流通過;
邏輯受控端口:多個Supplicant 共用一個物理端口,當某個Supplicant 沒有通過認證前,只允許認證報文通過該物理端口,不允許業務數據,但其他已通過認證的Supplicant 業務不受影響。
現在在使用中有下面三種情況:
(1)僅對使用同一物理端口的任何一個用戶進行認證(僅對一個用戶進行認證,認證過程中忽略其他用戶的認證請求),認證通過後其他用戶也就可以利用該物理端口訪問網絡服務。
(2)對共用同一個物理端口的多個用戶分別進行認證控制,限制同時使用同一個物理端口的用戶數目(限制MAC 地址數目),但不指定MAC 地址,讓系統根據先到先得原則進行MAC 地址學習,系統將拒絕超過限制數目的請求,若有用戶退出,則可以覆蓋已退出的MAC 地址。
(3)對利用不同物理端口的用戶進行VLAN 認證控制,即只允許訪問指定VLAN,限制用戶訪問非授權VLAN;用戶可以利用受控端口,訪問指定VLAN,同一用戶可以在不同的端口訪問相同的VLAN。