.x协议认证过程.docx

802.1x协议的认证过程具体认证过程如下：1.认证客户端启动后每隔2分钟会向整个网络发起一次Start认证请求报文，认证请求报文的源地址是客户端的MAC地址，目的地址是组播地址（01-80-c2-00-00-03），认证开始时认证客户端发起认证开始包（EAPOL Start报文）。2.当认证交换机收到Start认证开始包后，将向入网认证客户端发出一个认证请求包（EAP Request/Identify报文）。报文的源地址是交换机的MAC地址，目的地址是组播地址（01-80-c2-00-00-03）。如果网络中没有认证交换机或没有开启认证，则认证客户端不会收到认证请求包（EAP Request/Identify报文）。3.客户端程序响应交换机发出的请求，将用户名信息通过认证回应包（EAP Response/Identity报文）送给交换机。报文的源地址是客户端MAC地址，目的地址是组播地址（01-80-c2-00-00-03）。4.交换机将认证客户端发过来的普通Response报文经过封装后，转换为普通的数据包（RADIUS Access-Request报文）发送给RADIUS服务器进行处理。报文的源地址是交换机的地址，目的地址是RADIUS服务器的地址。5.RADIUS服务器收到交换机发过来的普通Access-Request报文后，用MD5对用户信息进行加密处理并通过RADIUS Access-Challenge报文传送给交换机。报文的源地址是RADIUS服务器的地址，目的地址是交换机的地址。6.交换机将RADIUS服务器发过来的Access-Chanllenge报文转换为MD5 Request报文发给入网认证客户端。报文的源地址是交换机的MAC地址，目的地址是组播地址（01-80-c2-00-00-03）。7.入网认证客户端收到由交换机传来的加密信息（EAP Request/MD5 Challenge报文）后，用该加密信息进行回应（EAP Response/MD5 Challenge报文）。报文的源地址是客户端的MAC地址，目的地址是组播地址（01-80-c2-00-00-03）。8．交换机将入网认证客户端发过来响应报文转换为 Access-Request报文发给RADIUS服务器。报文的源地址是交换机的地址，目的地址是RADIUS服务器的地址。9.RADIUS服务器收到交换机发过来的RADIUS Access-Request报文回应信息后，通过RPC远程过程调用与域控制器进行通信，判断是否存在该域，是否有权限登录。报文的源地址是认证服务器地址，目的地址是域控制器的地址。10.域控制器收到认证服务器的request报文后，对请求信息进行判断，如果请求合法则发送response响应报文。报文的源地址是域控制器地址，目的地址是认证服务器地址。11.认证服务器收到域控制器的响应报文后，检验报文的合法性，并确定是否可以入网。A）如果认证成功可以入网则将认证通过报文RADIUS Access-accept发给交换机。报文的源地址是RADIUS服务器的地址，目的地址是交换机的地址。B）交换机收到RADIUS服务器发过来的认证通过报文后转给入网认证客户端，认证客户端这时就可以进入网络。报文的源地址是交换机的MAC地址，目的地址是组播地址（01-80-c2-00-00-03）。C）如果认证失败不可以入网则将认证不通过报文RADIUS Access-Reject发给交换机。报文的源地址是RADIUS服务器的地址，目的地址是交换机的地址。D）交换机收到RADIUS服务器发过来的认证失败报文后转给入网认证客户端，认证客户端这时禁止进入网络。报文的源地址是交换机的MAC地址，目的地址是组播地址（01-80-c2-00-00-03）。