EAPOL

EAP是Extensible Authentication Protocol的縮寫。

EAP是一個普遍使用的認證機制，它常被用於無線網絡或點到點的連接中。EAP不僅可以用於無線局域網，而且可以用於有線局域網。EAP是一個認證框架，不是一個特殊的認證機制。EAP提供一些公共的功能，並且允許協商所希望的認證機制。這些機制被叫做EAP方法，現在大約有40種不同的方法。

EAPOL就是(EAP OVER LAN )基於局域網的擴展認證協議。

EAPOL是基於802.1X網絡訪問認證技術發展而來的。

IETF的RFC中定義的方法包括：EAP-MD5, EAP-OTP, EAP-GTC, EAP-TLS, EAP-SIM，和EAP-AKA, 還包括一些廠商提供的方法和新的建議。

802.1X 的實現設計三個部分，請求者系統、認證系統和認證服務器系統。因此EAPOL也是。

當認證系統工作於中繼方式時，認證系統與認證服務器之間也運行EAP協議，EAP幀中封裝認證數據，將該協議承載在其它高層次協議中(如 RADIUS)，以便穿越複雜的網絡到達認證服務器;當認證系統工作於終結方式時，認證系統終結EAPoL消息，並轉換為其它認證協議(如 RADIUS)，傳遞用户認證信息給認證服務器系統。

認證系統每個物理端口內部包含有受控端口和非受控端口。非受控端口始終處於雙向連通狀態，主要用來傳遞EAPoL協議幀，可隨時保證接收認證請求者發出的EAPoL認證報文;受控端口只有在認證通過的狀態下才打開，用於傳遞網絡資源和服務。

整個802.1X的認證過程可以描述如下

(1) 客户端向接入設備發送一個EAPoL-Start報文，開始802.1X認證接入;

(2) 接入設備向客户端發送EAP-Request/Identity報文，要求客户端將用户名送上來;

(3) 客户端迴應一個EAP-Response/Identity給接入設備的請求，其中包括用户名;

(4) 接入設備將EAP-Response/Identity報文封裝到RADIUS Access-Request報文中，發送給認證服務器;

(5) 認證服務器產生一個Challenge，通過接入設備將RADIUS Access-Challenge報文發送給接入設備，其中包含有EAP-Request/MD5-Challenge;

(6) 接入設備通過EAP-Request/MD5-Challenge發送給客户端，要求客户端進行認證

(7) 客户端收到EAP-Request/MD5-Challenge報文後，將密碼和Challenge做MD5算法後的Challenged-Pass-word，在EAP-Response/MD5-Challenge迴應給接入設備

(8) 接入設備將Challenge，Challenged Password和用户名一起送到RADIUS服務器，由RADIUS服務器進行認證

(9)RADIUS服務器根據用户信息，做MD5算法，判斷用户是否合法，然後迴應認證成功/失敗報文到接入設備。如果成功，攜帶協商參數，以及用户的相關業務屬性給用户授權。如果認證失敗，則流程到此結束;

(10) 如果認證通過，用户通過標準的DHCP協議 (可以是DHCP Relay) ，通過接入設備獲取規劃的IP地址;

(11) 如果認證通過，接入設備發起計費開始請求給RADIUS用户認證服務器;

(12)RADIUS用户認證服務器迴應計費開始請求報文。用户上線完畢