下载后可任意编辑作为一个认证协议,802.1X 在实现的过程中有很多重要的工作机制。下图显示了 802.1X 协议的基本原理:Supplicant 发出一个连接请求(EPAoL),该请求被 Authenticator(支持802.1X 协议的交换机)转发到 Authentication Server(支持 EAP 验证的RADIUS 服务器)上,Authentication Server 得到认证请求后会对比用户数据库,验证通过后返回相应的网络参数,如客户终端的 IP 地址,MTU 大小等。Authenticator 得到这些信息后,会打开原本被堵塞的端口。客户机在得到这些参数后才能正常使用网络,否则端口就始终处于堵塞状态,只允许 802.1X 的认证报文 EAPoL 通过。 802.1X 认证协议原理1.1.1基本认证流程图 3-6 是一个典型的认证会话流程,采纳的认证机制是 MD5-Challenge:(1)Supplicant 发送一个 EAPoL-Start 报文发起认证过程。(2)Authenticator 收到 EAPoL-Start 后,发送一个 EAP-Request 报文响应Supplicant 的认证请求,请求用户 ID。(3)Supplicant 以一个 EAP-Response 报文响应 EAP-Request,将用户 ID 封装在 EAP报文中发给 Authenticator。(4)Authenticator 将 Supplicant 送来的 EAP-Request 报文与自己的 NAS IP、NAS Port 等相关信息一起封装在 RADIUS Access-Request 报文中发给认证服务器(Authentication Server)。下载后可任意编辑 典型的认证会话流程(5)认证服务器收到 RADIUS Access-Request 报文后,将用户 ID 提取出来在数据库中进行查找。假如找不到该用户 ID,则直接丢弃该报文;假如该用户 ID 存在,认证服务器会提取出用户的密码等信息,用一个随机生成的加密字进行 MD5 加密,生成密文。同时,将这个随机加密字封装在一个 EAP-Challenge Request报文中,再将该 EAP 报文封装在 RADIUS Access-Challenge 报文的 EAP-Message下载后可任意编辑属性中发给 Authenticator。(6)Authenticator 收到 RADIUS Access-Challenge 报文后,将封装在该报文中的EAP-Challenge Request 报文发送给 Supplicant。(7)Supplicant 用认证服务器发来的随机加密字对用户名密码等信息进行相同的MD5 加密运算生成密文,将密文封装在一个 EAP-Challenge Response 报文中发给 Authenticator。(8)Authenticator 收到 EAP-Challenge Response 报文后,将其封装在一个 RADIUS Access-Request 报文的 EAP-Message 属性中发给认证...
