[VIP专享]IEEE 802.1x模块指南
802.1x系统接入相关情况说明
802.1x内网接入系统说明文档一、802.1x协议802.1x协议介绍:IEEE 802.1x协议起源于802.11,其主要目的是为了解决有线和无线局域网用户的接入认证问题。
802.1x 协议又称为基于端口的访问控制协议,可提供对802.11无线局域网和对有线以太网络的验证的网络访问权限。
802.1x协议仅仅关注端口的打开与关闭,对于合法用户接入时,打开端口;对于非法用户接入或没有用户接入时,则端口处于关闭状态。
IEEE 802.1x协议的体系结构主要包括三部分实体:客户端Supplicant System、认证系统Authenticator System、认证服务器Authentication Server System。
(1)客户端:一般为一个用户终端系统,该终端系统通常要安装一个客户端软件,用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。
(2)认证系统:通常为支持IEEE 802.1x协议的网络设备。
该设备对应于不同用户的端口有两个逻辑端口:受控(controlled Port)端口和非受控端口(uncontrolled Port)。
第一个逻辑接入点(非受控端口),允许验证者和LAN 上其它计算机之间交换数据,而无需考虑计算机的身份验证状态如何。
非受控端口始终处于双向连通状态(开放状态),主要用来传递EAPOL 协议帧,可保证客户端始终可以发出或接受认证。
第二个逻辑接入点(受控端口),允许经验证的LAN 用户和验证者之间交换数据。
受控端口平时处于关闭状态,只有在客户端认证通过时才打开,用于传递数据和提供服务。
受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用程序。
如果用户未通过认证,则受控端口处于未认证(关闭)状态,则用户无法访问认证系统提供的服务。
(3)认证服务器:通常为RADIUS服务器,该服务器可以存储有关用户的信息,比如用户名和口令、用户所属的VLAN、优先级、用户的访问控制列表等。
802.1x协议详解
四、 802.1x报文结构
当EAPOL的Packet Type为EAP-Packet时Packet Body就是EAP数据包 code:EAP包的类型,有四种 request -1 response -2 success -3 failure -4 identifier:辅助进行response和request消息的匹配 length:eap包的长度,包括code、id、len、data data:内容格式由code决定
四、 802.1x报文结构
当code为success或者failure时data域没有,此时length的值为4
当code域的值为request或者是response类型时data域格式为:
type为eap的认证类型,eg: 1为请求id 4为challenge
四、 802.1x报文结构
1、部分报文抓包查看:
802.1x概览
达则兼济天下,穷则独善其身!
一、 802.1x 作用 二、 802.1x的认证体系结构 三、 802.1x 的认证过程
ቤተ መጻሕፍቲ ባይዱ目录
四、 802.1x报文结构
一、 802.1x 作用
802.1x 协议起源于 802.11 协议,802.11 协议是标准的无线局域网协议。 802.1x 协议的主要目的是为了解决无线局域网用户的接入认证问题。 802.1x 是 IEEE 为了解决基于端口的接入控制(Port-Based Access Control )而定义的 一个标准,实现用户级的接入控制。 802.1X 是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以 是一个就像 VLAN 一样的逻辑端口,对于无线局域网来说这个“端口”就是一条信道) 802.1X 的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成 功那么就 “打开” 这个端口, 允许所有的报文通过; 如果认证不成功就使这个端口 保持 “关闭” ,此时只允许 802.1X 的认证报文 EAPOL (Extensible Authentication Protocol over LAN) 通过。
