802.1x的组播

sxpydyx

EAPOL帧在二层传送时，必须要有目标MAC地址，当客户端和认证系统彼此之间不知道发送的目标时，其目标MAC地址使用由802.1x协议分配的组播 地址01-80-c2-00-00-03。



802.1X的基本概念
1. 受控/非受控端口
设备端为客户端提供接入局域网的端口，这个端口被划分为两个逻辑端口：受控端口和非受控端口。任何到达该端口的帧，在受控端口与非受控端口上均可见。

• 非受控端口始终处于双向连通状态，主要用来传递EAPOL协议帧，保证客户端始终能够发出或接收认证报文。
• 受控端口在授权状态下处于双向连通状态，用于传递业务报文；在非授权状态下禁止从客户端接收任何报文。
  

2. 授权/非授权状态
设备端利用认证服务器对需要接入局域网的客户端实行认证，并根据认证结果（Accept或Reject）对受控端口的授权/非授权状态进行相应地控制。
图 2显示了受控端口上不同的授权状态对通过该端口报文的影响。图中对比了两个802.1X认证系统的端口状态。系统1的受控端口处于非授权状态（相当于端口开关打开），系统2的受控端口处于授权状态（相当于端口开关关闭）。



802.1X的认证触发方式
802.1X的认证过程可以由客户端主动发起，也可以由设备端发起。设备支撑的认证触发方式包括以下两种：
1. 客户端主动触发方式
客户端主动向设备端发送EAPOL-Start报文来触发认证，该报文目的地址为IEEE 802.1X协议分配的一个组播MAC地址：01-80-C2-00-00-03。
另外，由于网络中有些设备不支撑上述的组播报文，使得认证设备无法收到客户端的认证请求，因此设备端还支撑广播触发方式，即，可以接收客户端发送的目的地址为广播MAC地址的EAPOL-Start报文。这种触发方式需要H3C iNode的802.1X客户端的配合。
2. 设备端主动触发方式
设备会每隔N秒（例如30秒）主动向客户端发送EAP-Request/Identity报文来触发认证，这种触发方式用于支撑不能主动发送EAPOL-Start报文的客户端，例如Windows XP自带的802.1X客户端。