一次Dot1x认证/EAP认证/RADIUS交互-报文解析

已于 2023-11-10 22:36:53 修改
阅读量1.3k 收藏 4
点赞数 2
文章标签: 交互 网络 网络协议 面试 tcp/ip
于 2023-10-14 00:00:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengxingzhe008/article/details/133780472
版权

个人认为,理解报文就理解了协议。通过报文中的字段可以理解协议在交互过程中相关传递的信息,更加便于理解协议。

此处在于记录一次dot1x认证/EAP认证/RADIUS交互过程。

在这里插入图片描述


关于EAP协议实现上还存在大量其他相关资料,这里仅提供一点参考资料。

Note:这次仅提供一点关于报文交互的说明。协议的实际实现可能存在差异。
个人能力有限,敬请各位指导。

目录

Dot1x认证/EAP认证/RADIUS交互

1.背景介绍

1.1.基本内容

802.1X认证,又称Dot1x认证(省略802后的“点1x”读法),是一种基于端口的 Port based networkaccess control protocol网络接入控制协议。

通常在局域网接入设备时验证用户身份并控制其访问权限。也即,在认证通过之前,802.1x只允许终端进行EAPOL(Extensible Authentication Protocol Over LAN)数据交互;在认证通过以后,终端才可以正常访问提供的业务。

EAP认证模式
EAP中继认证
来自终端的EAP报文(反映用户信息)不经修改的被 BAS/NAS/BRAS 直接封装到RADIUS报文中(EAP over RADIUS,简称为EAPoR)。BAS/NAS/BRAS 以类似代理的方式穿越复杂的三层网络与 RADIUS Server 进行认证信息交互。

EAP终结认证
来自终端的 EAP 报文终结于 BAS/NAS/BRAS 设备上。BAS/NAS/BRAS 重新封装入 RADIUS 报文中后,利用标准RADIUS协议完成认证、授权和计费。

@:BAS/BRAS/NAS 分别指宽带接入服务器/宽带远程接入服务器/网络接入服务器,是一种网络角色。这三种概念在网络模型中往往是重叠的。详细介绍可参考博客-RADIUS协议原理介绍+报文分析+配置指导-RFC2865/RFC2866
@:Dot1x认证系统使用认证系统使用EAP协议进行信息交互。EAP协议可以运行在各种底层,包括数据链路层和上层协议(如UDP、TCP等),而不需要IP地址。因此使用EAP协议的Dot1x认证具有良好的灵活性。
@:本次交互以EAP中继认证为例进行介绍。
在这里插入图片描述//dot1x authentication-method用来配置802.1X用户的认证方式。
eap通常指EAP中继模式,chap和pap通常指EAP终结模式。区别在于pap方式下 RADIUS Access-Request 报文中包含了 RADIUS AVP2=User-Password,而chap方式下 RADIUS Access-Request 报文中包含了 RADIUS AVP3=CHAP-Password。

1.2.相关协议

此处重点介绍EAP协议的相关信息,关于RADIUS协议的详细介绍可参考博客-RADIUS协议原理介绍+报文分析+配置指导-RFC2865/RFC2866

EAP协议:自报文数据链路层开始介绍。
在这里插入图片描述1@Ethernet Type:整个 802.1X 认证信息直接位于数据链路层之上,Ethernet Type=0x888e
2@802.1X Version:常用 802.1X Version有 802.1X-2001(Version=0x01)、802.1X-2004(Version=0x02)和 802.1X-2010(Version=0x03)。此处协议使用 802.1X-2001(Version=0x01)。
3@802.1X Type:EAP/EAPoL数据帧类型数据帧类型。

0x00=EAP-Packet:表示认证报文数据,用于承载认证信息;
0x01=EAPoL-Start:表示认证开始报文,用于用户主动发起认证过程;
0x02=EAPoL-Logoff:表示EAPoL-Logoff,用于用户主动发起下线请求;
0x03=EAPoL-Key:表示EAPoL-Key,密钥信息报文。

