《802.1X认证过程抓包级解析.docx》由会员分享,可在线阅读,更多相关《802.1X认证过程抓包级解析.docx(2页珍藏版)》请在三一文库上搜索。
1、802. IX认证过程抓包级解析客户端主动向设备端发送EAPOL-Start报文来触发认证,该报文目的地址为IEEE802. lx协议分配的一个组播MAC地址:01-80-C2-00-00-03o设备端收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity报文) 要求用户的客户端程序发送输入的用户名.设备端用的源地址是参与生成树的那个MAC地 址,客户端程序响应设备端发出的请求,将用户名信息通过数据帧(EAP- Response/Identity报文)发送给设备端设备端将客户端发送的数据帧经过封包处理后(RADIUS Access-Request报文)送给 认证服务
2、器进行处理。(4) RADIUS服务器收到设备端转发的用户名信息后,将该信息与数据库中的用户名 表对比,找到该用户名对应的密码信息,用随机生成的一个加密字对它进行加密处理,同 时也将此加密字通过RADIUS Access-Challenge报文发送给设备端,由设备端转发给客户 端程序。(5) 客户端程序收到由设备端传来的加密字(EAP-Request/MD5 Challenge报文)后,用该加密字对密码部分进行加密处理(此种加密算法通常是不可逆的,生成EAP- Response/MD5 Challenge报文),并通过设备端传给认证服务器。(6) RADIUS服务器将收到的已加密的密码信息(R
3、ADIUS Access-Request报文)和本地经过加密运算后的密码信息进行对比,如果相同,则认为该用户为合法用户, 反馈认证通过的消息(RADIUS Access-Accept报文和EAP-Success报文)。(7) 设备收到认证通过消息后将端口改为授权状态,允许用户通过端口访问网络。在此期间,设备端会通过向客户端定期发送握手报文,对用户的在线情况进行监测。 缺省情况下,两次握手请求报文都得不到客户端应答,设备端就会让用户下线,防止用户 因为异常原因下线而设备无法感知。(8) 客户端可以发送EAPOL-Logoff报文给设备端,主动要求下线。设备端把端口状态从授权状态改变成未授权状态,并向客户端发送EAP-Failure报文。感谢您的阅读,祝您生活愉快。