802.1X认证过程抓包级解析

更新时间:2023-10-23 11:55:01 阅读量: 综合文库 文档下载

说明:文章内容仅供预览,部分内容可能不全。下载后的文档,内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的,是否完整无缺。

客户端主动向设备端发送EAPOL-Start报文来触发认证,该报文目的地址为IEEE 802.1x协议分配的一个组播MAC地址:01-80-C2-00-00-03。

设备端收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity报文)要求

用户的客户端程序发送输入的用户名.设备端用的源地址是参与生成树的那个MAC地址,

客户端程序响应设备端发出的请求,将用户名信息通过数据帧(EAP-Response/Identity

报文)发送给设备端

设备端将客户端发送的数据帧经过封包处理后(RADIUS Access-Request报文)送给认证

服务器进行处理。

(4)RADIUS服务器收到设备端转发的用户名信息后,将该信息与数据库中的用户名表对

比,找到该用户名对应的密码信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字通过RADIUS Access-Challenge报文发送给设备端,由设备端转发给客户端程序。

(5) 客户端程序收到由设备端传来的加密字(EAP-Request/MD5 Challenge报文)后,用该加密字对密码部分进行加密处理(此种加密算法通常是不可逆的,生成EAP-Response/MD5 Challenge报文),并通过设备端传给认证服务器。

(6) RADIUS服务器将收到的已加密的密码信息(RADIUS Access-Request报文)和本地经过加密运算后的密码信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息(RADIUS Access-Accept报文和EAP-Success报文)。

(7) 设备收到认证通过消息后将端口改为授权状态,允许用户通过端口访问网络。在此期间,设备端会通过向客户端定期发送握手报文,对用户的在线情况进行监测。缺省情况下,两次握手请求报文都得不到客户端应答,设备端就会让用户下线,防止用户因为异常原因下线而设备无法感知。

(8) 客户端可以发送EAPOL-Logoff报文给设备端,主动要求下线。设备端把端口状态从授权状态改变成未授权状态,并向客户端发送EAP-Failure报文。

本文来源:https://www.bwwdw.com/article/d1uf.html

Top