EAP(Extensible Authentication Protocol)可扩展认证协议,RFC-定义,与其说EAP是一个认证协议不如说EAP是一个认证框架,EAP本身不是认证协议,它自己不支持认证功能,它是为了承载多种认证协议而生的,EAP为扩展和协商认证协议提供了一个标准,在PAP中介绍了EAP出现的原由,就是想让PC客户端和RADIUS服务器之间直接协商认证数据,将NAS网络设备从中解脱出来。
以常用的802.1X为例,它就是使用了EAP协议,802.1X的工作原理如下:
- 在客户端PAE
与设备端PAE 之间,EAP 协议报文使用EAPOL 封装格式,直接承载于LAN 环境中;
- 在设备端PAE
与RADIUS 服务器之间,EAP 协议报文可以使用EAPOR(EAP over RADIUS)封装格式,承载于RADIUS 协议中;也可以由设备端PAE 进行终结,而在设备端PAE 与RADIUS 服务器之间传送PAP 协议报文或CHAP协议报文;
- 当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE
根据RADIUS 服务器的指示(Accept 或Reject)决定受控端口的授权/非授权状态;
协议栈如图:
可以看到中间的NAS设备就支持到了EAP层,EAP上面承载的认证协议对NAS是透明的,NAS设备不需要了解,也不需要支持,它只需要支持EAP即可,这些方法是可以协商的,不一定是事先定义好的。
阅读(2474) | 评论(0) | 转发(0) |
