概述
802.1X協(xié)議起源于802.11協(xié)議��,后者是IEEE的無線局域網(wǎng)協(xié)議����,制訂802.1X協(xié)議的初衷是為了解決無線局域網(wǎng)用戶的接入認(rèn)證問題�。802.1x是根據(jù)用戶ID或設(shè)備,對(duì)網(wǎng)絡(luò)客戶端(或端口)進(jìn)行鑒權(quán)的標(biāo)準(zhǔn)����。該流程被稱為“端口級(jí)別的鑒權(quán)”。它采用RADIUS(遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù))方法����,并將其劃分為三個(gè)不同小組:請(qǐng)求方、認(rèn)證方和授權(quán)服務(wù)器���。
802.1x 標(biāo)準(zhǔn)應(yīng)用于試圖連接到端口或其它設(shè)備(如Cisco Catalyst交換機(jī)或Cisco Aironet系列接入點(diǎn))(認(rèn)證方)的終端設(shè)備和用戶(請(qǐng)求方)���。認(rèn)證和授權(quán)都通過鑒權(quán)服務(wù)器(如Cisco Secure ACS)后端通信實(shí)現(xiàn)�����。IEEE 802.1x提供自動(dòng)用戶身份識(shí)別����,集中進(jìn)行鑒權(quán)���、密鑰管理和LAN連接配置����。 整個(gè)802.1x 的實(shí)現(xiàn)設(shè)計(jì)三個(gè)部分���,請(qǐng)求者系統(tǒng)、認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器系統(tǒng)�����。
認(rèn)證過程:
(1) 客戶端向接入設(shè)備發(fā)送一個(gè)EAPoL-Start報(bào)文����,開始802.1x認(rèn)證接入;
(2) 接入設(shè)備向客戶端發(fā)送EAP-Request/Identity報(bào)文���,要求客戶端將用戶名送上來;
(3) 客戶端回應(yīng)一個(gè)EAP-Response/Identity給接入設(shè)備的請(qǐng)求,其中包括用戶名;
(4) 接入設(shè)備將EAP-Response/Identity報(bào)文封裝到RADIUS Access-Request報(bào)文中�����,發(fā)送給認(rèn)證服務(wù)器;
(5) 認(rèn)證服務(wù)器產(chǎn)生一個(gè)Challenge���,通過接入設(shè)備將RADIUS Access-Challenge報(bào)文發(fā)送給客戶端����,其中包含有EAP-Request/MD5-Challenge;
(6) 接入設(shè)備通過EAP-Request/MD5-Challenge發(fā)送給客戶端����,要求客戶端進(jìn)行認(rèn)證
(7) 客戶端收到EAP-Request/MD5-Challenge報(bào)文后,將密碼和Challenge做MD5算法后的Challenged-Pass-word��,在EAP-Response/MD5-Challenge回應(yīng)給接入設(shè)備
(8) 接入設(shè)備將Challenge��,Challenged Password和用戶名一起送到RADIUS服務(wù)器���,由RADIUS服務(wù)器進(jìn)行認(rèn)證
(9)RADIUS服務(wù)器根據(jù)用戶信息��,做MD5算法�,判斷用戶是否合法,然后回應(yīng)認(rèn)證成功/失敗報(bào)文到接入設(shè)備�����。如果成功���,攜帶協(xié)商參數(shù)��,以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán)��。如果認(rèn)證失敗��,則流程到此結(jié)束;
(10) 如果認(rèn)證通過����,用戶通過標(biāo)準(zhǔn)的DHCP協(xié)議 (可以是DHCP Relay) ��,通過接入設(shè)備獲取規(guī)劃的IP地址;
(11) 如果認(rèn)證通過�����,接入設(shè)備發(fā)起計(jì)費(fèi)開始請(qǐng)求給RADIUS用戶認(rèn)證服務(wù)器;
(12)RADIUS用戶認(rèn)證服務(wù)器回應(yīng)計(jì)費(fèi)開始請(qǐng)求報(bào)文���。用戶上線完畢�。\
服務(wù)器配置
1.安裝FreeRadius 軟件下載路徑:\\172.16.1.9\share\Testing department\software 安裝FreeRADIUS-server-2.2.0-x86.rar(此版本就是將linux的 freeRadius 編譯成windows版本了)���,或是去官網(wǎng)下載�����。這里以FreeRADIUS-server-2.2.0-x86.rar為例�����。解壓FreeRADIUS-server-2.2.0-x86.rar��,雙擊FreeRADIUS-server-2.2.0-x86.exe�����,安裝程序��,這里按默認(rèn)路徑安裝,
3.2修改配置文件
1.安裝完成后�,進(jìn)入C:\FreeRADIUS\etc\raddb目錄����,修改 clients.conf:
client_server localhost {
ipaddr = 127.0.0.1 #127.0.0.1 是服務(wù)器保留測(cè)試地址
port = 1812 #服務(wù)器默認(rèn)的認(rèn)證端口
type = "auth" #認(rèn)證類型為auth
secret = "testing123" #共享秘鑰
response_window = 20 #響應(yīng)端口
max_outstanding = 65536 #
require_message_authenticator = yes #是否進(jìn)行消息認(rèn)證
zombie_period = 40 #
status_check = "status-server" #服務(wù)器狀態(tài)檢查
ping_interval = 30 #
check_interval = 30 #檢查時(shí)間間隔
num_answers_to_alive = 3 #
num_pings_to_alive = 3 #
revive_interval = 120 #恢復(fù)時(shí)間間隔
status_check_timeout = 4 #狀態(tài)檢查超時(shí)時(shí)間
coa {
