六.基本的认证过程:
认证的步骤如下:
用户开机后,通过802.1x客户端软件发起请求,查询网络上能处理EAPOL(EAP Over LAN)数据包的设备
如果某台验证设备能处理EAPOL数据包,就会向客户端发送响应包并要求用户提供合法的身份标识,如用户名/密码
客户端收到验证设备的响应后,会提供身份标识给验证设备。
由于此时客户端还未经过验证,因此认证流只能从验证设备的未受控的逻辑端口经过。验证设备通过EAP协议将认证流转发到AAA服务器,进行认证。如果认证通过,则受控逻辑端口打开。
客户端软件发起DHCP请求,经认证设备转发到DHCP Server。
DHCP Server 为用户分配IP地址。认证设备记录用户的相关信息,如MAC,IP地址等信息,并建立动态的ACL访问列表,以限制用户的权限。
当认证设备检测到用户的上网流量,就会向认证服务器发送计费信息,开始对用户计费。
如果用户要下网,可以通过客户端软件发起LogOff过程,认证设备检测到该该数据包后,会通知AAA服务器停止计费,并删除用户的相关信息(MAC/IP),受控逻辑端口关闭。用户进入再认证状态。
验证设备会通过定期的检测来保证链路的激活,如果用户异常死机,则验证设备在发起多次检测后,自动认为用户已经下线,于是向认证服务器发送终止计费的信息.
七.802.1x认证机制
802.1x作为一种认证协议,在实现的过程中有很多重要的工作机制,这里我们主要介绍其中两种机制:
认证发起机制
异常下线检测机制
1、认证发起机制
认证的发起可以由用户主动发起,也可以由认证系统发起。当认证系统探测到有未经过认证的用户使用网络时,就会主动发起认证。用户端可以通过客户端软件向认证系统发送EAPOL-Start报文发起认证。
2、异常下线检测机制
用户会因为死机等原因没有退出认证状态,此时交换机还认为用户继续在线,还会继续计费,所以为判断接入用户是否保持连接状态,接入模块还提供了两种检测机制:重认证机制和异常下线检测机制。重新认证机制需要为每个在线用户启动一次完整的认证过程,在用户量较大的情况下,启动重新认证功能将导致频繁产生认证报文,对交换机造成一定的负担,而异常下线检测机制只需要少量的报文交互便可以确定用户是否在线。
异常下线检测机制提供两种检测方式:状态机方式和ping-pong方式。状态机方式是由交换机主动向客户端定期发送检测请求,请求报文利用了802.1x协议定义的EAP Request/Identity报文,如果收到客户端的EAP Response/Identity响应,说明该用户在线,反之,如果交换机在指定时间内未收到响应则说明用户已经下线。ping-pong方式是由客户端主动向交换机定期发送检测请求报文,报文没有利用协议中规定的报文格式,而是定义了专门的格式。发送的时间间隔KeepaliveRequestPeriod和允许的最多无响应次数KeepaliveMaxNoResponseCount均由交换机决定,并通知给客户端。交换机收到来自客户端的检测报文后确认客户端在线并响应客户端的检测请求。如果在规定的时间内(该时间由命令行配置换算得出,它的值=客户端允许最多不响应次数KeepaliveMaxNoResponseCount×客户端定期发送keepalive请求的时间间隔KeepaliveRequestPeriod + 30)没有收到客户端的检测请求,说明客户端已经异常下线。缺省时,系统使用ping-pong机制。
