验证服务器
LAN
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 9
第1章 802.1x工作原理 第2章 EAP和EAPOL 第3章 820.1x协议运行过程 第4章 RADIUS协议原理 第5章 RADIUS故障处理
HUAWEI TECHNOLOGIES CO., LTD.
Page 22
RADIUS原理
客户端/服务器模式
在这个模型中，NAS/BAS服务器相于用户是服务器端，相于 RADIUS服务器是客户端，其作用就是把用户的认证信息提取后封 装为标准的RADIUS报文，并送到RADIUS服务器处理。RADIUS 服务器根据NAS/BAS服务器送来的用户名和密码进行验证，并对 用户的访问权限进行授权，同时NAS/BAS统计用户使用网络的信 息（时间、流量）并送给RADIUS进行计费处理。
Bas
Radiu s
Code=1 Code=2（3）
Authentication_Ack
…… 计费过程同上一张
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 25
RADIUS报文流程(RADIUS产生挑战字)
Client
Challenge_request challenge Authentication_request
未被授权 的端口
授权的端口
LAN
LAN
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 7
端口控制模式
模式 强行未授权
行为 受控端口被无条件设置为未授权状态 受控端口被无条件设置为已授权状态 允许协议控制受控端口的授权状态
（ForceUnauthorized）
Internal
DP500029 802.1X&Radius原理
ISSUE 1.0

HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
学习完此课程，您将会：
掌握802.1X的协议原理
掌握RADIUS协议知识
HUAWEI TECHNOLOGIES CO., LTD.
说明
用户名 28 32 40 41 42 43 44 46 47 48 49
属性
Idle-Timeout NAS-Identifier Acct-Status-Type Acct-Delay-Time Acct-Input-Octets Acct-Output-Octets Acct-Session-Id Acct-Session-Time Acct-Input-Packets Acct-Output-Packets Acct-Terminate-Cause
认证请求 认证通过 认证拒绝 计费请求 计费响应 挑战请求
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 30
常用属性介绍
属性
1 2 3 4 5 8 11 18 25 26 27 User-Name User-Password CHAP-Password NAS-IP-Address NAS-Port Framed-IP-Address Filter-Id Reply-Message Class Vendor-Specific Session-Timeout
……
Code=4(stop)
logout_Ack
HUAWEI TECHNOLOGIES CO., LTD.
Code=5
Page 24
All rights reserved
RADIUS报文流程(CHAP)
Client
Challenge_request
challenge Authentication_request
为什么需要802.1X？
只要有物理连接， 就提供所有服务
Internet
数据 服务器
交换机
路由器
PCA
PCB
PCC
太容易访问网络 资源了
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 4
802.1X的作用？
没通过验证， 就不提供服务
Internet
All rights reserved
Page 2
第1章 802.1x工作原理 第2章 EAP和EAPOL 第3章 820.1x协议运行过程 第4章 RADIUS协议原理 第5章 RADIUS故障处理
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 3
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 21
RADIUS设计的组网结构
IPOX/PPPOX/Wlan等
Lsw2 Lsw2 Lsw2 Lsw2
BAS
城域网/光纤
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
注销机制
原因
底层协议原因 管理原因 定时器原因 物理端口不可用 端口被手动配置为未授权状态 验证者的验证定时器超时
描述
EAPOL注销报文
请求者主动向验证者发送EAPOL注销报文
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 20
第1章 802.1x工作原理 第2章 EAP和EAPOL 第3章 820.1x协议运行过程 第4章 RADIUS协议原理 第5章 RADIUS故障处理
Page 31
其它属性介绍
本页属性以MA5200 R007版本为例介绍了RADIUS所有属性，不同 产品在属性的定义上可能不同，具体请参考各产品的定义！
EAPOL报文格式
Version Packet Body ...
Type
Packet Body Length
EAP报文被封装在此字段内
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 14
EAPOL报文类型
Type值 0 1 2 3 4
报文类型 EAP报文（EAP-Packet） EAPOL开始报文（ EAPOL-Start） EAPOL注销报文（EAPOL-Logoff） EAPOL信息报文（EAPOL-Key） EAPOL告警报文（EAPOL-Encapsulated-ASF-Alert）

Code，8bit，用以标识RADIUS报文的类型 Identifier，8bit，用以匹配请求包和响应包
Length，16bit，标识报文的长度
Authenticator，32bit，用以验证报文的合法性 Attribute，不定长，TLV格式，属性具体内容
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 15
EAPOL报文的二层报文头
DMAC SMAC TYPE EAPOL FCS
字段 DMAC
内容 01-80-C2-00-00-03
SMAC
TYPE
端口的物理MAC地址
88-8E
HUAWEI TECHNOLOGIES CO., LTD.
请求和回应报文
用于验证的信息
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 12
成功和无效报文
没有Type和Type-Data字段
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 13
Page 17
发起认证
发起者
请求者（Supplicant） 验证者 （AuPOL-Start） 发送一个EAP请求报文（EAP Request）
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
被所接入的验证者验证的网络实体
对验证者提供验证服务的实体，这种服务决定请 （Authentication Server） 求者是否被允许接入验证者所提供的服务
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 6
受控端口和非受控端口
验证者系统 受控端口 非受控端口 受控端口 验证者系统 非受控端口
数据 服务器
交换机
路由器
PCA
PCB
PCC
为什么我的网卡 不能正常工作？
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 5
系统角色
系统角色 定义
验证者（Authenticator） 对接入的网络实体进行验证的实体
请求者（Supplicant） 验证服务器
HUAWEI TECHNOLOGIES CO., LTD.
All rights reserved
Page 23
RADIUS报文流程(完整PAP)
Client
Authentication_Req
Bas
Code=1
Radius
Code=2（3）
Authentication_Ack Code=4(start) Code=5 Code=4(real) Code=5 logout_Req