AAA报文交互模式

来源：http://wenwen.soso.com/z/q166758313.htm?pid=wenwen.autologin

 

    AAA使用的是802.1x协议全称是：Port-Based Network Access Control Protocol（基于端口的网络访问
控制协议）。

    他是通过EAPoL报文交互认证的。

    802.1X 认证有3 个重要角色：恳求者、认证者和认证服务器。

1. 客户端SU 以组播方式发送一个EAP 报文发起认证过程（协议标准组播地址为01-80-C2-00-00-03)。

 

2. 交换机收到该报文后，发送一个EAP-Request 报文响应客户端的认证请求，要求用户提供用户名信息。

3. 客户端收到EAP-Request 之后响应一个EAP-Response 报文，将用户名封装在EAP报文中发给交换机。

4. 交换机将客户端送来的EAP-Request 报文与自己的交换机IP、端口等相关信息一起封装在RADIUS Access-Request 报文中发给认证服务器。

5. 认证服务器收到RADIUS Access-Request 报文后进行验证，如果该用户的相关信息有效，则对该用户发起一次认证挑战（RADIUS Access-Challenge），要求用户提供密码。

6. 交换机收到这条RADIUS Access-Challenge 报文后， 将挑战请求用一条EAP-Challenge Request 转发给客户端。

7. 客户端接到挑战请求后，将用户密码进行加密处理，封装在EAP-Challenge Response中返回给交换机。

8. 交换机将用户的EAP-Challenge Response 封装为RADIUS Access-Request 报文转发给认证服务器。

9. 认证服务器对用户的密码进行验证，如果验证失败，服务器将返回一条RADIUSAccess-Reject 报文，拒绝用户的认证请求；如果验证通过，服务器则发送一条RADIUS Access-Accept 报文给交换机。

10. 交换机在接到认证服务器发来的RADIUS Access-Accept 之后，解除对客户端的访问控制，同时发送一条EAP-Success 报文给客户端通知其认证已经成功。