更新时间:2023-08-03 GMT+08:00
802.1X认证
简介
如图1 802.1X认证系统示意图所示,802.1X认证方案包括三个基本要素:客户端、接入控制设备和认证服务器(通常采用RADIUS服务器)。用户终端一般会安装有802.1X客户端软件。
- 客户端是位于局域网段一端的一个实体,由该链路另一端的接入控制设备(RADIUS客户端)对其进行认证。客户端必须支持局域网上的可扩展认证协议EAPOL(Extensible Authentication Protocol over LAN),用户可以在客户端通过自带802.1X客户端发起认证。
- 接入控制设备是位于局域网段一端的另一个实体,对所连接的客户端进行认证。接入控制设备通常为支持802.1X协议的交换机或WAC,为客户端提供接入局域网的接口。
- RADIUS服务器是为接入控制设备提供认证服务的实体。RADIUS服务器用于对用户进行认证、授权和计费,华为乾坤云平台可以作为RADIUS服务器。
认证流程
上线流程:
上线流程如图2所示。
- 用户发起认证请求,向RADIUS客户端发送帐号和密码。
- RADIUS客户端根据获取到的帐号和密码,向RADIUS服务器发送认证请求(Access-Request),其中密码在共享密钥的参与下进行加密处理。
- RADIUS服务器对帐号和密码进行认证。如果认证成功,RADIUS服务器向RADIUS客户端发送认证接受报文(Access-Accept);如果认证失败,则返回认证拒绝报文(Access-Reject)。由于RADIUS协议合并了认证和授权的过程,因此认证接受报文中也包含了用户的授权信息。
- RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入,则RADIUS客户端向RADIUS服务器发送计费开始请求报文(Accounting-Request)。
- RADIUS服务器返回计费开始响应报文(Accounting-Response),并开始计费。
华为乾坤云平台作为RADIUS服务器不支持计费功能,通过计费报文判断用户是否在线,计费报文的发送周期在接入控制设备和华为乾坤云平台上必配且必须一致。
开始计费后将用户同时加入RADIUS客户端和RADIUS服务器的在线用户列表,用户访问网络资源时在RADIUS客户端的在线用户列表查找用户信息,如果存在则无需再次认证。
- 用户根据授权开始访问网络资源。
用户主动下线流程:
用户主动下线流程如图3所示。
- 用户执行注销操作,请求下线。
- RADIUS客户端收到用户下线请求后向RADIUS服务器发送计费停止请求报文(Accounting-Request)。
- RADIUS服务器返回计费结束响应报文(Accounting-Response),并停止计费。
停止计费后同时在RADIUS客户端和RADIUS服务器在线列表中将用户删除。
- RADIUS客户端通知用户客户端访问结束。
管理员在华为乾坤云平台上强制用户下线流程:
强制用户下线流程如图4所示。
- RADIUS服务器接收到强制下线请求后向RADIUS客户端发送下线通知报文DM(Disconnect Message)-Request,该报文中包含Session ID、帐号和客户端IP地址等信息。
- RADIUS客户端根据DM-Request报文中的信息查找在线用户列表,将符合条件的用户下线,并向RADIUS服务器发送下线成功响应报文DM-ACK。
- RADIUS客户端向RADIUS服务器发送计费停止请求报文(Accounting-Request)。
- RADIUS服务器返回计费结束响应报文(Accounting-Response),并停止计费。
停止计费后同时在RADIUS客户端和RADIUS服务器在线列表中将用户删除。
- RADIUS客户端通知用户客户端访问结束。
父主题: 准入认证