4@EAP Code:标识 EAP 消息类型。目前RFC标准化了6种 EAP Packet Codes。

0x01=Request:表示EAP请求开始。定义于RFC3748。
0x02=Response:表示EAP请求响应。定义于RFC3748。
0x03=Success:表示通知终端获得访问许可。定义于RFC3748。
0x04=Failure:表示通知终端获得访问拒绝。定义于RFC3748。
0x05=Initiate:本交互不涉及。定义于RFC6696。
0x06=Finish:本交互不涉及。定义于RFC6696。

5@EAP ID:用于匹配同一次交互的 Request 和 Response。
6@EAP Method Types:与 EAP Code 相匹配的认证信息。目前约有50种标准定义。
在这里插入图片描述此处仅介绍常用取值,详细字段可参考IANA发布的Extensible Authentication Protocol (EAP) Registry–Method Types

2.协议交互

2.1.典型网络结构

在这里插入图片描述其典型网络结构如上图所示。

报文交互总体流程
1@:首先安装了Dot1x客户端的终端发起EAP认证。
2@:终端与接入设备(BAS/NAS/BRAS)交互信息后,接入设备携带用户认证信息与 RADIUS Server 进行交互。
3@:接入设备(BAS/NAS/BRAS)获取到来自 RADIUS Server 的认证结果后,向终端设备发送相应的结果并授权。

在这里插入图片描述//随后将以上图为例进行报文交互的解析示例。

2.2.报文交互流程

1@终端发起EAP报文,提示交互开始PC—>>NAS
在这里插入图片描述EAP 的 Start 消息仅用于提示接入设备开始EAP交互过程,因此无实际用户信息字段。

2@接入设备发起EAP报文,提示交互开始PC<<—NAS
在这里插入图片描述Type:Identity,标识要求客户端发送用户输入的用户名信息。

在这里插入图片描述//dot1x retry用来配置向客户端发送认证请求报文的重传次数。在这里插入图片描述//dot1x timer tx-period用来配置周期发送认证请求的时间间隔。

3@终端发起EAP报文,传递认证所需用户信息PC—>>NAS
在这里插入图片描述客户端将用户输入的认证信息传递给接入设备。

4@接入设备以EAP中继模式与RADIUS Server进行认证交互NAS—>>RADIUS Server
在这里插入图片描述NAS将客户端发送的EAP信息不经修改的直接封装于 RADIUS 的79号=EAP-Massage 属性中。同时必须包含80号=Message-Authenticator 属性,以用于防止使用 CHAP、ARAP 或 EAP 身份验证方法欺骗 RADIUS Access-request访问请求。这两个属性往往同时存在。

此外,RADIUS Access-request 消息中还包含了其他用于标识终端、用户接入、NAS设备标识、等、的 RADIUS AVP 属性,用于为 RADIUS Server 提供丰富的认证信息。

在这里插入图片描述//dot1x reauthenticate和dot1x timer reauthenticate-period用于开启dot1x重认证功能。此时NAS会将已上线的用户周期发送给RADIUS Server进行认证,可用于实现类似保活的效果。并且如果用户信息改变,则用户将会被下线。

5@RADIUS Server向接入设备回应MD5 Challenge要求进一步提供用户验证信息NAS<<—RADIUS Server
在这里插入图片描述RADIUS Server回应一个随机MD5 Challenge以及经MD5 Challenge加密用户信息的字符串。该信息封装于 RADIUS Access-challenge 信息中发送给接入设备。

6@接入设备向客户端转发RADIUS需要的进一步验证信息PC<<—NAS
在这里插入图片描述此处相应的Type字段未在标准定义中。

7@客户端向接入设备/RADIUS回应进一步验证的信息PC—>>NAS
在这里插入图片描述客户端收到由NAS传来的MD5 Challenge后,用该Challenge对密码部分进行加密处理,生成EAP-Response/MD5 Challenge报文,并发送给NAS。

8@接入设备将认证信息发送给RADIUS ServerNAS—>>RADIUS Server
在这里插入图片描述NAS将此EAP-Response/MD5 Challenge报文封装 RADIUS Access-Request 中发送给 RADIUS Server。

