宽带技术支持部

宽带技术支持部内容摘要：

有认证通过后才有 DHCP等过程。 基本的认证过程： 认证通过之后的保持： 认证端 Authenticator可以定时要求 Client重新认证，时间可设。 重新认证的过程对 User是透明的 (应该是 User不需要重新输入密码 )。 下线方式： 物理端口 Down； 重新认证不通过或者超时； 客户端发起 EAP_Logoff帧； 网管控制导致下线； 现在的设备（ switch）端口有三种认证方式： ForceAuthorized： 端口一直维持授权状态， switch的 Authenticator不主动发起认证； ForceUnauthorized： 端口一直维持非授权状态，忽略所有客户端发起的认证请求； Auto： 激活 ，设置端口为非授权状态，同时通知设备管理模块要求进行端口认证控制，使端口仅允许 EAPOL报文收发，当发生 UP事件或接收到 EAPOLstart报文，开始认证流程，请求客户端 Identify，并中继客户和认证服务器间的报文。 认证通过后端口切换到授权状态，在退出前可以进行重认证。 我们要学的内容。 EAPOL协议的介绍。 受控端口 ：在通过认证前，只允许认证报文 EAPOL报文和广播报文（ DHCP、 ARP）通过端口，不允许任何其他业务数据流通过； 逻辑受控端口 ：多个 Supplicant共用一个物理端口，当某个 Supplicant没有通过认证前，只允许认证报文通过该物理端口，不允许业务数据，但其他已通过认证的Supplicant业务不受影响。 现在在使用中有下面三种情况： • 仅对使用同一物理端口的任何一个用户进行认证 （仅对一个用户进行认证，认证过程中忽略其他用户的认证请求），认证通过后其他用户也就可以利用该物理端口访问网络服务 • 对共用同一个物理端口的多个用户分别进行认证控制，限制同时使用同一个物理端口的用户数目（限制 MAC地址数目），但不指定 MAC地址，让系统根据先到先得原则进行MAC地址学习，系统将拒绝超过限制数目的请求，若有用户退出，则可以覆盖已退出得 MAC地址。 • 对利用不同物理端口的用户进行 VLAN认证控制，即只允许访问指定 VLAN，限制用户访问非授权 VLAN；用户可以利用受控端口，访问指定 VLAN，同一用户可以在不同的端口访问相同的 VLAN。 我们要学的内容。 EAPOL协议的介绍。 EAPOL协议的介绍 Extensible Authentication Protocol over LAN IEEE ，需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式。 为了在点到点链路上建立通信，在链路建立阶段 PPP链路的每一端都必须首先发送 LCP数据包来对该数据链路进行配置。 在链路已经建立起。