亚洲一本到视频秋霞自拍导航国产,亚洲AⅤ中文无码字幕色下载软件,亚洲国产第一区二区三区,精品少妇一区二区视频在线观看,亚洲精品三区www.锕锕锕,国产尤物一区二区在线播放,色哟哟中文字幕,亚州一区爱区精品无码

802.1X協(xié)議是IEEE802 LAN/WAN委員會為了解決無線局域網(wǎng)網(wǎng)絡安全問題提出的。后來該協(xié)議作為局域網(wǎng)端口的一個普通接入控制機制應用于以太網(wǎng)中，主要用于解決以太網(wǎng)內(nèi)認證和安全方面的問題，在局域網(wǎng)接入設備的端口這一級對所接入的設備進行認證和控制。

802.1X體系結(jié)構(gòu)

802.1X的系統(tǒng)是采用典型的Client/Server體系結(jié)構(gòu)，包括三個實體，如圖所示。

1) 客戶端：局域網(wǎng)中的一個實體，多為普通計算機，用戶通過客戶端軟件發(fā)起802.1X認證，并由設備端對其進行認證?？蛻舳塑浖仨殲橹С?02.1X認證的用戶終端設備。

2) 設備端：通常為支持802.1X協(xié)議的網(wǎng)絡設備，如本交換機，為客戶端提供接入局域網(wǎng)的物理/邏輯端口，并對客戶端進行認證。

3) 認證服務器：為設備端提供認證服務的實體，例如可以使用RADIUS服務器來實現(xiàn)認證服務器的認證和授權(quán)功能。該服務器可以存儲客戶端的相關信息，并實現(xiàn)對客戶端的認證和授權(quán)。為了保證認證系統(tǒng)的穩(wěn)定，可以為網(wǎng)絡設置一個備份認證服務器。當主認證服務器出現(xiàn)故障時，備份認證服務器可以接替認證服務器的工作，保證認證系統(tǒng)的穩(wěn)定。

802.1X認證工作機制

IEEE 802.1X認證系統(tǒng)使用EAP（Extensible Authentication Protocol，可擴展認證協(xié)議）來實現(xiàn)客戶端、設備端和認證服務器之間認證信息的交換。

1) 在客戶端與設備端之間，EAP協(xié)議報文使用EAPOL封裝格式，直接承載于LAN環(huán)境中。

2) 在設備端與RADIUS服務器之間，可以使用兩種方式來交換信息。一種是EAP協(xié)議報文使用EAPOR（EAP over RADIUS）封裝格式承載于RADIUS協(xié)議中；另一種是設備端終結(jié)EAP協(xié)議報文，采用包含PAP（Password Authentication Protocol，密碼驗證協(xié)議）或CHAP（Challenge Handshake Authentication Protocal，質(zhì)詢握手驗證協(xié)議）屬性的報文與RADIUS服務器進行認證。

3) 當用戶通過認證后，認證服務器會把用戶的相關信息傳遞給設備端，設備端根據(jù)RADIUS服務器的指示（Accept或Reject）決定受控端口的授權(quán)/非授權(quán)狀態(tài)。

802.1X認證過程

認證過程可以由客戶端主動發(fā)起，也可以由設備端發(fā)起。一方面當設備端探測到有未經(jīng)過認證的用戶使用網(wǎng)絡時，就會主動向客戶端發(fā)送EAP-Request/Identity報文，發(fā)起認證；另一方面客戶端可以通過客戶端軟件向設備端發(fā)送EAPOL-Start報文，發(fā)起認證。

802.1X系統(tǒng)支持EAP中繼方式和EAP終結(jié)方式與遠端RADIUS服務器交互完成認證。以下關于兩種認證方式的過程描述，都以客戶端主動發(fā)起認證為例。

1. EAP中繼方式

EAP中繼方式是IEEE 802.1X標準規(guī)定的，將EAP（擴展認證協(xié)議）承載在其它高層協(xié)議中，如EAP over RADIUS，以便擴展認證協(xié)議報文穿越復雜的網(wǎng)絡到達認證服務器。一般來說，EAP中繼方式需要RADIUS服務器支持EAP屬性：EAP-Message和Message-Authenticator。本交換機支持的EAP中繼方式是EAP-MD5，EAP-MD5認證過程如圖所示。

