企业实用技术：802.1X认证

1、802.1X认证是RADIUS协议的一种认证方式。主要解决以太网内认证和安全方面的问题。

2、802.1X为典型的Client/Server结构，有三个部分，终端、RADIUS客户端和RADIUS服务器。

3、802.1X认证流程。

  用户上线流程：

  ①用户发起认证请求，向RADIUS客户端发送账号和密码。

  ②RADIUS客户端根据获取到的账号和密码，向RADIUS服务器发送认证请求（access-request），其中密码在共享密钥的参与下进行加密处理。

  ③RADIUS服务器对账号和密码进行认证。如果认证成功，RADIUS服务器向RADIUS客户端发送认证接收报文（access-accept）;如果认证失败，则返回认证拒绝报文（access-reject）。由于RADIUS协议合并了认证和授权的过程，因此认证接受报文中也包含了用户的授权信息。

  ④RADIUS客户端根据接受到的认证结果接入或拒绝用户。如果允许用户接入，则RADIUS客户端向

RADIUS服务器发送计费开始请求报文（Accounting-request）。

  ⑤RADIUS服务器返回计费开始响应报文（accounting-response）,并开始计费。

  ⑥用户根据授权开始访问网络资源。

  用户主动下线流程：

  ①用户执行注销操作，请求下线。

  ②RADIUS客户端收到用户下线请求后向RADIUS服务器发送计费停止请求报文（accounting-request）。

  ③RADIUS服务器返回计费结束响应报文（accounting-response）,并停止计费。

  ④用户访问结束。

  在iMaster NCE-Campus上强制用户下线流程：

  ①RADIUS服务器接收到强制下线请求后向RADIUS客户端发送下线通知报文DM（disconnect message）-request，该报文中包含session id、账号和终端IP地址等信息。

  ②RADIUS客户端根据DM-request报文中的信息查找在线用户列表，将符合条件的用户下线，并向RADIUS服务器发送下线成功响应报文DM-ACK。

  ③RADIUS客户端向RADIUS服务器发送计费停止请求报文（accounting-request）。

  ④RADIUS服务器返回计费结束响应报文（accounting-response），并停止计费。

  ⑤用户访问结束。