網絡測試技術——802.1X_MD5認證（上篇）

1、MD5認證簡介

1.認證過程

（1）無隧道

（2）客戶端和服務器之間進行

 

2.單向認證

（1）服務器對客戶端認證

 

3.缺點

（1）用戶名明文傳輸

（2）弱MD5哈希

 

 

 

2、MD5認證過程

1.客戶端向交換機發送一個EAPoL-Start報文，開始802.1x認證接入；

2.交換機向客戶端發送EAP-Request/Identity報文，要求客戶端將用戶名送上來；

3.客戶端迴應一個EAP-Response/Identity給交換機的請求，其中包括用戶名；

4.交換機將EAP-Response/Identity報文封裝到RADIUSAccess-Request報文中，發送給認證服務器；

5.認證服務器產生一個Challenge，經過交換機將RADIUSAccess-Challenge報文發送給客戶端，其中包含有EAP-Request/MD5-Challenge；

6.交換機經過EAP-Request/MD5-Challenge發送給客戶端，要求客戶端進行認證；

7.客戶端收到EAP-Request/MD5-Challenge報文後，將密碼和Challenge作MD5算法後的Challenged-Pass-word，在EAP-Response/MD5-Challenge迴應給交換機；

8.交換機將Challenge，ChallengedPassword和用戶名一塊兒送到RADIUS服務器，由RADIUS服務器進行認證；

9.RADIUS服務器根據用戶信息，作MD5算法，判斷用戶是否合法，而後迴應認證成功/失敗報文到交換機；

10.交換機打開端口；

11.交換機將EAP認證成功報文發送給客戶端

 

 

3、交換機認證模式

1.MAC認證模式

（1）該模式下鏈接到同一端口的每一個設備都須要單獨進行認證；

（2）華爲交換機默認模式。

 

2.端口認證模式

（1）只要鏈接到端口的某個客戶端經過認證；

（2）其它客戶端則不須要認證，就能夠訪問網絡資源。

 

 

4、測試組網

1.組網說明

（1）交換機使用華爲的S5720；

（2）服務器採用開源的Freeradius；

（3）測試儀和交換機兩個接口相連，而且在同一個VLAN裏；

（4）在交換機G0/0/1接口啓用DOT1X。

 

2.測試思路

（1）測試儀P1向P2發送兩條流量：DOT1X-Traffic，Back-Traffic，源MAC分別爲0000-0011-1111, （2）00-0000-0022-2222，初始狀況下兩條流量都不通；

（3）測試儀P1模擬DOT1X客戶端，源MAC地址是0000-0011-1111，和服務器進行 MD5認證；

（4）若是認證經過，流DOT1X-Client能通

 

 

5、測試環境準備

1.華爲交換機配置

配置Radius認證（傳統模式）

undo authentication unified-mode

#

radius-server template radTem

   radius-server shared-key cipher xinertel

   radius-server authentication 80.1.1.3 1812 weight 80

#

aaa

   authentication-scheme radTemp

        authentication-mode radius

   domain dot1x

        authentication-scheme radTemp

        radius-server radTem

#

 

全局配置DOT1X

domain dot1x

#

dot1x enable

#

dot1x authentication-method eap

#

 

接口配置

#

interface GigabitEthernet0/0/1

 port link-type access

 port default vlan 2

 dot1x enable        //接口配置dot1x

#

interface GigabitEthernet0/0/2

 port link-type access

 port default vlan 2

#

interface GigabitEthernet0/0/3

 undo portswitch

 ip address 80.1.1.1 255.255.255.0        

#

 

2.查看交換機接口的DOT1X信息

接口信息

（1）802.1X使能

（2）默認是MAC-based

（3）認證模式是EAP

 

 

3.配置前準備：查看交換機DOT1X統計信息

 

 

4.Freeradius配置

修改Client的配置

（1）文件：/etc/raddb/clients.conf

（2）添加以下內容

（3）Secret要和交換機上配置相同

 

 

修改eap配置

（1）文件：/etc/raddb/mods-available/eap

（2）修改默認認證類型爲md5

 

 

 

5.Freeradius測試

打開測試帳號：修改eap配置

（1）文件：/etc/raddb/users

（2）去掉下面內容的註釋

 

 

以Debug模式啓動Freeradius

 

 

若是出現以下的回覆，則配置成功

 

 

6.MariaDB配置

修改Freeradius中的數據庫類型

（1）文件：/etc/raddb/mods-available/sql

（2）去掉下面內容的註釋

 

 

在MariaDB中添加帳號

 

 

使用新添加的內容查看

 

 

7.最後測試

環境搭建好標識，在華爲交換機中測試經過