802.1x技术白皮书.docVIP

第一章 802.1X简介 2 概述： 2 体系结构 3 端口PAE 3 受控端口 3 受控方向 4 工作机制 4 第二章 802.1X中的EAPOL封装 5 EAPOL帧格式 5 各字段的含义 5 第三章 802.1X的认证过程 6 认证过程 6 第四章 802.1X中的主要状态机 8 设备端PAE状态机： 8 后台认证状态机： 11 客户端PAE状态机： 13 摘要： 802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入（微软的Windows XP，以及cisco，锐捷网络，北电等厂商的设备已经开始支持802.1X协议）。 IEEE 802 LAN 中，用户只要能接到网络设备上，不需要经过认证和授权即可直接使用。这样，一个未经授权的用户，他可以没有任何阻碍地通过连接到局域网的设备进入网络。随着局域网技术的广泛应用，特别是在运营网络的出现，对网络的安全认证的需求已经提到了议事日程上。如何在以太网技术简单、廉价的组网特点的基础上，提供用户对网络或设备访问合法性认证的手段，已经成为业界关注的焦点。IEEE 802.1x 协议正是在这样的背景下提出的。 关键词： authenticator authentication server: network access port: port access entity (PAE): supplicant: system EAPOL 第一章 802.1X简介 概述： IEEE802.1x（Port-Based Network Access Control）是一个基于端口的网络存取控制标准，为LAN接入提供点对点式的安全接入。这是IEEE标准委员会针对以太网的安全缺陷而专门制定的标准，能够在利用IEEE 802 LAN的优势基础上，提供一种对连接到局域网设备或用户进行认证的手段。 IEEE 802.1x 标准定义了一种基于“客户端——服务器”（Client-Server）模式实现了限制未认证用户对网络的访问。客户端要访问网络必须先通过认证服务器的认证。 在客户端通过认证之前，只有EAPOL报文（Extensible Authentication Protocol over LAN）可以在网络上通行。在认证成功之后，正常的数据流便可在网络上通行。 802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略。 802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通过。 体系结构 802.1X系统中共有三个实体：Supplication（客户端），Authenticator System（设备端），Authentication Server System（认证服务器） 客户端是位于点对点局域网段一端的一个实体，由连接到该链接另一端的设备端对其进行认证。客户端一般为一个用户终端设备，用户启动客户端软件发起802.1X认证。 设备端是位于点对点局域网段一端的一个实体，便于对连接到该链接另一端的实体进行认证，设备端一般是支持802.1X协议的网络设备，它为客户端提供接入局域网的端口，该端口可以是物理端口（如以太网交换机的一个以太口或AP的接入信道），也可以是逻辑口（如用户的Mac地址、VlanID等）。 认证服务器是为设备端提供认证服务的实体。认证服务器用于实现用户的认证、授权、计费。 端口PAE 端口PAE为802.1X系统中一个给定的设备端口执行算法和协议的实体对象。 设备端口PAE利用认证服务器对需要接入局域网的客户端执行认证，并根据认证结果相应的控制受控端口的授权/非授权状态。 客户端PAE负责响应设备端口的认证请求，向设备端提供用户的认证信息。客户端PAE也可以主动向设备端发送认证请求和下线请求。 受控端口 设备端为客户端提供接入局域网的端口，这个端口被划分为两个虚拟端口：受控端口和非受控端口。非受控端口始终处于双向连通状态，用于传递EAP认证报文。受控端口在授权状态下处于连通状态，用于传递业务报文。受控端口在非授权状态下处于断开状态，禁止传递任何报文。受控端口和非受控端口是同一端口的两个部分；任何到达该端口的帧，在受控端口和非受控端口都是可见的，如图所示： 受控方向 受控端口在非授权状态下，可以被设置成单向受控和双向受控。实行双向受控时，禁止帧的发送