qy千亿-千亿(国际)唯一官方网站

概述

802.1X协议起源于802.11协议，后者是IEEE的无线局域网协议，制订802.1X协议的初衷是为了解决无线局域网用户的接入认证问题。802.1x是根据用户ID或设备，对网络客户端(或端口)进行鉴权的标准。该流程被称为“端口级别的鉴权”。它采用RADIUS(远程认证拨号用户服务)方法，并将其划分为三个不同小组:请求方、认证方和授权服务器。

802.1x 标准应用于试图连接到端口或其它设备(如Cisco Catalyst交换机或Cisco Aironet系列接入点)(认证方)的终端设备和用户(请求方)。认证和授权都通过鉴权服务器(如Cisco Secure ACS)后端通信实现。IEEE 802.1x提供自动用户身份识别，集中进行鉴权、密钥管理和LAN连接配置。 整个802.1x 的实现设计三个部分，请求者系统、认证系统和认证服务器系统。

认证过程：

(1) 客户端向接入设备发送一个EAPoL-Start报文，开始802.1x认证接入;

(2) 接入设备向客户端发送EAP-Request/Identity报文，要求客户端将用户名送上来;

(3) 客户端回应一个EAP-Response/Identity给接入设备的请求，其中包括用户名;

(4) 接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中，发送给认证服务器;

(5) 认证服务器产生一个Challenge，通过接入设备将RADIUS Access-Challenge报文发送给客户端，其中包含有EAP-Request/MD5-Challenge;

(6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端，要求客户端进行认证

(7) 客户端收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回应给接入设备

(8) 接入设备将Challenge，Challenged Password和用户名一起送到RADIUS服务器，由RADIUS服务器进行认证

(9)RADIUS服务器根据用户信息，做MD5算法，判断用户是否合法，然后回应认证成功/失败报文到接入设备。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束;

(10) 如果认证通过，用户通过标准的DHCP协议 (可以是DHCP Relay) ，通过接入设备获取规划的IP地址;

(11) 如果认证通过，接入设备发起计费开始请求给RADIUS用户认证服务器;

(12)RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕。\

服务器配置

1.安装FreeRadius   软件下载路径：\\172.16.1.9\share\Testing department\software   安装FreeRADIUS-server-2.2.0-x86.rar（此版本就是将linux的 freeRadius 编译成windows版本了），或是去官网下载。这里以FreeRADIUS-server-2.2.0-x86.rar为例。解压FreeRADIUS-server-2.2.0-x86.rar，双击FreeRADIUS-server-2.2.0-x86.exe，安装程序，这里按默认路径安装,

3.2修改配置文件

1.安装完成后，进入C:\FreeRADIUS\etc\raddb目录，修改 clients.conf：

client_server localhost {

        ipaddr = 127.0.0.1                     #127.0.0.1 是服务器保留测试地址

        port = 1812                                   #服务器默认的认证端口

        type = "auth"                                  #认证类型为auth

        secret = "testing123"                            #共享秘钥

        response_window = 20                          #响应端口

        max_outstanding = 65536                        # 

        require_message_authenticator = yes               #是否进行消息认证

        zombie_period = 40                          #

        status_check = "status-server"                    #服务器状态检查

        ping_interval = 30                             #

        check_interval = 30                            #检查时间间隔

        num_answers_to_alive = 3                       #

        num_pings_to_alive = 3                         #

        revive_interval = 120                           #恢复时间间隔

        status_check_timeout = 4                        #状态检查超时时间

  coa {