802.1X认证过程抓包级解析

客户端主动向设备端发送EAPOL-Start报文来触发认证，该报文目的地址为IEEE 802.1x协议分配的一个组播MAC地址：01-80-C2-00-00-03。

设备端收到请求认证的数据帧后，将发出一个请求帧（EAP-Request/Identity报文）要求

用户的客户端程序发送输入的用户名.设备端用的源地址是参与生成树的那个MAC地址，

客户端程序响应设备端发出的请求，将用户名信息通过数据帧（EAP-Response/Identity

报文）发送给设备端

设备端将客户端发送的数据帧经过封包处理后（RADIUS Access-Request报文）送给认证

服务器进行处理。

（4）RADIUS服务器收到设备端转发的用户名信息后，将该信息与数据库中的用户名表对

比，找到该用户名对应的密码信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字通过RADIUS Access-Challenge报文发送给设备端，由设备端转发给客户端程序。

(5) 客户端程序收到由设备端传来的加密字（EAP-Request/MD5 Challenge报文）后，用该加密字对密码部分进行加密处理（此种加密算法通常是不可逆的，生成EAP-Response/MD5 Challenge报文），并通过设备端传给认证服务器。

(6) RADIUS服务器将收到的已加密的密码信息（RADIUS Access-Request报文）和本地经过加密运算后的密码信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息（RADIUS Access-Accept报文和EAP-Success报文）。

(7) 设备收到认证通过消息后将端口改为授权状态，允许用户通过端口访问网络。在此期间，设备端会通过向客户端定期发送握手报文，对用户的在线情况进行监测。缺省情况下，两次握手请求报文都得不到客户端应答，设备端就会让用户下线，防止用户因为异常原因下线而设备无法感知。

(8) 客户端可以发送EAPOL-Logoff报文给设备端，主动要求下线。设备端把端口状态从授权状态改变成未授权状态，并向客户端发送EAP-Failure报文。

本文来源：https://www.bwwdw.com/article/d1uf.html