802.1X与EAP

802.1X：EAP Over Eth、EAP Over LAN

用于在pc与交换机之间承载EAP协议

EAP协议：可扩展认证协议

 

C/S架构，客户端----EAPOL-----设备----RADIUS-------服务器

 

802.1X封装：DMAC==01:80:C2:00:00:03 ）Type：0x888E

 

RADIUS：通过UDP封装EAP==AVP属性79进行EAP传递。

 

EAP的透传认证：（EAP-MD5方式）

交换机作为NAS设备，对终端来的802.1X中EAP解封装，通过RADUIS重封装给server。通过server的授权信息，ACL添加在本交换机，从而进行访问授权控制。

缺点： 过程明文传输

 

EAP-TLS:

引入TLS的握手协议，要求client与server都要证书。

握手后数据包在TLS隧道中进行加密传递。

缺点：每个client都需要证书

 

EAP-PEAP with  MS-CHAPv2 

仅需要Server有证书，Client不需要证书。

建立TLS握手时候，仅对server进行证书认证（可以自签名）。

在隧道建立后，Server在加密隧道中通过Chap对client进行认证。

 

802.1X

数据包封装

 

 

EAPOL封装如下：

 

 

EAP封装如下： 当Type=0时，封装EAP数据

 

 

 

 此时EAP-DATA中为 EAP-Method

EAP透传交互过程