六.基本的認證過程:
認證的步驟如下:
用戶開機後,通過802.1x客戶端軟件發起請求,查詢網絡上能處理EAPOL(EAP Over LAN)數據包的設備
如果某臺驗證設備能處理EAPOL數據包,就會向客戶端發送響應包並要求用戶提供合法的身份標識,如用戶名/密碼
客戶端收到驗證設備的響應後,會提供身份標識給驗證設備。
由於此時客戶端還未經過驗證,因此認證流只能從驗證設備的未受控的邏輯端口經過。驗證設備通過EAP協議將認證流轉發到AAA服務器,進行認證。如果認證通過,則受控邏輯端口打開。
客戶端軟件發起DHCP請求,經認證設備轉發到DHCP Server。
DHCP Server 爲用戶分配IP地址。認證設備記錄用戶的相關信息,如MAC,IP地址等信息,並建立動態的ACL訪問列表,以限制用戶的權限。
當認證設備檢測到用戶的上網流量,就會向認證服務器發送計費信息,開始對用戶計費。
如果用戶要下網,可以通過客戶端軟件發起LogOff過程,認證設備檢測到該該數據包後,會通知AAA服務器停止計費,並刪除用戶的相關信息(MAC/IP),受控邏輯端口關閉。用戶進入再認證狀態。
驗證設備會通過定期的檢測來保證鏈路的激活,如果用戶異常死機,則驗證設備在發起多次檢測後,自動認爲用戶已經下線,於是向認證服務器發送終止計費的信息.
七.802.1x認證機制
802.1x作爲一種認證協議,在實現的過程中有很多重要的工作機制,這裏我們主要介紹其中兩種機制:
認證發起機制
異常下線檢測機制
1、認證發起機制
認證的發起可以由用戶主動發起,也可以由認證系統發起。當認證系統探測到有未經過認證的用戶使用網絡時,就會主動發起認證。用戶端可以通過客戶端軟件向認證系統發送EAPOL-Start報文發起認證。
2、異常下線檢測機制
用戶會因爲死機等原因沒有退出認證狀態,此時交換機還認爲用戶繼續在線,還會繼續計費,所以爲判斷接入用戶是否保持連接狀態,接入模塊還提供了兩種檢測機制:重認證機制和異常下線檢測機制。重新認證機制需要爲每個在線用戶啓動一次完整的認證過程,在用戶量較大的情況下,啓動重新認證功能將導致頻繁產生認證報文,對交換機造成一定的負擔,而異常下線檢測機制只需要少量的報文交互便可以確定用戶是否在線。
異常下線檢測機制提供兩種檢測方式:狀態機方式和ping-pong方式。狀態機方式是由交換機主動向客戶端定期發送檢測請求,請求報文利用了802.1x協議定義的EAP Request/Identity報文,如果收到客戶端的EAP Response/Identity響應,說明該用戶在線,反之,如果交換機在指定時間內未收到響應則說明用戶已經下線。ping-pong方式是由客戶端主動向交換機定期發送檢測請求報文,報文沒有利用協議中規定的報文格式,而是定義了專門的格式。發送的時間間隔KeepaliveRequestPeriod和允許的最多無響應次數KeepaliveMaxNoResponseCount均由交換機決定,並通知給客戶端。交換機收到來自客戶端的檢測報文後確認客戶端在線並響應客戶端的檢測請求。如果在規定的時間內(該時間由命令行配置換算得出,它的值=客戶端允許最多不響應次數KeepaliveMaxNoResponseCount×客戶端定期發送keepalive請求的時間間隔KeepaliveRequestPeriod + 30)沒有收到客戶端的檢測請求,說明客戶端已經異常下線。缺省時,系統使用ping-pong機制。