AAA认证过程

AAA使用的是802.1x协议全称是：Port-Based Network Access Control Protocol（基于端口的网络访问

控制协议）

他是通过EAPoL报文交互认证的.

802.1X 认证有3 个重要角色：恳求者、认证者和认证服务器。

1.客户端SU 以组播方式发送一个EAP 报文发起认证过程（协议标准组播地址为

01-80-C2-00-00-03)

2 . 交换机收到该报文后，发送一个EAP-Request 报文响应客户端的认证请求，要求用户提供用户名信息。

3 . 客户端收到EAP-Request 之后响应一个EAP-Response 报文，将用户名封装在EAP 报文中发给交换机。

4 . 交换机将客户端送来的EAP-Request 报文与自己的交换机IP、端口等相关信息一起封装在RADIUS Access-Request 报文中发给认证服务器。

5 . 认证服务器收到RADIUS Access-Request 报文后进行验证，如果该用户的相关信息有效，则对该用户发起一次认证挑战（RADIUS Access-Challenge），要求用户提供密码。

6 . 交换机收到这条RADIUS Access-Challenge 报文后，将挑战请求用一条

EAP-Challenge Request 转发给客户端。

7 . 客户端接到挑战请求后，将用户密码进行加密处理，封装在EAP-Challenge Response 中返回给交换机。

8 . 交换机将用户的EAP-Challenge Response 封装为RADIUS Access-Request 报文转发给认证服务器。

9 . 认证服务器对用户的密码进行验证，如果验证失败，服务器将返回一条RADIUSAccess-Reject 报文，拒绝用户的认证请求；如果验证通过，服务器则发送一条RADIUS Access-Accept 报文给交换机。

1 0 . 交换机在接到认证服务器发来的RADIUS Access-Accept 之后，解除对客户端的访问控制，同时发送一条EAP-Success 报文给客户端通知其认证已经成功