2024年6月2日发(作者:)

作为一个认证协议,802. IX在实现的过程中有很多重要的工作机制。下图显示

了 802. IX协议的基本原理:

Supplicant发出一个连接请求(EPAoL),该请求被Authenticator (支持802. IX

协议的交换机)转发到Authentication Server (支持EAP验证的RADIUS服务

器)上,Authentication Server得到认证请求后会对照用户数据库,验证通过

后返回相应的网络参数,如客户终端的IP地址,MTU大小等。Authenticator

得到这些信息后,会打开原本被堵塞的端口。客户机在得到这些参数后才能正常

使用网络,否则端口就始终处于阻塞状态,只允许802. IX的认证报文EAPoL通

过。

802. IX认证协议原理

1. 1. 1

基本认证流程

图3-6是一个典型的认证会话流程,采用的认证机制是MD5-Challenge:

(1)

Supplicant发送一个EAPoL-Start报文发起认证过程。

(2)

Authenticator 收到 EAPoL-Start 后,发送一个 EAP-Request 报文响应

Supplicant的认证请求,请求用户ID。

(3)

Supplicant 以一个 EAP-Response 报文响应 EAP-Request,将用户 ID 封装在

EAP 报文中发给Authenticator

o

(4)

Authenticator 将 Supplicant 送来的 EAP-Request 报文与自己的 NAS IP、NAS

Port等相关信息一起封装在RADIUS Access-Request报文中发给认证服务器

(Authentication Server)

Supplicant

EAPOLStart(l)

Authenticator

(初始化 )

Authentication

Server

(认证开始)

EAP Request]2)

EAP Response(3)-

RADIUS Access-Request(4) ----1

RADIUS Ac cess- Chai I en ge( 5)

EAP Challenge Request]6)

EAP Challenge Response( 7)

RADIUS Access-Request(8)

RADIUS Access・Accept(9)

EAP Success(lQ)

(认证晶功)

RADIUS

Acc ounti ng- Requ est( Start) (1

RADIUS

Ac counti ng ・Res pon se( 12)

(记账开始)

EAPOL Logoff(13)

RADIUS

Acc ounti ng- Requ est( Stop) (1

RADIUS*

,Ac counti ng -Res pon se( 15)

EAP Failure( 16)

(用户*线)

典型的认证会话流程

认证服务器收到RADIUS Access-Request报文后,将用户ID提取出来在数据库

中进行查找。如果找不到该用户ID,则直接丢弃该报文;如果该用户ID存在,

认证服务器会提取出用户的密码等信息,用一个随机生成的加密字进行MD5加

密,生成密文。同时,将这个随机加密字封装在一个EAP-Challenge Request

报文中,再将该EAP报文封装在RADIUS Access-Challenge报文的EAP-Message

属性中发给Authenticatoro

(6)

Authenticator收到RADIUS Access-Challenge报文后,将封装在该报文中的

EAP-Challenge Request 报文发送给 Supplicant。

(7)