EAPOL 基於區域網的拓展認證協議

eap是extensible authentication protocol的縮寫，eapol就是(eap over lan )基於區域網的擴充套件認證協議。 eapol是基於802.1x網路訪問認證技術發展而來的。

定義：eap是extensible authentication protocol的縮寫。

eap是乙個普遍使用的認證機制，它常被用於無線網路或點到點的連線中。eap不僅可以用於無線區域網，而且可以用於有線區域網。eap是乙個認證框架，不是乙個特殊的認證機制。eap提供一些公共的功能，並且允許協商所希望的認證機制。這些機制被叫做eap方法，現在大約有40種不同的方法。

eapol就是(eap over lan )基於區域網的擴充套件認證協議。

eapol是基於802.1x網路訪問認證技術發展而來的。

簡介：ietf的rfc中定義的方法包括：eap-md5, eap-otp, eap-gtc, eap-tls, eap-sim，和eap-aka, 還包括一些廠商提供的方法和新的建議。 [1]

802.1x 的實現設計三個部分，請求者系統、認證系統和認證伺服器系統。因此eapol也是。

當認證系統工作於中繼方式時，認證系統與認證伺服器之間也執行eap協議，eap幀中封裝認證資料，將該協議承載在其它高層次協議中(如 radius)，以便穿越複雜的網路到達認證伺服器;當認證系統工作於終結方式時，認證系統終結eapol訊息，並轉換為其它認證協議(如 radius)，傳遞使用者認證資訊給認證伺服器系統。

認證系統每個物理埠內部包含有受控埠和非受控埠。非受控埠始終處於雙向連通狀態，主要用來傳遞eapol協議幀，可隨時保證接收認證請求者發出的eapol認證報文;受控埠只有在認證通過的狀態下才開啟，用於傳遞網路資源和服務。

整個802.1x的認證過程可以描述如下

(1) 客戶端向接入裝置傳送乙個eapol-start報文，開始802.1x認證接入;

(2) 接入裝置向客戶端傳送eap-request/identity報文，要求客戶端將使用者名稱送上來;

(3) 客戶端回應乙個eap-response/identity給接入裝置的請求，其中包括使用者名稱;

(4) 接入裝置將eap-response/identity報文封裝到radius access-request報文中，傳送給認證伺服器;

(5) 認證伺服器產生乙個challenge，通過接入裝置將radius access-challenge報文傳送給接入裝置，其中包含有eap-request/md5-challenge;

(6) 接入裝置通過eap-request/md5-challenge傳送給客戶端，要求客戶端進行認證

(7) 客戶端收到eap-request/md5-challenge報文後，將密碼和challenge做md5演算法後的challenged-pass-word，在eap-response/md5-challenge回應給接入裝置

(8) 接入裝置將challenge，challenged password和使用者名稱一起送到radius伺服器，由radius伺服器進行認證

(9)radius伺服器根據使用者資訊，做md5演算法，判斷使用者是否合法，然後回應認證成功/失敗報文到接入裝置。如果成功，攜帶協商引數，以及使用者的相關業務屬性給使用者授權。如果認證失敗，則流程到此結束;

(10) 如果認證通過，使用者通過標準的dhcp協議 (可以是dhcp relay) ，通過接入裝置獲取規劃的ip位址;

(11) 如果認證通過，接入裝置發起計費開始請求給radius

使用者認證伺服器;

(12)radius使用者認證伺服器回應計費開始請求報文。使用者上線完畢

EAPOL 基於區域網的拓展認證協議

區域網是什麼區域網的介紹

基於IOCP的區域網監控系統

基於HTTP構建YUM區域網源

EAPOL 基於區域網的拓展認證協議

區域網是什麼 區域網的介紹

基於IOCP的區域網監控系統

基於HTTP構建YUM區域網源

相關推薦

區域網是什麼區域網的介紹