整個802.1x的認證過程可以描述如下
(1)客戶端向接入設備發送一個EAPoL-Start報文,開始802.1x認證接入;
(2)接入設備向客戶端發送EAP-Request/Identity報文,要求客戶端將用戶名送上來;
(3) 客戶端迴應一個EAP-Response/Identity給接入設備的請求,其中包括用戶名;
(4) 接入設備將EAP-Response/Identity報文封裝到RADIUS Access-Request報文中,發送給認證服務器;
(5) 認證服務器產生一個Challenge,通過接入設備將RADIUS(Remote Authentication Dial-in User Service 遠程認證撥號用戶服務) Access-Challenge報文發送給客戶端,其中包含有EAP-Request/MD5-Challenge;
(6) 接入設備通過EAP-Request/MD5-Challenge發送給客戶端,要求客戶端進行認證
(7) 客戶端收到EAP-Request/MD5-Challenge報文後,將密碼和Challenge做MD5算法後的Challenged-Pass-word,在EAP-Response/MD5-Challenge迴應給接入設備
(8) 接入設備將Challenge,Challenged Password和用戶名一起送到RADIUS服務器,由RADIUS服務器進行認證
(9)RADIUS服務器根據用戶信息,做MD5算法,判斷用戶是否合法,然後迴應認證成功/失敗報文到接入設備。如果成功,攜帶協商參數,以及用戶的相關業務屬性給用戶授權。如果認證失敗,則流程到此結束;
(10) 如果認證通過,用戶通過標準的DHCP協議 (可以是DHCP Relay) ,通過接入設備獲取規劃的IP地址(這裏華工採用靜態IP地址,跳過此步);
(11) 如果認證通過,接入設備發起計費開始請求給RADIUS用戶認證服務器;
(12)RADIUS用戶認證服務器迴應計費開始請求報文。用戶上線完畢
