802.1X有許多時(shí)間參數(shù)，這些時(shí)間參數(shù)決定了802.1X系統(tǒng)按照什么樣的次序工作祥得，在代碼中他們被定義為定時(shí)器（timer）。

H3C交換機(jī)dot1x的時(shí)間參數(shù)

Configuration: Transmit Period 30 s, Handshake Period 15 s

? ? ? ? ? ? ? ? Quiet Period? ? ? 60 s,? Quiet Period Timer is disabled

? ? ? ? ? ? ? ? Supp Timeout? ? ? 10 s,? Server Timeout? ? ? ? 100 s

? ? ? ? ? ? ? ? Reauth Period? 3600 s

? ? ? ? ? ? ? ? The maximal retransmitting times? ? 2

T&W交換機(jī)dot1x的時(shí)間參數(shù)

Common Timers

? ? Reauthenticate Period: 3600

? ? Inactive Timeout? ? : 60

? ? Quiet Period? ? ? ? : 60

? 802.1x Parameters? ? ?

? ? EAP Max Request? ? ? : 2

? ? EAP TX Period? ? ? ? : 30

? ? Supplicant Timeout? : 30

? ? Server Timeout? ? ? : 30

參數(shù)介紹與測(cè)試

1刊殉、“EAP TX Period? ? ? ? : 30”求晶、“Transmit Period 30 s”????

用戶名請(qǐng)求時(shí)間間隔：由交換機(jī)發(fā)出的EAP-Request/Identity報(bào)文崖蜜，用來(lái)請(qǐng)求認(rèn)證客戶端回應(yīng)認(rèn)證的用戶名。無(wú)論是客戶端主動(dòng)發(fā)起的認(rèn)證還是我們?cè)O(shè)備主動(dòng)發(fā)起的認(rèn)證客峭，只要當(dāng)我們交換機(jī)發(fā)出EAP-Request/Identity請(qǐng)求用戶名的報(bào)文后豫领，該定時(shí)器隨即開始計(jì)時(shí)，如果在定義的時(shí)間參數(shù)內(nèi)沒(méi)有收到客戶端的響應(yīng)報(bào)文的話舔琅，將再次發(fā)送EAP-Request/Identity請(qǐng)求用戶名報(bào)文等恐。

該時(shí)間參數(shù)測(cè)試方法比較簡(jiǎn)單，但是要注意分別測(cè)試兩種情況下面的時(shí)間參數(shù)备蚓。

其一鼠锈，由pc端EAPOL-start主動(dòng)發(fā)起的認(rèn)證，EAP-Request/Identity報(bào)文在沒(méi)有收到響應(yīng)后隔多久再次發(fā)送

其二星著，pc端不支持EAPOL-start報(bào)文购笆，由switch端定期發(fā)送EAP-Request/Identity的時(shí)間間隔

2、 “Supp Timeout? ? ? 10 s”虚循、“Supplicant Timeout? : 30”

客戶端認(rèn)證超時(shí)定時(shí)器（supp-timeout）：當(dāng)交換機(jī)向客戶端發(fā)送了 EAP-Request/MD5 Challenge 請(qǐng)求報(bào)文后同欠，交換機(jī)啟動(dòng)此定時(shí)器，若在該定時(shí)器設(shè)置的時(shí)長(zhǎng)內(nèi)横缔，設(shè)備端沒(méi)有收到客戶端的響應(yīng)铺遂，設(shè)備端將重發(fā)該報(bào)文

該時(shí)間參數(shù)的測(cè)試稍微麻煩，我是借助發(fā)包工具來(lái)進(jìn)行測(cè)試的茎刚。首先抓取完整的DOT1X+RADIUS認(rèn)證報(bào)文襟锐，然后再選中其中由客戶端發(fā)出的EAPOL-start報(bào)文和EAP-Response/Identity報(bào)文，然后用發(fā)包工具模擬發(fā)出去膛锭，這樣就模擬了EAP-Request/MD5 Challenge請(qǐng)求之前的完整報(bào)文了粮坞，當(dāng)交換機(jī)再發(fā)出EAP-Request/MD5 Challenge 報(bào)文時(shí)自然得不到響應(yīng)，然后就可以測(cè)出重傳間隔了初狰。下圖莫杈，分別設(shè)置supp-time為30s和10s的測(cè)試結(jié)果。該測(cè)試方法適用于EAP/CHAP/PAP等認(rèn)證方法奢入。

3筝闹、“Server Timeout? ? ? : 30”、“Server Timeout? ? ? ? 100 s”

認(rèn)證服務(wù)器超時(shí)定時(shí)器（server-timeout）：當(dāng)交換機(jī)向認(rèn)證服務(wù)器發(fā)送了 RADIUS Access-Request 請(qǐng)求報(bào)文后腥光，設(shè)備端啟動(dòng) server-timeout 定時(shí)器关顷，若在該定時(shí)器設(shè)置的時(shí)長(zhǎng)內(nèi)，交換機(jī)沒(méi)有收到認(rèn)證服務(wù)器的響應(yīng)武福，交換機(jī)將重發(fā)認(rèn)證請(qǐng)求報(bào)文议双。

