一、802.1x准入技术

实现802.1x准入技术需客户端、设备端、radius服务器

在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)和广播报文数据通过设备连接的交换机端口;认证通过后,正常的数据才可以顺利的通过以太网端口

在这里插入图片描述

数据流分析:

  1. 客户端点击802x准入程序,就会发起连接请求(EAPOL-Start报文)给设备端
  2. 设备端收到报文后,发出一个请求报文(EAP-Request/Identtity报文)给客户端,要求客户端发送输入的用户名
  3. 客户端收到请求报文后,将用户名信息通过数据帧(EAP-Response/Identity报文)发送给设备端
  4. 设备端将客户端发送的数据帧经过封包处理后通过RADIUS Access-Request(EAP-Response/Identity报文)发送给radius服务器
  5. radius服务器收到设备端转发的用户名信息后,通过查找数据库,找到对应用户名的密码。用随机生成的一个加密字对密码进行加密,同时将该加密字通过RADIUS Access-Challenge(EAP-Request/TTLS Challenge报文)发送给设备端
  6. 设备端将接收到的(EAP-Request/TTLS Challenge报文)转发给客户端
  7. 客户端接收到设备端发的加密字后,用该加密字对用户输入的密码进行加密,再把加密后的密码通过(EAP-Response/TTLS Chanllenge)报文发送给设备端
  8. 设备端将客户端发的报文经过封包处理后通过RADIUS Access-Request/ TTLS Challenge(EAP-Response/TTLS Challenge报文)发送给radius服务器
  9. radius服务器将客户端产生的加密密码和自己产生的加密密码进行比对,若二者一致,则发送RADIUS Access- Accept(EAP-success)报文给设备端,同时下发隔离vlan和acl.若二者不一致,则发送RADIUS Access-Reject(EAP-faillure) 报文给设备端
版权声明:本文为qq_45055351原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
原文链接:https://blog.csdn.net/qq_45055351/article/details/120786122