(1)认证
决定用户身份。
(2)计费
了解客户端的网络活动情况。
radius用户采用一种简单的包交换方式,zywall在无线站点和网络radius服务器之间起到一种信息转发的作用。
6.15.1 radius信息类型
以下是ap和radius服务器之间交换的几种用于用户认证的radius消息的类型:
(1)access-request
由ap发送的认证请求消息。
(2)access-reject
由radius服务器发送的拒绝接入消息。
(3)access-accept
由radius服务器发送的允许接入的消息。
(4)access-challenge
由radius服务器发送的要求接入用户提供更多信息的请求。ap会发送一个适当的用户响应,然后再发送另一个access-request消息。
以下是ap和radius服务器之间交换的几种用于用户计费的radius消息的类型:
(1)accounting-request
由ap发送的计费请求消息。
(2)accounting-response
由radius服务器发送的开始或者停止计费的消息。
为了确保网络的安全,ap和radius服务器采用一个共享的安全密钥来作为双方使用的密码。该密钥将不会在网络上传输。为了共享该密钥,密码信息的交换也进行了加密,这样可以有效防止非认证用户的接入。
6.15.2 eap认证概述
eap(可扩展认证协议)是一种运行在ieee802.1x传输机制之上的认证协议。通过和一台支持eap的radius服务器相配合使用eap,ap可以帮助一个无线站点和一台radius服务器完成认证的工作。
您所用到的认证类型会受制于您所采用的radius服务器或ap。
zywall的本地用户数据库支持eap-md5(消息摘要算法5)。
下图说明当为您的ap指定了radius服务器后,认证的一个流程。
图45 eap认证
以下描述了ieee 802.1x eap认证的工作方式。以eap-md5认证步骤为例。
(1)无线工作站向zywall发出一个“start”消息。
(2)zywall发出“request identity”消息,索要无线工作站的标识信息。
(3)无线工作站回复标识信息,包括用户名和密码。
(4)radius服务器在用户数据库中检测用户名和密码,来决定允许或阻止用户接入。