802.1X配置管理
19802.1X配置本章节描述基于AAA服务配置的相关内容。
802.1x用于控制用户对网络访问的认证,并对其提供授权与记帐功能。
本节包含如下内容:⏹19.1概述⏹19.2配置802.1X⏹19.3查看802.1x 的配置及当前的统计值⏹19.4配置802.1x 其它注意事项说明有关本节引用的CLI命令的详细使用信息及说明,请参照《配置802.1X命令》。
19.1概述IEEE 802 LAN 中,用户只要能接到网络设备上,不需要经过认证和授权即可直接使用。
这样,一个未经授权的用户,他可以没有任何阻碍地通过连接到局域网的设备进入网络。
随着局域网技术的广泛应用,特别是在运营网络的出现,对网络的安全认证的需求已经提到了议事日程上。
如何在以太网技术简单、廉价的基础上,提供用户对网络或设备访问合法性认证,已经成为业界关注的焦点。
IEEE802.1x 协议正是在这样的背景下提出的。
IEEE802.1x(Port-Based Network Access Control)是一个基于端口的网络存取控制标准,为LAN提供点对点式的安全接入。
这是IEEE标准委员会针对以太网的安全缺陷而专门制定的标准,能够在利用IEEE 802 LAN优势的基础上,提供一种对连接到局域网设备的用户进行认证的手段。
IEEE 802.1x 标准定义了一种基于“客户端——服务器”(Client-Server)模式实现了限制未认证用户对网络的访问。
客户端要访问网络必须先通过服务器的认证。
在客户端通过认证之前,只有EAPOL报文(Extensible Authentication Protocol overLAN)可以在网络上通行。
在认证成功之后,正常的数据流便可在网络上通行。
应用802.1x我司的设备提供了Authentication,Authorization,and Accounting三种安全功能,简称AAA。
⏹Authentication:认证,用于判定用户是否可以获得访问权,限制非法用户;⏹Authorization:授权,授权用户可以使用哪些服务,控制合法用户的权限;⏹Accounting:计账,记录用户使用网络资源的情况,为收费提供依据。
IEEE802.1x技术
IEEE 802.1 协议介绍协议的开发背景在IEEE802 LAN所定义的局域网环境中,只要存在物理的连接接口,未经授权的网络设备就可以接入局域网,或者是未经授权的用户可以通过连接到局域网的设备进入网络。
例如:一个可以访问公共网络的大厦的办公网,或者是某个组织机构与其他组织连接的网络。
在这样的网络环境中,往往不希望未经授权的设备或用户连接到网络,使用网络提供的服务。
后来,随着局域网技术的广泛应用,特别是在运营网络中的应用,对其安全认证的要求已经提到了议事日程上。
如何既能够利用局域网技术简单,廉价的组网提点,同时又能够对用户或设备访问网络的合法性提供认证,是目前业界讨论的焦点。
IEEE802.1X协议正式在这样的背景下提出的。
IEEE802.1X 称为基于端口的访问控制协议(Port based network access control protocol)。
基于端口的访问控制(Port based network access control)能够在利用IEEE802 LAN 的优势基础上提供一种对连接到局域网(LAN)设备或用户进行认证和授权的手段。
通过这种方式的认证,能够在LAN 这种多点访问环境中提供一种点对点的识别用户的方式。
这里端口是指连接到LAN的一个单点结构,可以是被认证系统的MAC地址,也可以是服务器或网络设备连接LAN的物理端口,或者是在IEEE802.11 无线LAN环境中定义的工作站和访问点。
IEEE 802.1x协议IEEE 802.1x是一个基于端口的网络访问控制协议,该协议的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能,从而实现认证与业务的分离,保证了网络传输的效率。
