其他分享
首页 > 其他分享> > 网络测试技术——802.1X_MD5认证(上篇)

网络测试技术——802.1X_MD5认证(上篇)

作者:互联网

一、MD5认证简介

1.认证过程

(1)无隧道

(2)客户端和服务器之间进行

 

2.单向认证

(1)服务器对客户端认证

 

3.缺点

(1)用户名明文传输

(2)弱MD5哈希

 image.pngspacer.gif

 

 

二、MD5认证过程

1.客户端向交换机发送一个EAPoL-Start报文,开始802.1x认证接入;

2.交换机向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;

3.客户端回应一个EAP-Response/Identity给交换机的请求,其中包括用户名;

4.交换机将EAP-Response/Identity报文封装到RADIUSAccess-Request报文中,发送给认证服务器;

5.认证服务器产生一个Challenge,通过交换机将RADIUSAccess-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge;

6.交换机通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证;

7.客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给交换机;

8.交换机将Challenge,ChallengedPassword和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证;

9.RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到交换机;

10.交换机打开端口;

11.交换机将EAP认证成功报文发送给客户端

 image.png

 

三、交换机认证模式

1.MAC认证模式

(1)该模式下连接到同一端口的每个设备都需要单独进行认证;

(2)华为交换机默认模式。

 

2.端口认证模式

(1)只要连接到端口的某个客户端通过认证;

(2)其它客户端则不需要认证,就可以访问网络资源。

 image.png

 

四、测试组网

1.组网说明

(1)交换机使用华为的S5720;

(2)服务器采用开源的Freeradius;

(3)测试仪和交换机两个接口相连,并且在同一个VLAN里;

(4)在交换机G0/0/1接口启用DOT1X。

 

2.测试思路

(1)测试仪P1向P2发送两条流量:DOT1X-Traffic,Back-Traffic,源MAC分别为0000-0011-1111, (2)00-0000-0022-2222,初始情况下两条流量都不通;

(3)测试仪P1模拟DOT1X客户端,源MAC地址是0000-0011-1111,和服务器进行 MD5认证;

(4)如果认证通过,流DOT1X-Client能通

 image.png

 

五、测试环境准备

1.华为交换机配置

配置Radius认证(传统模式)

undo authentication unified-mode

#

radius-server template radTem

   radius-server shared-key cipher xinertel

   radius-server authentication 80.1.1.3 1812 weight 80

#

aaa

   authentication-scheme radTemp

        authentication-mode radius

   domain dot1x

        authentication-scheme radTemp

        radius-server radTem

#

 

全局配置DOT1X

domain dot1x

#

dot1x enable

#

dot1x authentication-method eap

#

 

接口配置

#

interface GigabitEthernet0/0/1

 port link-type access

 port default vlan 2

 dot1x enable        //接口配置dot1x

#

interface GigabitEthernet0/0/2

 port link-type access

 port default vlan 2

#

interface GigabitEthernet0/0/3

 undo portswitch

 ip address 80.1.1.1 255.255.255.0        

#

 

2.查看交换机接口的DOT1X信息

接口信息

(1)802.1X使能

(2)默认是MAC-based

(3)认证模式是EAP

 image.png

 

3.配置前准备:查看交换机DOT1X统计信息

 image.png

 

4.Freeradius配置

修改Client的配置

(1)文件:/etc/raddb/clients.conf

(2)添加如下内容

(3)Secret要和交换机上配置相同

 image.png

 

修改eap配置

(1)文件:/etc/raddb/mods-available/eap

(2)修改默认认证类型为md5

 image.png

 

 

5.Freeradius测试

打开测试账号:修改eap配置

(1)文件:/etc/raddb/users

(2)去掉下面内容的注释

 image.png

 

以Debug模式启动Freeradius

 image.png

 

如果出现如下的回复,则配置成功

 image.png

 

6.MariaDB配置

修改Freeradius中的数据库类型

(1)文件:/etc/raddb/mods-available/sql

(2)去掉下面内容的注释

 image.png

 

在MariaDB中添加账号

 image.png

 

使用新添加的内容查看

 image.png

 

7.最后测试

环境搭建好标识,在华为交换机中测试通过

 image.png


标签:Challenge,认证,交换机,802.1,EAP,MD5,客户端
来源: https://blog.51cto.com/teletest1/2731756