802.1X认证流程

认证流程
对于EAP中继方式，802.1x认证流程如图2所示。
图2 EAP中继方式业务流程

EAP中继认证的过程如下：
（1）当用户需要访问外部网络时打开802.1x客户端程序，输入已经申请、登记过的用户名和密码，发起连接请求。此时，客户端程序将向设备端发出认证请求帧（EAPOL-Start），开始启动一次认证过程。
（2）设备端收到认证请求帧后，将发出一个Identity类型的请求帧（EAP-Request/Identity）要求用户的客户端程序发送输入的用户名。
（3）客户端程序响应设备端发出的请求，将用户名信息通过Identity类型的响应帧（EAP-Response/Identity）发送给设备端。
（4）设备端将客户端发送的响应帧中的EAP报文封装在RADIUS报文（RADIUS Access-Request）中发送给认证服务器进行处理。
（5） RADIUS服务器收到设备端转发的用户名信息后，将该信息与数据库中的用户名列表中对比，找到该用户名对应的密码信息，用随机生成的一个MD5 Challenge对密码进行加密处理，同时将此MD5 Challenge通过RADIUS Access-Challenge报文发送给设备端。
（6）设备端将RADIUS服务器发送的MD5 Challenge转发给客户端。
（7）客户端收到由设备端传来的MD5 Challenge后，用该Challenge对密码部分进行加密处理，生成EAP-Response/MD5 Challenge报文，并发送给设备端。
（8）设备端将此EAP-Response/MD5 Challenge报文封装在RADIUS报文（RADIUS Access-Request）中发送给RADIUS服务器。
（9）RADIUS服务器将收到的已加密的密码信息和本地经过加密运算后的密码信息进行对比，如果相同，则认为该用户为合法用户，并向设备端发送认证通过报文（RADIUS Access-Accept）。
（10）设备收到认证通过报文后向客户端发送认证成功帧（EAP-Success），并将端口改为授权状态，允许用户通过端口访问网络。
（11）用户在线期间，设备端会通过向客户端定期发送握手报文的方法，对用户的在线情况进行监测。
（12）客户端收到握手报文后，向设备发送应答报文，表示用户仍然在线。缺省情况下，若设备端发送的两次握手请求报文都未得到客户端应答，设备端就会让用户下线，防止用户因为异常原因下线而设备无法感知。
（13）客户端可以发送EAPOL-Logoff帧给设备端，主动要求下线。
（14）设备端把端口状态从授权状态改变成未授权状态，并向客户端发送EAP-Failure报文。
对于EAP终结认证，802.1x认证流程如图3所示。
图3 EAP终结方式业务流程

EAP终结方式与EAP中继方式的认证流程相比，不同之处在于步骤(4)中用来对用户密码信息进行加密处理的MD5 challenge由设备端生成，之后设备端会把用户名、MD5 challenge和客户端加密后的密码信息一起送给RADIUS服务器，进行相关的认证处理。

NAC网络准入控制、radius、802.1X（列表、list、全）radiuslist
http://www.zh-cjh.com/wenzhangguilei/1008.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html