日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

802.1x協(xié)議及其在寬帶接入中的應(yīng)用( 二 )

云知道


認(rèn)證服務(wù)器通常為RADIUS服務(wù)器 , 該服務(wù)器可以存儲(chǔ)有關(guān)用戶的信息 。例如 , 用戶的賬號(hào)、密碼以及用戶所屬的VLAN、CAR參數(shù) , 優(yōu)先級(jí) , 用戶的訪問(wèn)控制列表等 。當(dāng)用戶通過(guò)認(rèn)證后 , 認(rèn)證服務(wù)器會(huì)把用戶的相關(guān)信息傳遞給認(rèn)證系統(tǒng) , 由認(rèn)證系統(tǒng)構(gòu)建動(dòng)態(tài)的訪問(wèn)控制列表 , 用戶的后續(xù)流量將接受上述參數(shù)的監(jiān)管 。認(rèn)證服務(wù)器和RADIUS服務(wù)器之間通過(guò)EAP協(xié)議進(jìn)行通信 。
1.3 802.1x協(xié)議的工作機(jī)制
802.1x協(xié)議工作機(jī)制如圖3所示 。由圖3可見(jiàn) , 認(rèn)證的發(fā)起可以由用戶主動(dòng)發(fā)起 , 也可以由認(rèn)證系統(tǒng)發(fā)起 。當(dāng)認(rèn)證系統(tǒng)探測(cè)到未經(jīng)過(guò)認(rèn)證的用戶使用網(wǎng)絡(luò) , 就會(huì)主動(dòng)發(fā)起認(rèn)證;用戶端則可以通過(guò)客戶端軟件向認(rèn)證系統(tǒng)發(fā)送EAPoL-Start開始報(bào)文發(fā)起認(rèn)證 。由客戶端發(fā)送EAPoL退出報(bào)文 , 主動(dòng)下線 , 退出已認(rèn)證狀態(tài)的直接結(jié)果就是導(dǎo)致用戶下線 , 假如用戶要繼續(xù)上網(wǎng)則要再發(fā)起一個(gè)認(rèn)證過(guò)程 。
 
為了保證用戶和認(rèn)證系統(tǒng)之間的鏈路處于激活狀態(tài) , 而不因?yàn)橛脩舳嗽O(shè)備發(fā)生故障造成異常死機(jī) , 從而影響對(duì)用戶計(jì)費(fèi)的準(zhǔn)確性 , 認(rèn)證系統(tǒng)可以定期發(fā)起重新認(rèn)證過(guò)程 , 該過(guò)程對(duì)于用戶是透明的 , 即用戶無(wú)需再次輸入用戶名/密碼 。重新認(rèn)證由認(rèn)證系統(tǒng)發(fā)起 , 時(shí)間從最近一次成功認(rèn)證后算起 。重新認(rèn)證時(shí)間默認(rèn)值為3600 s , 而且默認(rèn)重新認(rèn)證是關(guān)閉的 。
對(duì)于認(rèn)證系統(tǒng)和客戶端之間通信的EAP報(bào)文 , 假如發(fā)生丟失 , 由認(rèn)證系統(tǒng)負(fù)責(zé)進(jìn)行報(bào)文的重傳 。在設(shè)定重傳的時(shí)間時(shí) , 考慮網(wǎng)絡(luò)的實(shí)際環(huán)境 , 通常會(huì)認(rèn)為認(rèn)證系統(tǒng)和客戶端之間報(bào)文丟失的概率比較低以及傳送延遲短 , 因此一般通過(guò)一個(gè)超時(shí)計(jì)數(shù)器來(lái)設(shè)定 , 默認(rèn)重傳時(shí)間為30 s 。
對(duì)于有些報(bào)文的丟失重傳比較非凡 , 如EAPoL-Start報(bào)文的丟失 , 由客戶端負(fù)責(zé)重傳;而對(duì)于EAP失敗和EAP成功報(bào)文 , 由于客戶端無(wú)法識(shí)別 , 認(rèn)證系統(tǒng)不會(huì)重傳 。由于對(duì)用戶身份合法性的認(rèn)證最終由認(rèn)證服務(wù)器執(zhí)行 , 認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器之間的報(bào)文丟失重傳也很重要 。另外 , 對(duì)于用戶的認(rèn)證 , 在執(zhí)行802.1x認(rèn)證時(shí) , 只有認(rèn)證通過(guò)后 , 才有DHCP發(fā)起和IP分配的過(guò)程 。由于客戶終端配置了DHCP自動(dòng)獲取 , 則可能在未啟動(dòng)802.1x客戶端之前 , 就發(fā)起了DHCP的請(qǐng)求 , 而此時(shí)認(rèn)證系統(tǒng)處于禁止通行狀態(tài) , 這樣認(rèn)證系統(tǒng)會(huì)丟掉初始化的DHCP幀 , 同時(shí)會(huì)觸發(fā)認(rèn)證系統(tǒng)發(fā)起對(duì)用戶的認(rèn)證 。
由于DHCP請(qǐng)求超時(shí)過(guò)程為64 s , 所以假如802.1x認(rèn)證過(guò)程能在這64 s內(nèi)完成 , 則DHCP請(qǐng)求不會(huì)超時(shí) , 能順利完成地址請(qǐng)求;假如終端軟件支持認(rèn)證后再執(zhí)行一次DHCP , 就不用考慮64 s的超時(shí)限制 。
1.4 802.1x協(xié)議的認(rèn)證過(guò)程
802.1x協(xié)議認(rèn)證過(guò)程是用戶與服務(wù)器交互的過(guò)程 , 其認(rèn)證步驟如下 。
(1)用戶開機(jī)后 , 通過(guò)802.1x客戶端軟件發(fā)起請(qǐng)求 , 查詢網(wǎng)絡(luò)上能處理EAPoL數(shù)據(jù)包的設(shè)備 。假如某臺(tái)驗(yàn)證設(shè)備能處理EAPoL數(shù)據(jù)包 , 就會(huì)向客戶端發(fā)送響應(yīng)包 , 并要求用戶提供合法的身份標(biāo)識(shí) , 如用戶名及其密碼 。
(2)客戶端收到驗(yàn)證設(shè)備的響應(yīng)后 , 提供身份標(biāo)識(shí)給驗(yàn)證設(shè)備 。由于此時(shí)客戶端還未經(jīng)過(guò)驗(yàn)證 , 因此認(rèn)證流只能從驗(yàn)證設(shè)備的未受控的邏輯端口經(jīng)過(guò) 。驗(yàn)證設(shè)備通過(guò)EAP協(xié)議將認(rèn)證流轉(zhuǎn)發(fā)到AAA服務(wù)器 , 進(jìn)行認(rèn)證 。
(3)假如認(rèn)證通過(guò) , 則認(rèn)證系統(tǒng)的受控邏輯端口打開 。
(4)客戶端軟件發(fā)起DHCP請(qǐng)求 , 經(jīng)認(rèn)證設(shè)備轉(zhuǎn)發(fā)到DHCPServer 。
(5)DHCPServer為用戶分配IP地址 。
(6)DHCPServer分配的地址信息返回給認(rèn)證系統(tǒng) , 認(rèn)證系統(tǒng)記錄用戶的相關(guān)信息 , 如MAC , IP地址等信息 , 并建立動(dòng)態(tài)的ACL訪問(wèn)列表 , 以限制用戶的權(quán)限 。

推薦閱讀