分析802.1x的認證過程:
1.首先客戶端開啟了認證,傳送eapol-start報文,開始802.1x認證接入
eap(extensible authentication protocol )可擴充套件的認證協議
eapol就是(eap over lan )基於區域網的擴充套件認證協議。
2.接入裝置收到eapol-start報文後,向客戶端傳送eap-request/identity報文,要求客戶端將使用者名稱送上來;
3.客戶端回應乙個eap-response/identity給接入裝置的請求,其中包括使用者名稱
4.接入裝置將eap-response/identity報文封裝到radius access-request報文中,傳送給認證伺服器
5.認證伺服器產生乙個challenge,通過接入裝置將radius access-challenge報文傳送給客戶端,其中包含有eap-request/md5-challenge;
6.接入裝置通過eap-request/md5-challenge傳送給客戶端,要求客戶端進行認證
7. 客戶端收到eap-request/md5-challenge報文後,將密碼和challenge做md5演算法後的challenged-pass-word,在eap-response/md5-challenge回應給接入裝置
8.接入裝置將challenge,challenged password和使用者名稱一起送到radius伺服器,由radius伺服器進行認證
9.radius伺服器根據使用者資訊,做md5演算法,判斷使用者是否合法,然後回應認證成功/失敗報文到接入裝置。如果成功,攜帶協商引數,以及使用者的相關業務屬性給使用者授權。如果認證失敗,則流程到此結束;
10. 如果認證通過,使用者通過標準的dhcp協議 (可以是dhcp relay) ,通過接入裝置獲取規劃的ip位址;
11.如果認證通過,接入裝置發起計費開始請求給radius使用者認證伺服器;
12.radius使用者認證伺服器回應計費開始請求報文。使用者上線完畢
附件:
802 1x網路訪問認證技術
802.1x協議起源於802.11協議,後者是ieee的無線區域網協議,制訂802.1x協議的初衷是為了解決無線區域網使用者的接入認證問題。ieee802lan協議定義的區域網並不提供接入認證,只要使用者能接入區域網控制 裝置 如lans witch 就可以訪問區域網中的裝置或資源。這在早期企業網有...
802 1X協議介紹(認證) ielab
802.1x的認證觸發方式 802.1x的認證過程可以由客戶端主動發起,也可以由裝置端發起。裝置支援的認證觸發方式包括以下兩種 1.客戶端主動觸發方式2.裝置端主動觸發方式 裝置會每隔n秒 例如30秒 主動向客戶端傳送eap request identity報文來觸發認證,這種觸發方式用於支援不能主...
802 1X協議介紹(認證) ielab
802.1x的認證觸發方式 802.1x的認證過程可以由客戶端主動發起,也可以由裝置端發起。裝置支援的認證觸發方式包括以下兩種 1.客戶端主動觸發方式 另外,由於網路中有些裝置不支援上述的組播報文,使得認證裝置無法收到客戶端的認證請求,因此裝置端還支援廣播觸發方式,即,可以接收客戶端傳送的目的位址為...