該時(shí)間參數(shù)測(cè)試方法比較簡(jiǎn)單，所有參數(shù)正確配置后艘儒，將服務(wù)器關(guān)閉即可聋伦。這樣交換機(jī)在給服務(wù)器發(fā)送RADIUS Access-Request 請(qǐng)求報(bào)文后夫偶，自然收不到響應(yīng)。但是在配置radius服務(wù)器的時(shí)候其也自帶該參數(shù)而且時(shí)間比這個(gè)定時(shí)器短觉增，所以每次測(cè)試的結(jié)果都是按照那個(gè)定時(shí)器來(lái)的兵拢。無(wú)論是H3C的還是T&W的，導(dǎo)致無(wú)法測(cè)試該時(shí)間參數(shù)逾礁。

T&W

H3C

4说铃、“Quiet Period? ? ? 60 s”、“Quiet Period? ? ? ? : 60”

靜默時(shí)間間隔：用戶在嘗試max認(rèn)證次數(shù)后仍然認(rèn)證失敗嘹履，設(shè)備端需要靜默一段時(shí)間（該時(shí)間由靜默定時(shí)器設(shè)置）腻扇，在靜默期間，設(shè)備端不處理該用戶的認(rèn)證請(qǐng)求砾嫉。

該時(shí)間參數(shù)的測(cè)試可以結(jié)合“The maximal retransmitting times? ? 2”幼苛、“EAP Max Request? ? ? : 2”。當(dāng)交換機(jī)發(fā)送過(guò)2次EAP-Request/Identity報(bào)文焕刮，仍然沒(méi)有認(rèn)證成功舶沿。此時(shí)需要進(jìn)入Quiet時(shí)間，才能接著Running認(rèn)證配并。如下圖括荡，最大請(qǐng)求次數(shù)為5，當(dāng)發(fā)送了5次請(qǐng)求沒(méi)有響應(yīng)溉旋，進(jìn)入20s的靜默時(shí)間畸冲。

5、“The maximal retransmitting times? ? 2”观腊、“EAP Max Request? ? ? : 2”

最大請(qǐng)求次數(shù)：它代表了每次認(rèn)證客戶端可以嘗試的次數(shù)邑闲，它不屬于時(shí)間參數(shù)，測(cè)試方法見上點(diǎn)內(nèi)容恕沫。

6监憎、“ Inactive Timeout? ? : 60”

T&W交換機(jī)特有的不活動(dòng)定時(shí)器：客戶端認(rèn)證成功，但是客戶端停止活動(dòng)后啟動(dòng)該定時(shí)器婶溯。比如說(shuō)我的客戶端關(guān)機(jī)啦，或者網(wǎng)線掉了偷霉。交換機(jī)發(fā)送的EAP-Request/Identity報(bào)文不再得到該客戶端的回復(fù)了迄委。在定時(shí)器結(jié)束后，認(rèn)證的session消失类少。

該時(shí)間參數(shù)的測(cè)試方法為拔掉網(wǎng)線叙身，看定時(shí)器結(jié)束后session會(huì)不會(huì)消失。

7硫狞、“Handshake Period 15 s”

H3C交換機(jī)的握手定時(shí)器（handshake-period）：此定時(shí)器是在用戶認(rèn)證成功后啟動(dòng)的信轿，交換機(jī)以此間隔為周期發(fā)送握手請(qǐng)求報(bào)文晃痴，以定期檢測(cè)用戶的在線情況。如果配置發(fā)送次數(shù)為 N财忽，則當(dāng)設(shè)備端連續(xù) N 次沒(méi)有收到客戶端的響應(yīng)報(bào)文倘核，就認(rèn)為用戶已經(jīng)下線。和T&W交換機(jī)檢測(cè)客戶在線情況的實(shí)現(xiàn)方式不一樣即彪，最終效果一樣紧唱，測(cè)試方法雷同。

8隶校、“Reauth Period? 3600 s”漏益、“ Reauthenticate Period: 3600”

周期性重認(rèn)證定時(shí)器（reauth-period）：如果端口下開啟了周期性重認(rèn)證功能，設(shè)備端以此定時(shí)器設(shè)置的時(shí)間間隔為周期對(duì)該端口在線用戶發(fā)起重認(rèn)證深胳。

該時(shí)間參數(shù)的測(cè)試方法绰疤，開啟重認(rèn)證功能，設(shè)置重認(rèn)證定時(shí)器為300s舞终。wirshark抓包轻庆，查看第二次認(rèn)證和第一次認(rèn)證成功之間的時(shí)間間隔。