802.1X EAP-TLS Authentication Sequence

🤖

Supplicant — AGV

自动导引车（AGV）作为 802.1X Supplicant，持有客户端证书，通过 EAP-TLS 进行双向证书认证，确保设备身份可信。

📡

Authenticator — AP / Switch

Catalyst 9800 WLC 管理的 AP 或 Catalyst 交换机充当认证者，转发 EAP 报文并封装为 RADIUS，端口在认证完成前保持受控状态。

🛡️

RADIUS Server — Cisco ISE

ISE 作为 RADIUS 服务器和策略决策点（PDP），执行证书验证、身份查询与授权策略评估，下发 VLAN / dACL / SGT 等。

交互时序图 — 完整 EAP-TLS 流程

包含 802.11 关联、EAP 身份协商、TLS 双向握手及最终授权四个阶段

Layer 2 (EAPOL)

RADIUS (UDP 1812)

TLS Handshake

Authorization Result

各阶段详细说明

Phase 1 — 802.11 关联与 EAP 启动

AGV 与 AP 建立 802.11 无线关联（或有线连接到交换机端口），随后发送 EAPOL-Start 帧启动 802.1X 认证流程。此时端口处于未授权状态。

AGV 发送 802.11 Association Request（无线场景）
AP 回复 Association Response（图中省略）
AGV 发送 EAPOL-Start 触发 802.1X
端口状态：Unauthorized，仅允许 EAPOL 流量

Phase 2 — EAP 身份交换

ISE 通过 Authenticator 向 AGV 请求身份标识，AGV 回复其 Machine Identity（SYLYD03301），ISE 据此查找匹配的认证策略。

ISE 下发 EAP-Request/Identity
AGV 回复 EAP-Response/Identity，Identity = SYLYD03301
ISE 匹配 Authentication Policy（基于 NAS、EAP Type 等条件）
ISE 选择 EAP-TLS 作为认证方法

Phase 3 — TLS 1.2 双向认证握手

核心认证阶段。ISE 与 AGV 通过 TLS 握手进行双向证书验证：ISE 发送服务器证书，AGV 验证后发送客户端证书，ISE 验证 AGV 证书链及有效性。

AGV 发送 ClientHello（TLS 1.2、Cipher Suites）
ISE 回复 ServerHello + Certificate + CertificateRequest + ServerHelloDone
AGV 验证 ISE 服务器证书链（Root CA → Intermediate CA → ISE Cert）
AGV 发送 Certificate + ClientKeyExchange + CertificateVerify + ChangeCipherSpec + Finished
ISE 验证 AGV 客户端证书（CN/SAN、有效期、CRL/OCSP）
TLS 隧道建立完成，后续使用加密通信

Phase 4 — 授权与端口放行

认证成功后，ISE 评估 Authorization Policy，下发授权结果（VLAN、dACL、SGT 等），Authenticator 打开端口，AGV 开始正常数据通信。

ISE 发送 Access-Accept + EAP-Success
携带 RADIUS 授权属性：Tunnel-Type、Tunnel-Medium-Type、Tunnel-Private-Group-ID（VLAN）
可下发 dACL（Downloadable ACL）或 SGT（Security Group Tag）
端口状态变为 Authorized，AGV 获得网络访问权限
Session-Timeout / Termination-Action=RADIUS-Request 用于定期重认证

⚠️ 部署注意事项（ISE + AGV 工业场景）

📜

证书管理：AGV 客户端证书需预置或通过 SCEP/EST 自动注册。确保 ISE 信任的 Root/Intermediate CA 与 AGV 证书链一致，定期检查证书有效期。

⚡

低时延要求：工业 AGV 场景对认证时延敏感，建议启用 PMKSA Caching / OKC / 802.11r（FT）以加速漫游时的重认证过程。

🔄

重认证与会话：合理配置 Session-Timeout（建议 ≥ 3600s），避免频繁重认证影响 AGV 实时通信。启用 Termination-Action=RADIUS-Request 实现静默重认证。

🔐

Cipher Suite 选择：推荐使用 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 或 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256，平衡安全性与性能。

📋

CRL/OCSP：ISE 应配置证书撤销检查（CRL Distribution Point 或 OCSP Responder），确保被吊销的 AGV 证书无法通过认证。

🌐

RADIUS 冗余：Authenticator 应配置 Primary 和 Secondary ISE PSN 节点，启用 RADIUS 负载均衡与故障切换，确保认证服务的高可用性。

📖 术语表（Glossary）

802.1X

IEEE 802.1X — 基于端口的网络访问控制（Port-Based Network Access Control）标准。设备接入网络时必须先通过身份认证，认证通过后端口才被授权放行流量。

EAP

Extensible Authentication Protocol — 可扩展认证协议，802.1X 的认证框架。本身不定义具体认证方法，而是承载 EAP-TLS、PEAP 等具体方法。

EAP-TLS

EAP-Transport Layer Security — 基于 TLS 证书的 EAP 认证方法，要求客户端和服务器双向出示证书，是安全性最高的 EAP 类型之一。

EAPOL

EAP over LAN — 将 EAP 报文封装在以太网二层帧中传输的协议（EtherType 0x888E），用于 Supplicant 与 Authenticator 之间的通信。

Supplicant

请求者 — 发起 802.1X 认证的客户端设备（本场景中为 AGV），运行 Supplicant 软件，持有客户端证书或凭据。

Authenticator

认证者 — 位于 Supplicant 和 Authentication Server 之间的网络设备（AP 或交换机），负责转发 EAP 报文，控制端口的授权/未授权状态。

RADIUS

Remote Authentication Dial-In User Service — 远程认证拨号用户服务协议（UDP 1812/1813），Authenticator 将 EAP 报文封装为 RADIUS 发送给 ISE。

ISE

Cisco Identity Services Engine — Cisco 统一身份与策略管理平台，同时充当 RADIUS Server、策略决策点（PDP）和策略管理点。

dACL

Downloadable ACL — ISE 认证通过后下发给交换机/WLC 的访问控制列表，动态限制该端口允许的流量范围。

SGT

Security Group Tag — Cisco TrustSec 安全组标签，ISE 根据身份/策略为流量打标，用于全网微分段（Micro-Segmentation）。

PMKSA

Pairwise Master Key Security Association — 无线网络中缓存的主密钥关联，支持快速重连和漫游，避免重复完整 EAP 认证。

802.11r (FT)

Fast BSS Transition — IEEE 802.11r 快速漫游标准，预先在目标 AP 完成密钥协商，将漫游切换时延降至毫秒级，适合 AGV 等移动场景。