IEEE 802系列局域网(LAN)标准占据着目前局域网应用的主要份额,但是传统的IEEE 802体系定义的局域网不提供接入认证,只要用户能接入集线器、交换机等控制设备,用户就可以访问局域网中其他设备上的资源,这是一个安全隐患,同时也不便于实现对局域网接入用户的管理。
802.1x技术
版权所有©2010,迈普通信技术股份有限公司,保留所有权利
第1章. 简介
本节着重介绍 802.1X 的原理和实现,以及应用。 本节主要内容: l l l 相关术语解析 介绍 典型应用
版权所有©2010,迈普通信技术股份有限公司,保留所有权利
1
第2章. 相关术语解析
n Supplicant system:客户端,位于局域网段一端的一个实体,由该链路另一端的设备端 对其进行认证。 客户端一般为一个用户终端设备, 用户通过启动客户端软件发起 802.1X 认证。 n Authenticator system:设备端,位于局域网一端的另一个实体,对所连接的客户端进行 认证。设备端通常为支持 802.1X 协议的网络设备,它为客户端提供局域网的端口。 n Authentication server system:认证服务器,为设备端提供认证服务的实体。认证服务器 用于对用户进行认证、 授权、 计费, 通常为 RADIUS (Remote Authentication Dial-In User Service) 服务器。 该服务器可以存储有关用户的信息, 包括用户名、 密码、 所属的 VLAN 等。 n PAE(PortAccess Entity) :端口访问实体,802.1X 中负责执行算法和协议操作的实体。 n 非受控端口/受控端口:设备端为客户端提供接入局域网端口,整个端口被分为两个逻 辑端口:非受控端口和受控端口。非受控端口始终处于双向连通状态,主要用来传递 EAPOL 协议帧,保证客户端始终能够发出和接收报文。受控端口在授权状态下处于双 向连通状态,用户传递业务报文,在非授权状态下禁止从客户端接收和向客户端发送任 何业务报文。
3.2.3 EAP 属性的封装
RADIUS 为支持 EAP 认证增加了两个属性:EAP-Message(EAP 消息)和 Message-Authenticator ( 消息认证码) 。 EAP-Message
第11章 802.1x配置
配置模式
端口启用/关闭 802.1X
config-port-xxx, config-port-range, config-link-aggregation-x
端口关闭 802.1X
config-port-xxx, config-port-range, config-link-aggregation-x
(2)如果认证服务器不下发 VLAN,这时端口离开 Guest VLAN,加入 Config VLAN 中。用户下线 后,端口加入到 Guest VLAN 中。
注: 1、端口的 guest vlan 不能应用到动态 vlan 上,比如 guest vlan 所指定的 vlan id 是由 gvrp 自动创建的 vlan,那 guest vlan 可以配置成功,但不会生效。 2、为保证各种功能可以正常使用,请为 voice vlan、private vlan 以及 802.1X 的 guest vlan 等分配不同的 vlan id。 3、在指定 vlan 已配置的前提下,端口的 guest vlan 可以在两种端口上生效:一种是 ACCESS 类型端口,且要求认证模式为 portbased 模式;另一种是 HYBRID 类型端口,且要求认证模式为 macbased 模式,另外在这种情况下还要求端口启用 mac-vlan 功能。
标准8021x协议规定客户端和认证服务器之间通过eap报文进行交互设备在此交互中充当着eap中继的角色设备将客户端发送来的eap数据封装在其他协议中例如radius协议然后发送给认证服务器同样地设备也将认证服务器发送过来的eap数据封装在eapol报文中转发给客户端这种交互方式我们称之为eap中继
第 11 章 802.1X 配置
本章主要讲述了迈普系列交换机支持的 802.1X 功能以及详细的配置信息。 章节主要内容: z 802.1X 介绍 z 802.1X 配置 z 802.1X 应用举例 z 监控与维护
802.1x准入控制技术使用手册(北信源).