9@RADIUS Server向接入设备回应认证结果NAS<<—RADIUS Server
在这里插入图片描述RADIUS Server 将收到的已加密的密码信息和本地经过加密运算后的密码信息进行对比,并根据结果回应 RADIUS Success 或 RADIUS Reject。此处认证失败。

10@接入设备向客户端转发相应的结果PC<<—NAS在这里插入图片描述接入设备向客户端转发相应的结果,并为端口授予相应的权限。

点击此处回到目录

更新

fengxingzhe008
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
RADIUS 报文解析
Ghost
06-19 2084
RADIUS 报文解析 #include <pcap.h> #include <time.h> #include <stdio.h> #include <stdlib.h> #include <string.h> #include <sys/socket.h> #include <linux/ip.h> #include <linux/tcp.h> #include <linux/udp.h> #in
HCIE-Security Day46:AC准入控制Dot1x
小梁的博客
08-23 2097
802.1X协议是一种基于端口的网络接入控制协议(Port based networkaccess control protocol)。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级验证用户身份并控制其访问权限。二层协议:802.1x为2层协议,不需要到达三层,对接入设备的整体性能要求不高,即可以使用二层交换机作为接入设备,有效降低建网成本。安全性:认证报文和数据报文通过裸机接口分离,提高安全性。C/S架构:包含三个实体,客户端、接入设备、认证服务器。
RADIUS报文
01-15
标准的RADIUS报文,从服务器里面抓的
H3C 交换机802.1x认证配置
weixin_34067102的博客
06-14 2611
dot1xdot1x authentication-method eap /*默认是chap认证,当时在客户的环境中使用的是默认的chap认证,但是802.1x不通过,改成eap认证就好了*/interface GigabitEthernet1/0/1port access vlan 196dot1xdot1x mandatory-domain aaaradius s...
802.1X(Dot1x)认证原理
热门推荐
曹世宏的博客
05-31 4万+
802.1X(dot1x)技术简介 802.1X认证,又称为EAPOE(Extensible Authentication Protocol Over Ethernet)认证,主要目的是为了解决局域网用户接入认证问题。 802.1X认证时采用了RADIUS协议的一种认证方式,典型的C/S结构,包括终端、RADIUS客户端和RADIUS服务器。 802.1x简介: IEEE802 LAN/WAN委员...
EAPOL
printf_mylife的专栏
02-18 1万+
EAP(Extensible Authentication Protocol),可扩展认证协议,是一种普遍使用的支持多种认证方法的认证框架协议,主要用于网络接入认证。该协议一般运行在数据链路层上,即可以直接运行于PPP或者IEEE 802之上,不必依赖于IPEAP可应用于无线、有线网络中。          EAP的架构非常灵活,在Authenticator(认证方)和Supplicant(客
802.1X&EAP——一文学会802.1X框架
weixin_44140376的博客
04-13 5257
802.1X是什么?它与EAP的关系是什么? EAPEAPoL的关系是什么? RADIUS服务器和EAP的关系是什么? EAP有那么多认证方式,到底是什么?
802.1x协议详解,802协议工作原理/认证过程、MAB认证EAP报文格式
wangyuxiang946的博客
10-16 2万+
802.1x协议是基于端口的「访问控制和认证协议」,工作在数据链路层,用来限制未授权的用户/设备通过接入端口访问LAN/WLAN。
ubuntu+freeradius搭建EAP-TLS双向认证测试环境.docx
01-18
使用Ubuntu+freeradius实现802.1X eap-tls双向认证环境搭建
linux下的802.1x客户端源代码(EAP-MD5认证
09-12
linux下的802.1x客户端源代码,采用的是EAP-MD5认证。最简单的802.1x客户端代码,只有一个c文件,基于pcap实现(需要安装libpcap)。可直接编译和运行,自己测试通过。
FreeRadius windos 认证服务器
09-12
FreeRadius是一款广泛应用于网络认证、授权和计费(AAA)的开源软件,尤其在无线网络、802.1X认证、PPP拨号等方面有着重要应用。它支持多种认证协议,如PAP、CHAP、EAP等,适用于Windows和各种Unix/Linux系统。在...
LDAP认证插件 EAP-GTC win10-x64
05-12
