分享是一种生活态度,求知,求真,分享工作,分享生活!

思科ISE专题-有线802.1X终端接入过程

Cisco iqianyue 1720次浏览 0个评论 扫描二维码

有线802.1X终端接入过程如下图:

    1

终端准入过程描述如下:

Step1客户端发起EAp0L,开启一次认证

Step2 交换机收到请求认证的数据帧后,将发出一个请求帧(EAp·Reques/dentity报文)要求用户的客户端程序发送输入的用户名.

Step3 客户端程序响应交换机发出的请求,将用户名信息通过数据帧(EAPResponse/dentity报文)发送给交换机.交换机将客户端发送的数据帧经过封包处理后(RADIUS AccessRequest报文)送给认证服务器进行处理.

Step4 RADIUS服务器收到交换机转发的用户名信息后,将该信息与AD数据库中的用户名表对比.找到该用户名对应的密码信息,用随机生应均一个加密字对它进行加密处理,同时将此加密字通过RADIUS AccessChallenge报文发送给交换机.由交换初转发给客户端程序。

Step5 客户端收到由交换机传来的加密字(EAPRequest/Challenge报文)后.用该加密字对密码部分进行加密处理(此种加密算法通常是不可逆的),生成EApResponse/Challenge报文,并通过交换机传给认证服务器.

Step6 RADIUS服务器将收到的已加密的密码信息(RADIUS AccessRequest报文)和本地经过加密运算后的密码信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息(RADIUS AccessAccept报文和EAPSuccess报文).

Step7 设备收到认证通过消息后将端口改为授权状态.允许用户通过端口访问网络.在此期间,交换机会通过向客户端定期发送握手报文的方法,对用户的在线情况进行监测。缺省情况下,两次握手请求报文都得不到客户端应答,交换机就会让用户下线,防止用户因为异常原因下线而设备无法感知。

客户端也可以发送EAPoLLogoff报文给交换机.主动要求下线.交换机把端口状态从授权状态改变成未授权状态.并向客户端发送EAPFailure报文.


iqianyue , 版权所有丨如未注明 , 均为原创,转载请注明iqianyue
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论

表情 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址