當用戶需要訪問外部網絡時打開802.1X客戶端程序，輸入已經申請、登記過的用戶名和密碼，發(fā)起連接請求。此時，客戶端程序將向設備端發(fā)出認證請求報文（EAPoL-Start），開始啟動一次認證過程。

設備端收到認證請求報文后，將發(fā)出一個Identity類型的請求報文（EAP-Request/Identity）要求用戶的客戶端程序發(fā)送輸入的用戶名。

客戶端程序響應設備端發(fā)出的請求，將用戶名信息通過Identity類型的響應報文（EAP-Response/Identity）發(fā)送給設備端。

設備端將客戶端發(fā)送的響應報文中的EAP報文封裝在RADIUS報文（RADIUS Access-Request）中發(fā)送給認證服務器進行處理。

RADIUS服務器收到設備端轉發(fā)的用戶名信息后，將該信息與數據庫中的用戶名列表中對比，找到該用戶名對應的密碼信息，用隨機生成的一個MD5 Challenge對密碼進行加密處理，同時將此MD5 Challenge通過RADIUS Access-Challenge報文發(fā)送給設備端。

設備端將RADIUS服務器發(fā)送的MD5 Challenge轉發(fā)給客戶端。

客戶端收到由設備端傳來的MD5 Challenge后，用該Challenge對密碼部分進行加密處理，生成EAP-Response/MD5 Challenge報文，并發(fā)送給設備端。

設備端將此EAP-Response/MD5 Challenge報文封裝在RADIUS報文（RADIUS Access-Request）中發(fā)送給RADIUS服務器。

RADIUS服務器將收到的已加密的密碼信息和本地經過加密運算后的密碼信息進行對比，如果相同，則認為該用戶為合法用戶，并向設備端發(fā)送認證通過報文（RADIUS Access-Accept）。