Windows操作系统自带拨号终端不支持EAP-GTC认证协议,因此无法认证成功。只有一些移动终端和macOS支持EAP-GTC,Windows需要用户自己安装软件支持EAP-GTC。LDAP认证插件 EAP-GTC win10-x64
基于改进的Diameter / EAP-MD5的SWIM认证方法
03-31
在分析SWIM体系结构和基于直径协议的EAP-MD5应用子协议基础上,制定标准Diameter / EAP-MD5认证过程中存在的安全隐患,改进了EAP-MD5认证协议,提出基于改进的Diameter / EAP-MD5协议的SWIM用户身份认证方法,研究...
H3C设备-802.1X认证配置
m0_68698993的博客
08-15 3110
5、SW1 与 RADIUS 认证服务器交互报文时的共享密钥为 h3c@123、与 RADIUS 计费服务器交互报文时的共享密钥为 h3c@123。1、打开iNode智能客户端,输入用户名:admin,密码:admin123,点击"连接",连接成功则表示认证通过,如下图所示;1、打开WinRadius软件,点击"设置">"系统"配置NAS秘钥:h3c@123,认证端口1812,计费端口1813;2、 端口GE1/0/1 下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络
华为交换机dot1x配置认证方式
Richardlygo的博客
07-28 5475
802.1x
网络安全】802.1X技术基础
错位竞争,单点突破。
11-29 8324
1 前言 802.1X作为一种基于端口的用户访问控制安全机制,因其低成本、良好的业务连续性和扩充性以及较高的安全性和灵活性,自从2001年6月正式成为IEEE 802系列标准以来便迅速受到了设备制造商、各大网络运营商和最终用户的广泛支持和肯定。 那么802.1X从何而来?有什么作用?体系结构是怎么样的?用到什么协议?并且又是如何实现的?这些都将是我们本文讨论的内容。 2 802.1X起源
华三交换机开设置802.1x和mac地址认证
Richardlygo的博客
07-05 2679
authentication lan-access radius-scheme radius-test none //配置802.1x用户使用radius-test的radius方案进行认证radius-test mac-authentication timer auth-delay 10 ​​ ​//优先使用802.1x认证​​,如果认证不通过, 10秒后使用mac地址认证。mac-authentication domain radius-test //指定mac地址认证时使用的认证域。
DOT1X(802.1X)认证
weixin_34381687的博客
04-25 1324
原理:802.1X协议是一种基于端口的网络接入控制协议,“基于端口的网络接入控制”是指在局域网接入控制设备的端口这一级对所接入的设备进行认证和控制,连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证。则无法访问局域网中的资源。 802.1X的体系结构:802.1X系统为典型的C/S体系结构,包括三个实体客户端,设备端,认证服务器端。 802...
线程交互现象
最新发布
2301_79284357的博客
07-08 284
小明对自家的狗子有个规定,就是在狗狗还没吃完的时候,可以继续给他加饭。
Duplicate module "eap eap", in file /etc/freeradius/3.0/mods-enabled/eap.save:14 and file /etc/freeradius/3.0/mods-enabled/eap:14
06-01
这个错误提示表明在 `/etc/freeradius/3.0/mods-enabled` 目录下既有 `eap.save` 文件,又有 `eap` 文件,并且两个文件中都包含了 `eap` 模块的定义,导致了模块重复。 为了解决这个问题,您可以使用以下步骤: 1. 备份旧的 `eap` 模块文件: ```shell sudo mv /etc/freeradius/3.0/mods-enabled/eap /etc/freeradius/3.0/mods-available/eap.bak ``` 2. 删除旧的 `eap.save` 模块文件: ```shell sudo rm /etc/freeradius/3.0/mods-enabled/eap.save ``` 3. 创建新的 `eap` 模块文件: ```shell sudo ln -s /etc/freeradius/3.0/mods-available/eap /etc/freeradius/3.0/mods-enabled/eap ``` 以上步骤中,我们将旧的 `eap` 模块文件备份并移动到 `mods-available` 目录下,然后删除旧的 `eap.save` 模块文件,最后创建一个新的 `eap` 模块文件。 这样就可以解决模块重复的问题了。如果您还有其他问题,请随时提出。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值