北信源桌面终端标准化管理系统准入控制技术使用手册2010年5月目录一、802.1x认证模块原理 (31-1. 802.1x的工作机制 (31-2. 802.1x的认证过程 (4二、VRVEDP-NAC系统硬件配置及实施方案 (52-1.VRVEDP-NAC相关系统硬件配置 (52-2.VRVEDP-NAC实施方案 (5三、802.1x认证应用注册事项 (22四、802.1x认证应急预案 (244-1.预案流程 (244-2.应急事件处理方法 (24一、802.1x认证模块原理1-1. 802.1x的工作机制IEEE 802.1x认证系统利用EAP(Extensible Authentication Protocol,可扩展认证协议协议,作为在客户端和认证服务器之间交换认证信息的手段。
802.1x认证系统的工作机制在客户端PAE与设备端PAE之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN 环境中。
在设备端PAE与RADIUS服务器之间,EAP协议报文可以使用EAPOR封装格式(EAP over RADIUS,承载于RADIUS协议中;也可以由设备端PAE进行终结,而在设备端PAE与RADIUS服务器之间传送PAP协议报文或CHAP协议报文。
当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE 根据RADIUS服务器的指示(Accept或Reject决定受控端口的授权/非授权状态。
1-2. 802.1x的认证过程802.1x认证系统的认证过程1. 当用户有上网需求时打开802.1x客户端,输入已经申请、登记过的用户名和口令,发起连接请求(EAPOL-Start报文。
此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。
2. 交换机收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity报文要求用户的客户端程序发送输入的用户名。
IEEE 802.1x协议及应用
4. 应用举例:联创802.1x校园认证
联创802.1x校园认证协议用于有线局域网
环境中,报文格式与先前所述的EAP报文 基本相同,但是因为业务有更多的需求, 联创做了一些扩展,附加了一些字段用于 通知如IP分配、上网金额不足、学校断网等 信息,另外的一个特色是在某些报文中加 入了linkage这个字符串作为标识。因此主 要介绍其客服EAP自身缺陷所采取的措施。 联创802.1x认证共分两个阶段:认证阶段 和保持阶段,认证阶段与前述相同,保持 阶段仅验证用户名。
IEEE802无线网络及有线网络中,这些网络中, 攻击者都可能接触到用于EAP报文传输的信道, 可能实现的攻击有: 1.攻击者通过侦听EAP报文得知用户身份 2. 攻击者可以修改或伪造EAP数据报 3.攻击者可能通过伪造EAP-Success/EAP-Failure 包,使用户误以为已经认证或断线,或者重放身 份数据包,使得认证服务器认为出现了相同的身 份登录,造成拒绝服务 4.攻击者可能通过进行离线字典暴力破解找出密 码
7.客户端收到EAP-Request/MD5-Challenge报文后,将密码和
Challenge做MD5算法后的Challenged-Password,在EAPResponse/MD5-Challenge回应给认证方;
8.认证方将Challenge,Challenged Password和用户名一起送到
联创对802.1x认证的安全优化
在联创协议中,“请求方”即宿舍中请求上网的计算机,
“认证方”即提供接入的交换机,“认证服务器”则在外 部网络上与交换机通讯,上面存有上网的卡号和密码 在接入设备上,将所有物理端口划分成一个个独立的 VLAN,使用户与接入设备之间的信道不会被其它用户监 听到,从而使得之前的大部分攻击基本无法实现(除非在 交换机与上网计算机之间搭建一条线路,如通过集线器) 由于已经从物理上使得攻击可能性小,联创802.1x协议在 交换机与用户之间的通讯安全性方面其实是非常脆弱的。 认证通过后,每隔20s左右服务器会对客端进行身份认证, 但这个认证主要是为了计费需要,安全性上不具有多大意 义。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
IEEE 802.1x模块指南IEEE 802.1X模块使用指南目录1. 前言 (3)1.1 关于本文档 (3)1.2 背景知识 (3)1.2.1 802.1X技术的介绍 (3)1.2.2 802.1X的认证原理 (3)1.2.3 802.1X的认证流程 (4)1.3 术语 (5)2. IEEE 802.1X模块介绍 (5)2. 1 客户端功能 (6)2. 2认证者的功能 (6)2.3认证服务器的功能 (6)2.4 802.1x模块的软件实现-开源组件hostapd (6)3. 关于hostapd开源组件 (7)3.1 hostapd开源组件介绍 (7)4. hostapd的帮助程序使用 (9)4.1 关于帮助程序 (9)4.2 命令参数实现及说明 (9)4.3 usage程序使用实例 (10)IEEE 802.1x模块指南HistoryDate Version Changes2011-11-30Draft A完成第一稿IEEE 802.1x模块指南1. 前言1.1 关于本文档本文档对dot1x模块的的基本情况、编译方法、配置参数、基本工作原理作了详细的阐述,可以使开发人员依据该文档可较好的掌握模块的使用,为开发人员节约时间。