1) 當用戶有訪問網(wǎng)絡需求時打開802.1X客戶端程序，輸入已經(jīng)申請、登記過的用戶名和密碼，發(fā)起連接請求（EAPOL-Start報文）。此時，客戶端程序?qū)l(fā)出請求認證的報文給設備端，開始啟動一次認證過程。

2) 設備端收到請求認證的數(shù)據(jù)幀后，將發(fā)出一個請求幀（EAP-Request/Identity報文）要求用戶的客戶端程序發(fā)送輸入的用戶名。

3) 客戶端程序響應設備端發(fā)出的請求， 將用戶名信息通過數(shù)據(jù)幀（EAP-Response/Identity報文）發(fā)送給設備端。設備端將客戶端發(fā)送的數(shù)據(jù)幀經(jīng)過封包處理后（RADIUS Access-Request報文）送給認證服務器進行處理。

4) RADIUS服務器收到設備端轉(zhuǎn)發(fā)的用戶名信息后，將該信息與數(shù)據(jù)庫中的用戶名表對比，找到該用戶名對應的密碼信息，用隨機生成的一個加密字對它進行加密處理，同時也將此加密字通過RADIUS Access-Challenge報文發(fā)送給設備端，由設備端轉(zhuǎn)發(fā)給客戶端程序。

5) 客戶端程序收到由設備端傳來的加密字（EAP-Request/MD5 Challenge報文）后，用該加密字對密碼部分進行加密處理（此種加密算法通常是不可逆的，生成EAP-Response/MD5 Challenge報文），并通過設備端傳給認證服務器。

6) RADIUS服務器將收到的已加密的密碼信息（RADIUS Access-Request報文）和本地經(jīng)過加密運算后的密碼信息進行對比，如果相同，則認為該用戶為合法用戶，反饋認證通過的消息（RADIUS Access-Accept報文和EAP-Success報文）。

7) 設備收到認證通過消息后將端口改為授權(quán)狀態(tài)，允許用戶通過端口訪問網(wǎng)絡。在此期間，設備端會通過向客戶端定期發(fā)送握手報文的方法，對用戶的在線情況進行監(jiān)測。缺省情況下，兩次握手請求報文都得不到客戶端應答，設備端就會讓用戶下線，防止用戶因為異常原因下線而設備無法感知。

8) 客戶端也可以發(fā)送EAPOL-Logoff報文給設備端，主動要求下線，設備端把端口狀態(tài)從授權(quán)狀態(tài)改變成未授權(quán)狀態(tài)。

1. EAP終結(jié)方式

EAP終結(jié)方式將EAP報文在設備端終結(jié)并映射到RADIUS報文中，利用標準RADIUS協(xié)議完成認證、授權(quán)和計費。設備端與RADIUS服務器之間可以采用PAP或者CHAP認證方法。本交換機支持的EAP終結(jié)方式是PAP，PAP認證過程如圖所示。

在PAP模式中，交換機對用戶口令信息進行加密，然后把用戶名、隨機加密字和客戶端加密后的口令信息一起轉(zhuǎn)發(fā)給認證服務器進行相關的認證處理；而在EAP-MD5模式中，隨機加密字由認證服務器產(chǎn)生，交換機只負責把認證信息報文封裝后轉(zhuǎn)發(fā)。

802.1X定時器

802.1X認證過程中會啟動多個定時器以控制接入用戶、設備以及RADIUS服務器之間進行合理、有序的交互。本交換機中的802.1X定時器主要有以下三種：

1) 客戶端認證超時定時器：當交換機向客戶端發(fā)送報文后，交換機啟動此定時器，若在該定時器設置的時長內(nèi)，交換機沒有收到客戶端的響應，交換機將重發(fā)該報文。

2) 認證服務器超時定時器：當交換機向認證服務器發(fā)送報文后，交換機啟動此定時器，若在該定時器設置的時長內(nèi)，交換機沒有收到認證服務器的響應，交換機將重發(fā)認證請求報文。

3) 靜默定時器：對用戶認證失敗以后，交換機需要靜默一段時間（該時間由靜默定時器設置），在靜默期間，交換機不再處理該用戶的認證請求。