当端口（Port）启用dot1x认证，该端口在逻辑上会有两个虚拟端口：

Uncontrolled PortControlled Port

在用户没有成功认证之前，只有Uncontrolled Port处于unblocked状态。所谓unblocked状态，就是自由通行的意思。Uncontrolled Port处于blocked状态，禁止任何流量通行。

但是不要高兴太早，尽管Uncontrolled Port处于自由出入状态，但是它只允许二层报文的通行，EAP（Extended Authentication Protocol）的通行，其它的报文一律拒绝。DHCP、ARP、DNS、IP统统拒绝出入。

读者可能发现一个bug，既然EAP可以自由出入，而IP报文拒绝出入，难道EAP报文不是封装在IP报文里的？

是的，此处应该有掌声。凡是能够提出这个问题的读者，都应该得到掌声。

这里的EAP协议，准确地说应该是EAPoL（Extended Authentication Protocol over LAN），即EAP报文封装在二层帧头里。

如果二层是有线以太网，那么就封装在Ethernet II 或者802.3。如果二层是无线局域网，那么就封装在802.11。

本文开头的端口（Port）有可能是物理端口，比如交换机端口，看得见摸得着的硬件端口。

也有可能是软件端口，比如无线client与AP association 之后，会给client分配一个Station ID，并创建一个软件端口。

无论是交换机的硬件端口还是AP的软件端口，对于802.1x来说，都是端口。

接下来假设client连接的无线AP并开启802.1x认证。

当client在完成与AP的Probe、Authentication、Association交互（全是二层报文）之后。此时尽管Client已经绑定到AP上，但是只能发送二层帧，无法通过DHCP获得IP地址，应该Controlled Port处于blocked状态。

1于是，AP发送一个EAP Identity报文给Client。

2 Client回应identity报文并提供自己的身份信息（ID）。

3 当AP收到报文2，会将报文里嵌入的“EAP”子报文提取出来，并将“EAP”封装在IP/UDP/Radius（Diameter）/ EAP发给后台Authentication Server（Clearpass etc..）

4 AS提取报文3的“EAP”，得到用户的identity ID。根据identity ID预先配置得到认证方式（EAP Method），是EAP-mschapv2 还是EAP-TLS、还是EAP-GTC etc.

5 无论认证方式是啥，接下来的认证通信是在Client与AS之间直接对话。但是由于Client由于还没有IP地址，不能和AS跨网段通信，所以两口子之间的直接对话，必须依赖第三者，即这里AP(灯泡)双向Relay。

6 如果用户的认证方式是EAP-TLS，Client需要验证AS的证书，AS也要验证Client的证书。双方认证彼此证书成功。认证就大功告成了。此时AS完全可以给AP下一道命令“access accept ”，然后AP就可以unblock “controlled port”。用户的DHCP就可以自由通行了，可以拿到IP地址上网了。想法很美好，但是如何加密无线传输的用户数据报文？

难道DHCP报文不需要加密？

既然要加密，那Key呢？

第二次掌声，送给能够提出这个问题的读者。

回到step 6隐含了一个重要的步骤，一般802.1x学习停留在表面的同学，会忽略这个步骤。

既然step 6是一个TLS安全会话，会在Client与AS之间自动协商（Key Exchange）一个Master Key，简称MK。

这个MK目前只有两个人知道，一个是Client，另外一个就是AS。

可是AP却不知道。

读者可能很好奇，为什么AP要知道MK？

因为EAP成功认证之后，Client会与AP使用4-way handshake协商Key，这个Key就用来加密无线数据报文。

但是AP需要拥有MK才能与client 协商Key。

怎么办？

很简单，只要AS将MK加密传输给AP即可。

既然双方都拥有相同的MK，自然可以推导出Key。

在4-way成功握手之后，AP的“Controlled Port”被打开，用户数据报文（IP）可以自由出入，其中包括DHCP报文。

用户使用DHCP报文成功获得IP参数，就可以上网了。

当然任何认证都有一个有效期，一旦有效期定时器超时而没有成功再认证，用户的“Controlled Port”又会被blocked，用户只有成功认证才能继续上网。

作者|车小胖谈网络|公众号