1.2 背景知识802.1X是IEEE为了解决基于端口的接入控制而定义的标准,被称为基于端口的访问控制协议(Port based network aceess control protocol)。
为运营商建设可运营、可管理的电信级宽带以太网提供了良好的支持。
1.2.1 802.1X技术的介绍IEEE 802.1x 协议的体系结构包括3个重要的组成部分:客户端、认证系统、认证服务器,图1.1描述了三者之间的关系以及相互之间的通信。
图1.1 802.1X认证体系1.2.2 802.1X的认证原理客户端系统通常需要安装一个客户端软件,用户通过启动这个客户端软件发起802.1x 协议的认证过程,为了支持基于端口的接入控制,客户端系统需支持EAPOL(extensibleauthentication protocol overLAN)协议。
认证系统一般运行于NAS(network access server)之上,给用户提供接入服务。
认证系统有两个逻辑端口:受控(controlled port)端口和不受控端口(uncontrolled port)。
不受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,用于承载用户的认证信息,可保证客户端始终能够发出或接受认证;受控端口只有在认证通过的状态下才可打开,用于传递网络资源和服务。
PAE是端口访问实体(port access entity),分为客户端PAE和认证系统PAE。
客户端PAE位于客户端,主要负责响应来自认证系统建立信任关系的请求。
认证系统PAE 位于认证系统,负责与客户端的通信,把从客户端收到的信息传送给认证服务器以完成认证。
认证系统的PAE 通过不受控端口与客户端PAE 进行通信,两者之间运行EAPOL 协议;认证系统的PAE 与认证服务器之间运行EAP(extensible authentication protocol)协议。
认证服务器通常为RADIUS服务器,该服务器对于认证系统中继的用户客户端信息进行验证,当验证通过时,返回与用户相关的上网信息给认证系统,认证系统根据返回信息进行设置,例如打开受控端口,或者向客户端传送验证失败的信息。
1.2.3 802.1X的认证流程典型的802.1x 体系的认证流程如图1.2所示。
图1.2:802.1X认证流程1)当用户有上网需求时打开802.1X客户端程序,输入用户名和口令,发起连接请求。
此时客户端程序将发出请求认证的报文EAPOL-Start给认证者,启动一次认证过程。
2)认证者在收到请求认证的数据帧后,将发出一个EAP-Request/Identity报文请求帧要求客户端程序发送用户输入的用户名。
3)客户端程序响应认证者的请求,将包含用户名信息的一个EAP-Response/Identity送给交换机,认证者将客户端送来的数据帧经过封包处理后生成RADIUS Access-Request报文送给认证服务器进行处理。
4)认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字Challenge对它进行加密处理(MD5),通过接入设备将RADIUS Access-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge。
5)客户端收到EAP-Request/MD5-Challenge报文后,用该加密字对口令部分进行加密处理(MD5)给认证者发送在EAP-Response/MD5-Challenge回应,认证者将Challenge,Challenged Password和用户名一起送到RADIUS 服务器进行认证。
6)认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,判断用户是否合法,然后回应认证成功/失败报文到接入设备。
如果认证成功,则向交换机发出打开端口的指令,允许用户的业务流通过端口。
1.3 术语客户端:一般指接入到局域网中的一台终端系统,例如在局域网环境中运行IEEE 802.1X认证中,安装客户端软件的pc机。
认证系统:通常指那些支持802.1x 协议的局域网边缘设备,比如边缘交换机或无线接入访问(AP)设备。
认证服务器:提供用户认证服务,保存用户的认证信息,通常为RADIUS服务器。
EAPOL(Extensible Authentication Protocol Over Lan):802.1x协议定义了一种报文封装格式,主要用于在客户端和认证系统之间传送EAP协议报文,以允许EAP协议报文在LAN上传送。
