基于802.1X和DFW的网络安全研究及NAC系统的设计与(13)

基于802.1X和DFW的网络安全研究及NAC系统的设计与实现

关用户的信息，比如用户所属的VLAN, CAR参数、优先级、用户的访问控制列表等等。当用户通过认证后，认证服务器会把用户的相关信息传递给认证系统，由认证系统构建动态的访问控制列表，用户的后续流量就将接受上述参数的监管。认证服务器和RADIUS服务器之间通过可扩展认证协议EAP(Extensible Authentication Protocol)协议进行通信。

2.2 EAP协议

IEEE 802.1X定义了基于端口的网络接入控制协议，该协议仅适用于接入设备与接入端口间点到点的连接方式。为了在点到点链路上建立通信，在链路建立阶段PPP链路的每一端都必须首先发送LCP数据包来对该数据链路进行配置。在链路已经建立起来后，在进入网络层协议之前，PPP提供一个可选的认证阶段。而EAP就是PPP的一个可扩展的认证协议。802.1X协议采用EAP协议在客户端、认证系统和认证服务器之间进行通信[22]。

2.2.1 EAP协议栈

EAP是Extensible Authentication Protocol的简称，是一种用于点到点链路的认证协议，EAP最大的特点在于没有定义具体的认证机制，可以根据具体需要进行选择。根据在以太网中的实现，将EAP协议栈自上而下分为三层[21]，如图2-2所示：

图2-2 EAP协议栈