設備收到認證通過報文后向客戶端發(fā)送認證成功報文（EAP-Success），并將端口改為授權狀態(tài)，允許用戶通過該端口訪問網絡

802.1x認證過程及EAPOL幀格式
幀號	0	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15	16	17	18	19	20	21	22	23……
內容示例	01	80	c2	00	00	03	00	22	FA	F5	58	38	88	8e	01	01
說明	目的MAC（固定）						源MAC						幀類型 （固定）		協議版本	報文類型	幀長度		通信類型	EAP通信 id?	EAP數據長度		EAP協商類型	EAP數據
標注	A						B						C		D	E	F		G	H	I		J	K
以太網幀	Ethernet-Header														EAPol特有
對標注的解釋
解釋	A	目的地址MAC地址，一般為廣播地址：01-80-c2-00-00-03
	B	源MAC地址
	C	幀類型。EAPol幀為0x888e。
	D	協議版本，固定為0x01。
	E	報文類型。取值為：①、EAPOL-Packet : 0x00 ②、EAPOL-Start: 0x01 ③、EAPOL-Logoff: 0x02?
	F	幀長度。
	G	EAP通信類型。取值：①、EAP-Request: 0x01 ②、EAP-Resopnse: 0x02 ③、EAP-Success: 0x03 ④、EAP-Failure: 0x04?
	H	EAP通信id。通常由服務器發(fā)來的報文指定，在連續(xù)的報文內使用這個id來協商或者計算MD5值的數據之一。
	I	EAP數據長度。
	J	EAP協商類型。取值： ①、Identity: 0x01 ②、MD5_Challenge: 0x04
	K	EAP擴展數據。
認證過程（詳細數據包如下）
1、	主機向服務器（多播或廣播地址）發(fā)送EAPOL-Start。
構造的幀。假設源地址為：00-1E-90-76-A1-40。
幀號	0	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15	16	17	18	19	20	21	22	23……
內容示例	01	80	c2	00	00	03	00	1E	90	76	A1	40	88	8e	01	01	00	00
說明	目的MAC（固定）						源MAC						幀類型 （固定）		協議版本	報文類型	幀長度		通信類型	EAP通信 id?	EAP數據長度		EAP協商類型	EAP數據
標注	A						B						C		D	E	F		G	H	I		J	K
以太網幀	Ethernet-Header														EAPol特有
主機向服務器發(fā)送的幀數據為：01-80-C2-00-00-03-00-1E-90-76-A1-40-88-8E-01-01-00-00
2、	服務器向主機發(fā)送EAP-REQUEST-Identity要求驗證身份的請求。
構造的幀。假設源地址為：00-21-D7-16-B0-18。數據長度一般為60字節(jié)。假設通信ID為0C。
幀號	0	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15	16	17	18	19	20	21	22	23……
內容示例	01	80	c2	00	00	03	00	21	D7	16	B0	18	88	8e	02	00	00	05	01	0C	00	05	01	00……
說明	目的MAC（固定）						源MAC						幀類型 （固定）		協議版本	報文類型	幀長度		通信類型	EAP通信 id?	EAP數據長度		EAP協商類型	EAP數據
標注	A						B						C		D	E	F		G	H	I		J	K
以太網幀	Ethernet-Header														EAPol特有
服務器返回的數據為：01-80-C2-00-00-03-00-21-D7-16-B0-18-88-8E-02-00-00-05-01-0C-00-05-01-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
3、	主機向服務器發(fā)送EAP-RESPONSE-Identity回應。
構造的幀。假設源地址為：00-1E-90-76-A1-40。數據長度為28字節(jié)。通信ID為：05，用戶名為：cdzq，其ASCII碼(十六進制)為：63,64,7A,71。
幀號	0	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15	16	17	18	19	20	21	22	23……
內容示例	01	80	c2	00	00	03	00	1E	90	76	A1	40	88	8e	01	00	00	09	02	0C	00	09	01	63 64 7A 71
說明	目的MAC（固定）						源MAC						幀類型 （固定）		協議版本	報文類型	幀長度		通信類型	EAP通信 id?	EAP數據長度		EAP協商類型	EAP數據
標注	A						B						C		D	E	F		G	H	I		J	K
以太網幀	Ethernet-Header														EAPol特有
主機向服務器發(fā)送的幀數據為：01-80-C2-00-00-03-00-1E-90-76-A1-40-88-8E-01-00-00-09-02-0C-00-09-01-63-64-7A-71
4、	服務器向主機發(fā)送EAP-REQUEST-MD5_Challenge要求驗證密碼的MD5校驗值
構造的幀。假設源地址為：00-21-D7-16-B0-18。
幀號	0	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15	16	17	18	19	20	21	22	23……
內容示例	01	80	c2	00	00	03	00	21	D7	16	B0	18	88	8e	02	00	00	19	01	0D	00	19	04	10……
說明	目的MAC（固定）						源MAC						幀類型 （固定）		協議版本	報文類型	幀長度		通信類型	EAP通信 id?	EAP數據長度		EAP協商類型	EAP數據
標注	A						B						C		D	E	F		G	H	I		J	K
以太網幀	Ethernet-Header														EAPol特有
服務器返回的數據為：01-80-C2-00-00-03-00-21-D7-16-B0-18-88-8E-02-00-00-19-01-0D-00-19-04-10-B4-9E-26-95-F3-A5-D9-AA-E8-26-A8-8B-FB-F3-CB-01-56-52-56-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
5、	主機向服務器發(fā)送EAP-RESPONSE-MD5_Challenge回應
構造的幀。假設源地址為：00-1E-90-76-A1-40。
幀號	0	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15	16	17	18	19	20	21	22	23……
內容示例	01	80	c2	00	00	03	00	1E	90	76	A1	40	88	8e	01	00	00	1A	02	0D	00	1A	04	10……
說明	目的MAC（固定）						源MAC						幀類型 （固定）		協議版本	報文類型	幀長度		通信類型	EAP通信 id?	EAP數據長度		EAP協商類型	EAP數據
標注	A						B						C		D	E	F		G	H	I		J	K
以太網幀	Ethernet-Header														EAPol特有
主機向服務器發(fā)送的幀數據為： 01-80-C2-00-00-03-00-1E-90-76-A1-40-88-8E-01-00-00-1A-02-0D-00-1A-04-10-F4-21-36-9A-CA-26-DD-24-BC-79-D3-C2-20-D9-D4-C2-63-64-7A-71
6、	服務器向主機發(fā)送EAP-Success。
構造的幀。假設源地址為：00-21-D7-16-B0-18。
幀號	0	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15	16	17	18	19	20	21	22	23……
內容示例	01	80	c2	00	00	03	00	21	D7	16	B0	18	88	8e	02	00	00	04	03	0D	00	04	00	00……
說明	目的MAC（固定）						源MAC						幀類型 （固定）		協議版本	報文類型	幀長度		通信類型	EAP通信 id?	EAP數據長度		EAP協商類型	EAP數據
標注	A						B						C		D	E	F		G	H	I		J	K
以太網幀	Ethernet-Header														EAPol特有
服務器返回的數據為：01-80-C2-00-00-03-00-21-D7-16-B0-18-88-8E-02-00-00-04-03-0D-00-04-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
9、	服務器向主機發(fā)送EAP-Failure。（若認證失敗時發(fā)送的數據，例如密碼錯。）
構造的幀。假設源地址為：00-21-D7-16-B0-18。
幀號	0	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15	16	17	18	19	20	21	22	23……
內容示例	01	80	c2	00	00	03	00	21	D7	16	B0	18	88	8e	02	00	00	04	04	0F	00	04	00	00……
說明	目的MAC（固定）						源MAC						幀類型 （固定）		協議版本	報文類型	幀長度		通信類型	EAP通信 id?	EAP數據長度		EAP協商類型	EAP數據
標注	A						B						C		D	E	F		G	H	I		J	K
以太網幀	Ethernet-Header														EAPol特有
服務器返回的數據為：01-80-C2-00-00-03-00-21-D7-16-B0-18-88-8E-02-00-00-04-04-0F-00-04-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00

與50位技術專家面對面20年技術見證，附贈技術全景圖

總結

以上是生活随笔為你收集整理的802.1x认证EAP包结构的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。