华为技术篇之协议原理与实现(2)

　　Supplicant与Authenticator间运行 IEEE IEEE802.1x定义的EAPOL协议；Authenticator 与 Authentication Sever 间同样运行 EAP 协议，EAP 帧中封装了认证数据，将该协议承载在其他高层次协议中，如 Radius，以便穿越复杂的网络到达认证服务器。

　　Authenticator每个物理端口内部有受控端口（Controlled Port）和非受控端口（unControlled Port）等逻辑划分。非受控端口始终处于双向连通状态，主要用来传递 EAPOL 协议帧，可保证随时接收Supplicant发出的认证EAPoL报文。受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用环境。输入受控方式应用在需要桌面管理的场合，例如管理员远程唤醒一台计算机(supplicant)。

　　2．IEEE802.1x认证过程简介

　　图2　IEEE802.1x的认证过程

　　IEEE802.1x通过 EAP 承载认证信息，共定义了如下 EAP 包类型：

　　EAP-Packet，认证信息帧，用于承载认证信息；

　　EAPOL-Start，认证发起帧，Supplicant 和 Authenticator 均可以发起；

　　EAPOL-Logoff，退出请求帧，可主动终止已认证状态；

　　EAPOL-Key，密钥信息帧，支持对 EAP 报文的加密；

　　EAPOL-Encapsulated-ASF-Alert，用于支持 Alert Standard Forum （ASF）的 Alerting 消息；

　　其中 EAPOL-Start，EAPOL-Logoff 和 EAPOL-Key 仅在 Supplicant 和 Authenticator 间存在，在交换机和认证服务器间，EAP-Packet报文重新封装承载于Radius协议之上，以便穿越复杂的网络到达认证服务器。 EAPOL-Encapsulated-ASF-Alert 封装与网管相关信息，例如各种告警信息，由 Authenticator 终结。

　　3．IEEE802.1x的特点

　　1．协议实现简单

　　IEEE802.1x协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本。

　　2．认证和业务分离

　　IEEE802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能，从而可以实现业务与认证的分离，由Radius服务器和以太网交换机利用不可控的逻辑端口共同完成对用户的认证与控制，业务报文直接承载在正常的二层报文上通过可控端口进行交换；所以通过认证之后的数据包是无需封装的纯数据包。认证系统简化了PPPOE方式中对每个数据包进行拆包和封装等繁琐的工作，所以802 .1x封装效率高，消除了网络瓶颈；同时，由于IEEE802.1x认证包采用了在不可控通道中的独立处理的方式，因此认证处理容量可以很大，远远高于传统的BAS，无需要购买昂贵设备，降低了建网成本。