1802.1x802.1x认证计费部认证计费部谢谢刚刚2802.1x是一种基于端口的认证协议，是一种对用户进行认证的方法和策略802.1x基于端口的网络接入控制机制，能够对IEEE802局域网上以点对点方式连接到网络端口的设备进行认证、授权，同时阻止认证失败的设备接入网络。802802.1x.1x3802802.1x.1x客户端客户端PAEPAE客户端客户端设备端提设备端提供服务供服务设备端设备端PAEPAE设备端设备端LANLAN认证服务器认证服务器非受控端口非受控端口受控端口受控端口端口非授权端口非授权认证服务器认证服务器4客户端：客户端：SupplicantSupplicant，被认证的客户端，由客户端软，被认证的客户端，由客户端软件发起件发起802.1x802.1x认证认证设备端：设备端：AuthenticatorAuthenticator，，负责与负责与SupplicantSupplicant和和AuthenticatorServerAuthenticatorServer之间的通讯，对认证和回应报文的转之间的通讯，对认证和回应报文的转发，以及对端口的访问控制方式进行设置。发，以及对端口的访问控制方式进行设置。认证服务器：认证服务器：AuthenticationServerAuthenticationServer实现用户的认证，实现用户的认证，授权，和计费。授权，和计费。PAEPAE：：PortAccessEntityPortAccessEntity，分为客户端，分为客户端PAEPAE和设备端和设备端PAEPAE5非受控端口传递非受控端口传递EAPEAP认证报文认证报文受控端口传递业务报文受控端口传递业务报文单向受控，只进不出；双向受控，不出不进单向受控，只进不出；双向受控，不出不进6在客户端PAE与设备端PAE之间，EAP协议报文使用EAPOL封装格式，直接承载于LANMAC环境中。在设备端PAE与RADIUS服务器之间，EAP协议报文使用EAPOR封装格式，承载于RADIUS协议中7802.1X认证系统工作机制认证发起用户下线EAP报文的中继转发EAP报文的终结密钥信息的传输8910SupplicantPAESupplicantPAE11DEST/SRCMACDEST/SRCMACBODYLENBODYLENTYPETYPEVERSIONVERSIONPROTTYPEPROTTYPEBODYBODYDEST/SRCMAC:DEST/SRCMAC:1212个字节，分配给个字节，分配给SUPPSUPP和和AUTHAUTH的的MACMAC地址，目的组地地址，目的组地址01-80-c2-00-00-03PROTTYPE:PROTTYPE:22个字节，个字节，PAEPAE以太网的类型值，以太网的类型值，888E888EVERSION:VERSION:11个字节，个字节，EAPOLEAPOL协议版本号协议版本号，，0000000100000001TYPE:TYPE:11个字节个字节,,被传送报文类型，包括：被传送报文类型，包括：EAP_PACKET,EAPOL_START,EAP_PACKET,EAPOL_START,EAPOL_LOGOFF,EAPOL_KEY,EAPOL_ENCAPSULATED_ASF_ALERTEAPOL_LOGOFF,EAPOL_KEY,EAPOL_ENCAPSULATED_ASF_ALERTBODYLEN:BODYLEN:22个字节，个字节，PACKETBODYPACKETBODY的长度。的长度。BODY:BODY:包含包含EAP_PACKET,EAPOL_KEY,EAPOL_ENCAPSULATED_ASF_ALERTEAP_PACKET,EAPOL_KEY,EAPOL_ENCAPSULATED_ASF_ALERTEAPOLEAPOL报文格式报文格式12EAPEAP报文格式报文格式CodeCodeIdentifierIdentifierLengthLengthDataDataTYPETYPETYPE_DATATYPE_DATACODE:1CODE:1个字节，标示个字节，标示EAPEAP报文类型，包括：报文类型，包括：REQUEST,RESPONSE,SUCCESS,FAILURE,REQUEST,RESPONSE,SUCCESS,FAILURE,新增新增充值报文类型。充值报文类型。IDENTIFIER