802.1X协议的工作机制流程详解VIP专享

下载后可任意编辑作为一个认证协议，802.1X 在实现的过程中有很多重要的工作机制。下图显示了 802.1X 协议的基本原理：Supplicant 发出一个连接请求（EPAoL），该请求被 Authenticator（支持802.1X 协议的交换机）转发到 Authentication Server（支持 EAP 验证的RADIUS 服务器）上，Authentication Server 得到认证请求后会对比用户数据库，验证通过后返回相应的网络参数，如客户终端的 IP 地址，MTU 大小等。Authenticator 得到这些信息后，会打开原本被堵塞的端口。客户机在得到这些参数后才能正常使用网络，否则端口就始终处于堵塞状态，只允许 802.1X 的认证报文 EAPoL 通过。 802.1X 认证协议原理1.1.1基本认证流程图 3-6 是一个典型的认证会话流程，采纳的认证机制是 MD5-Challenge：(1)Supplicant 发送一个 EAPoL-Start 报文发起认证过程。(2)Authenticator 收到 EAPoL-Start 后，发送一个 EAP-Request 报文响应Supplicant 的认证请求，请求用户 ID。(3)Supplicant 以一个 EAP-Response 报文响应 EAP-Request，将用户 ID 封装在 EAP报文中发给 Authenticator。(4)Authenticator 将 Supplicant 送来的 EAP-Request 报文与自己的 NAS IP、NAS Port 等相关信息一起封装在 RADIUS Access-Request 报文中发给认证服务器（Authentication Server）。下载后可任意编辑 典型的认证会话流程(5)认证服务器收到 RADIUS Access-Request 报文后，将用户 ID 提取出来在数据库中进行查找。假如找不到该用户 ID，则直接丢弃该报文；假如该用户 ID 存在，认证服务器会提取出用户的密码等信息，用一个随机生成的加密字进行 MD5 加密，生成密文。同时，将这个随机加密字封装在一个 EAP-Challenge Request报文中，再将该 EAP 报文封装在 RADIUS Access-Challenge 报文的 EAP-Message下载后可任意编辑属性中发给 Authenticator。(6)Authenticator 收到 RADIUS Access-Challenge 报文后，将封装在该报文中的EAP-Challenge Request 报文发送给 Supplicant。(7)Supplicant 用认证服务器发来的随机加密字对用户名密码等信息进行相同的MD5 加密运算生成密文，将密文封装在一个 EAP-Challenge Response 报文中发给 Authenticator。(8)Authenticator 收到 EAP-Challenge Response 报文后，将其封装在一个 RADIUS Access-Request 报文的 EAP-Message 属性中发给认证...