802.1X有許多時(shí)間參數(shù)，這些時(shí)間參數(shù)決定了802.1X系統(tǒng)按照什么樣的次序工作，在代碼中他們被定義為定時(shí)器（timer）。

H3C交換機(jī)dot1x的時(shí)間參數(shù)

Configuration: Transmit Period 30 s, Handshake Period 15 s

? ? ? ? ? ? ? ? Quiet Period? ? ? 60 s,? Quiet Period Timer is disabled

? ? ? ? ? ? ? ? Supp Timeout? ? ? 10 s,? Server Timeout? ? ? ? 100 s

? ? ? ? ? ? ? ? Reauth Period? 3600 s

? ? ? ? ? ? ? ? The maximal retransmitting times? ? 2

T&W交換機(jī)dot1x的時(shí)間參數(shù)

Common Timers

? ? Reauthenticate Period: 3600

? ? Inactive Timeout? ? : 60

? ? Quiet Period? ? ? ? : 60

? 802.1x Parameters? ? ?

? ? EAP Max Request? ? ? : 2

? ? EAP TX Period? ? ? ? : 30

? ? Supplicant Timeout? : 30

? ? Server Timeout? ? ? : 30

參數(shù)介紹與測(cè)試

1、“EAP TX Period? ? ? ? : 30”、“Transmit Period 30 s”????

用戶名請(qǐng)求時(shí)間間隔：由交換機(jī)發(fā)出的EAP-Request/Identity報(bào)文，用來請(qǐng)求認(rèn)證客戶端回應(yīng)認(rèn)證的用戶名。無論是客戶端主動(dòng)發(fā)起的認(rèn)證還是我們?cè)O(shè)備主動(dòng)發(fā)起的認(rèn)證，只要當(dāng)我們交換機(jī)發(fā)出EAP-Request/Identity請(qǐng)求用戶名的報(bào)文后，該定時(shí)器隨即開始計(jì)時(shí)，如果在定義的時(shí)間參數(shù)內(nèi)沒有收到客戶端的響應(yīng)報(bào)文的話，將再次發(fā)送EAP-Request/Identity請(qǐng)求用戶名報(bào)文。

該時(shí)間參數(shù)測(cè)試方法比較簡(jiǎn)單，但是要注意分別測(cè)試兩種情況下面的時(shí)間參數(shù)。

其一，由pc端EAPOL-start主動(dòng)發(fā)起的認(rèn)證，EAP-Request/Identity報(bào)文在沒有收到響應(yīng)后隔多久再次發(fā)送

其二，pc端不支持EAPOL-start報(bào)文，由switch端定期發(fā)送EAP-Request/Identity的時(shí)間間隔

2、 “Supp Timeout? ? ? 10 s”、“Supplicant Timeout? : 30”

客戶端認(rèn)證超時(shí)定時(shí)器（supp-timeout）：當(dāng)交換機(jī)向客戶端發(fā)送了 EAP-Request/MD5 Challenge 請(qǐng)求報(bào)文后，交換機(jī)啟動(dòng)此定時(shí)器，若在該定時(shí)器設(shè)置的時(shí)長(zhǎng)內(nèi)，設(shè)備端沒有收到客戶端的響應(yīng)，設(shè)備端將重發(fā)該報(bào)文

該時(shí)間參數(shù)的測(cè)試稍微麻煩，我是借助發(fā)包工具來進(jìn)行測(cè)試的。首先抓取完整的DOT1X+RADIUS認(rèn)證報(bào)文，然后再選中其中由客戶端發(fā)出的EAPOL-start報(bào)文和EAP-Response/Identity報(bào)文，然后用發(fā)包工具模擬發(fā)出去，這樣就模擬了EAP-Request/MD5 Challenge請(qǐng)求之前的完整報(bào)文了，當(dāng)交換機(jī)再發(fā)出EAP-Request/MD5 Challenge 報(bào)文時(shí)自然得不到響應(yīng)，然后就可以測(cè)出重傳間隔了。下圖，分別設(shè)置supp-time為30s和10s的測(cè)試結(jié)果。該測(cè)試方法適用于EAP/CHAP/PAP等認(rèn)證方法。

3、“Server Timeout? ? ? : 30”、“Server Timeout? ? ? ? 100 s”

