概述
802.1X協(xié)議起源于802.11協(xié)議����,后者是IEEE的無線局域網(wǎng)協(xié)議,制訂802.1X協(xié)議的初衷是為了解決無線局域網(wǎng)用戶的接入認(rèn)證問題���。802.1x是根據(jù)用戶ID或設(shè)備����,對網(wǎng)絡(luò)客戶端(或端口)進(jìn)行鑒權(quán)的標(biāo)準(zhǔn)����。該流程被稱為“端口級別的鑒權(quán)”。它采用RADIUS(遠(yuǎn)程認(rèn)證撥號用戶服務(wù))方法�����,并將其劃分為三個不同小組:請求方、認(rèn)證方和授權(quán)服務(wù)器���。
802.1x 標(biāo)準(zhǔn)應(yīng)用于試圖連接到端口或其它設(shè)備(如Cisco Catalyst交換機(jī)或Cisco Aironet系列接入點)(認(rèn)證方)的終端設(shè)備和用戶(請求方)����。認(rèn)證和授權(quán)都通過鑒權(quán)服務(wù)器(如Cisco Secure ACS)后端通信實現(xiàn)��。IEEE 802.1x提供自動用戶身份識別�,集中進(jìn)行鑒權(quán)、密鑰管理和LAN連接配置�����。 整個802.1x 的實現(xiàn)設(shè)計三個部分���,請求者系統(tǒng)�、認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器系統(tǒng)���。
認(rèn)證過程:
(1) 客戶端向接入設(shè)備發(fā)送一個EAPoL-Start報文����,開始802.1x認(rèn)證接入;
(2) 接入設(shè)備向客戶端發(fā)送EAP-Request/Identity報文,要求客戶端將用戶名送上來;
(3) 客戶端回應(yīng)一個EAP-Response/Identity給接入設(shè)備的請求�����,其中包括用戶名;
(4) 接入設(shè)備將EAP-Response/Identity報文封裝到RADIUS Access-Request報文中�����,發(fā)送給認(rèn)證服務(wù)器;
(5) 認(rèn)證服務(wù)器產(chǎn)生一個Challenge�����,通過接入設(shè)備將RADIUS Access-Challenge報文發(fā)送給客戶端�,其中包含有EAP-Request/MD5-Challenge;
(6) 接入設(shè)備通過EAP-Request/MD5-Challenge發(fā)送給客戶端�����,要求客戶端進(jìn)行認(rèn)證
(7) 客戶端收到EAP-Request/MD5-Challenge報文后��,將密碼和Challenge做MD5算法后的Challenged-Pass-word���,在EAP-Response/MD5-Challenge回應(yīng)給接入設(shè)備
(8) 接入設(shè)備將Challenge�,Challenged Password和用戶名一起送到RADIUS服務(wù)器,由RADIUS服務(wù)器進(jìn)行認(rèn)證
(9)RADIUS服務(wù)器根據(jù)用戶信息��,做MD5算法���,判斷用戶是否合法�,然后回應(yīng)認(rèn)證成功/失敗報文到接入設(shè)備��。如果成功�����,攜帶協(xié)商參數(shù)���,以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán)�。如果認(rèn)證失敗����,則流程到此結(jié)束;
(10) 如果認(rèn)證通過,用戶通過標(biāo)準(zhǔn)的DHCP協(xié)議 (可以是DHCP Relay) ����,通過接入設(shè)備獲取規(guī)劃的IP地址;
(11) 如果認(rèn)證通過,接入設(shè)備發(fā)起計費開始請求給RADIUS用戶認(rèn)證服務(wù)器;
(12)RADIUS用戶認(rèn)證服務(wù)器回應(yīng)計費開始請求報文�����。用戶上線完畢。\
服務(wù)器配置
1.安裝FreeRadius 軟件下載路徑:\\172.16.1.9\share\Testing department\software 安裝FreeRADIUS-server-2.2.0-x86.rar(此版本就是將linux的 freeRadius 編譯成windows版本了)��,或是去官網(wǎng)下載��。這里以FreeRADIUS-server-2.2.0-x86.rar為例���。解壓FreeRADIUS-server-2.2.0-x86.rar,雙擊FreeRADIUS-server-2.2.0-x86.exe�����,安裝程序�,這里按默認(rèn)路徑安裝,
3.2修改配置文件
1.安裝完成后,進(jìn)入C:\FreeRADIUS\etc\raddb目錄����,修改 clients.conf:
client_server localhost {
ipaddr = 127.0.0.1 #127.0.0.1 是服務(wù)器保留測試地址
port = 1812 #服務(wù)器默認(rèn)的認(rèn)證端口
type = "auth" #認(rèn)證類型為auth
secret = "testing123" #共享秘鑰
response_window = 20 #響應(yīng)端口
max_outstanding = 65536 #
require_message_authenticator = yes #是否進(jìn)行消息認(rèn)證
zombie_period = 40 #
status_check = "status-server" #服務(wù)器狀態(tài)檢查
ping_interval = 30 #
check_interval = 30 #檢查時間間隔
num_answers_to_alive = 3 #
num_pings_to_alive = 3 #
revive_interval = 120 #恢復(fù)時間間隔
status_check_timeout = 4 #狀態(tài)檢查超時時間
coa {