EAPOL帧在二层传送时,必须要有目标MAC地址,当客户端和认证系统彼此之间不知道发送的目标时,其目标MAC地址使用由802.1x协议分配的组播地址01-80-c2-00-00-03。
EAP(Extensible Authentication Protocol):为可扩展认证协议,802.1X认证系统使用EAP,来实现客户端、设备端和认证服务器之间认证信息的交换。
RADIUS服务器:RADIUS 是一种用于在需要认证其链接的网络访问服务器(NAS)和共享认证服务器之间进行认证、授权和记帐信息的文档协议。
RADIUS 服务器负责接收客户的连接请求、认证客户,然后返回客户机所有必要的配置信息以将服务发送到客户。
NAS(network access server):为网络访问服务器,采用直接与网络介质相连的特殊设备实现数据存储的机制。
由于这些设备都分配有IP 地址,所以客户机通过充当数据网关的服务器可以对其进行存取访问,甚至在某些情况下,不需要任何中间介质客户机也可以直接访问这些设备。
MD5( message-digest algorithm 5):全称是信息-摘要算法,它的作用是将整个文件当作一个大文本信息,通过其不可逆的字符串变换算法,产生了这个唯一的md5信息摘要。
PAE(port access entity):为端口访问实体,它是网络访问技术的核心部分,在访问控制流程中,端口访问实体包含3部分:认证者--对接入的用户/设备进行认证的端口;请求者--被认证的用户/设备;认证服务器--根据认证者的信息,对请求访问网络资源的用户/设备进行实际认证功能的设备。
2. IEEE 802.1X模块介绍802.1x的PAE由Supplicant (申请者)、Authenticator ( 认证者)和Authentication Server (认证服务器)三部分组成,如图2.1:图2.1:802.1x软件系统2. 1 客户端功能(l)向认证者发起认证请求。
(2)接收认证者的EAP请求,并进行应答。
(3)对认证者的重认证请求进行EAP应答。
(4)支持密钥传递。
2. 2认证者的功能(l)接收外部客户端的接入认证请求,根据请求将获取的信息发送到认证服务器进行认证,根据认证结果控制端口开启和关闭,同时将结果通知对应的外部客户端。
(2)接收外部客户端的注销请求,控制端口关闭,通知计费开始。
(3)主动对外部客户端发起认证(通过外部模块的驱动触发认证过程,如客户系统的EAPOL-start (认证发起帧)报文、物理端口的up消息,DHCP报文和ARP报文的触发)。
(4)主动对外部客户端发起周期重认证。
(5)根据交互结果操作被控端口的开启和关闭、计费的开始和结束。
(6)信息交互过程中的协议解析、超时处理、异常处理。
(7)支持密钥传递。
2.3认证服务器的功能(l)接收认证者提交的Access-Request数据包,通过数据包中用户名,提出一个Challenge,要求进一步对用户认证。
(2)接收认证者提交的Access-Request数据包,对用户名和密码的合法性进行检验,如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject数据包,拒绝用户访问。
(3)接收认证者提出计费请求Account- Require,认证服务器响应Account-Accept,对用户的计费开始,同时用户可以进行自己的相关操作。
2.4 802.1x模块的软件实现-开源组件hostapdIEEE802.1x认证的实现是选用hostapd开源组件实现的,hostapd 是一个用户态的用于客户和认证服务器之间验证的守护进程。
它集成了IEEE 802.1X/WPA/WPA2/EAP 认证功能,组件hostapd中的wired驱动实现了PAE的功能,它采用的机制就是在未认证端口拒绝普通的数据帧通过,允许IEEE 802.1X相关的帧通过。
Hostapd组件中包含了认证者的功能,它从网络接口接收802.1X数据帧,并将数据帧中继到认证服务器验证,接收认证服务器的radius数据包,提取出eap信息,封装成EAPOL数据包,从网络接口中发送给客户端。
Hostapd组件还集成了一个最小的认证服务器的功能,用于测试802.1X功能。
3. 关于hostapd开源组件3.1 hostapd开源组件介绍hostapd主要功能可以看作是用户终端与认证服务器间的中介或接口。
其组件的结构如图3.1:图3.1:hostapd组件结构图1)event loop 模块在hostapd进程开启并进行相关的初始化工作后,调用eloop_run函数进入到该模块中,该模块中就是监控是否有事件发生,如是否有中断信号产生、是否有数据包接收、是否定时器时间满了,若有时间发生,则调用相应的处理函数进行处理,如图3.2:图3.2:event loop 模块交互2)driver events模块该模块是hostad进程的驱动部分,主要从底层接收请求者发来的数据包并解析数据包,获取eap信息,提供给协议模块处理。