認(rèn)證服務(wù)器超時(shí)定時(shí)器（server-timeout）：當(dāng)交換機(jī)向認(rèn)證服務(wù)器發(fā)送了 RADIUS Access-Request 請(qǐng)求報(bào)文后，設(shè)備端啟動(dòng) server-timeout 定時(shí)器，若在該定時(shí)器設(shè)置的時(shí)長(zhǎng)內(nèi)，交換機(jī)沒有收到認(rèn)證服務(wù)器的響應(yīng)，交換機(jī)將重發(fā)認(rèn)證請(qǐng)求報(bào)文。

該時(shí)間參數(shù)測(cè)試方法比較簡(jiǎn)單，所有參數(shù)正確配置后，將服務(wù)器關(guān)閉即可。這樣交換機(jī)在給服務(wù)器發(fā)送RADIUS Access-Request 請(qǐng)求報(bào)文后，自然收不到響應(yīng)。但是在配置radius服務(wù)器的時(shí)候其也自帶該參數(shù)而且時(shí)間比這個(gè)定時(shí)器短，所以每次測(cè)試的結(jié)果都是按照那個(gè)定時(shí)器來的。無論是H3C的還是T&W的，導(dǎo)致無法測(cè)試該時(shí)間參數(shù)。

T&W

H3C

4、“Quiet Period? ? ? 60 s”、“Quiet Period? ? ? ? : 60”

靜默時(shí)間間隔：用戶在嘗試max認(rèn)證次數(shù)后仍然認(rèn)證失敗，設(shè)備端需要靜默一段時(shí)間（該時(shí)間由靜默定時(shí)器設(shè)置），在靜默期間，設(shè)備端不處理該用戶的認(rèn)證請(qǐng)求。

該時(shí)間參數(shù)的測(cè)試可以結(jié)合“The maximal retransmitting times? ? 2”、“EAP Max Request? ? ? : 2”。當(dāng)交換機(jī)發(fā)送過2次EAP-Request/Identity報(bào)文，仍然沒有認(rèn)證成功。此時(shí)需要進(jìn)入Quiet時(shí)間，才能接著Running認(rèn)證。如下圖，最大請(qǐng)求次數(shù)為5，當(dāng)發(fā)送了5次請(qǐng)求沒有響應(yīng)，進(jìn)入20s的靜默時(shí)間。

5、“The maximal retransmitting times? ? 2”、“EAP Max Request? ? ? : 2”

最大請(qǐng)求次數(shù)：它代表了每次認(rèn)證客戶端可以嘗試的次數(shù)，它不屬于時(shí)間參數(shù)，測(cè)試方法見上點(diǎn)內(nèi)容。

6、“ Inactive Timeout? ? : 60”

T&W交換機(jī)特有的不活動(dòng)定時(shí)器：客戶端認(rèn)證成功，但是客戶端停止活動(dòng)后啟動(dòng)該定時(shí)器。比如說我的客戶端關(guān)機(jī)啦，或者網(wǎng)線掉了。交換機(jī)發(fā)送的EAP-Request/Identity報(bào)文不再得到該客戶端的回復(fù)了。在定時(shí)器結(jié)束后，認(rèn)證的session消失。

該時(shí)間參數(shù)的測(cè)試方法為拔掉網(wǎng)線，看定時(shí)器結(jié)束后session會(huì)不會(huì)消失。

7、“Handshake Period 15 s”

H3C交換機(jī)的握手定時(shí)器（handshake-period）：此定時(shí)器是在用戶認(rèn)證成功后啟動(dòng)的，交換機(jī)以此間隔為周期發(fā)送握手請(qǐng)求報(bào)文，以定期檢測(cè)用戶的在線情況。如果配置發(fā)送次數(shù)為 N，則當(dāng)設(shè)備端連續(xù) N 次沒有收到客戶端的響應(yīng)報(bào)文，就認(rèn)為用戶已經(jīng)下線。和T&W交換機(jī)檢測(cè)客戶在線情況的實(shí)現(xiàn)方式不一樣，最終效果一樣，測(cè)試方法雷同。

8、“Reauth Period? 3600 s”、“ Reauthenticate Period: 3600”

周期性重認(rèn)證定時(shí)器（reauth-period）：如果端口下開啟了周期性重認(rèn)證功能，設(shè)備端以此定時(shí)器設(shè)置的時(shí)間間隔為周期對(duì)該端口在線用戶發(fā)起重認(rèn)證。

該時(shí)間參數(shù)的測(cè)試方法，開啟重認(rèn)證功能，設(shè)置重認(rèn)證定時(shí)器為300s。wirshark抓包，查看第二次認(rèn)證和第一次認(rèn)證成功之間的時(shí)間間隔。