一、MD5认证简介

1.认证过程

(1)无隧道

(2)客户端和服务器之间进行

2.单向认证

(1)服务器对客户端认证

3.缺点

(1)用户名明文传输

(2)弱MD5哈希

 

二、MD5认证过程

1.客户端向交换机发送一个EAPoL-Start报文,开始802.1x认证接入;

2.交换机向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;

3.客户端回应一个EAP-Response/Identity给交换机的请求,其中包括用户名;

4.交换机将EAP-Response/Identity报文封装到RADIUSAccess-Request报文中,发送给认证服务器;

5.认证服务器产生一个Challenge,通过交换机将RADIUSAccess-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge;

6.交换机通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证;

7.客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给交换机;

8.交换机将Challenge,ChallengedPassword和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证;

9.RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到交换机;

10.交换机打开端口;

11.交换机将EAP认证成功报文发送给客户端

三、交换机认证模式

1.MAC认证模式

(1)该模式下连接到同一端口的每个设备都需要单独进行认证;

(2)华为交换机默认模式。

2.端口认证模式

(1)只要连接到端口的某个客户端通过认证;

(2)其它客户端则不需要认证,就可以访问网络资源。

四、测试组网

1.组网说明

(1)交换机使用华为的S5720;

(2)服务器采用开源的Freeradius;

(3)测试仪和交换机两个接口相连,并且在同一个VLAN里;

(4)在交换机G0/0/1接口启用DOT1X。

2.测试思路

(1)测试仪P1向P2发送两条流量:DOT1X-Traffic,Back-Traffic,源MAC分别为0000-0011-1111, (2)00-0000-0022-2222,初始情况下两条流量都不通;

(3)测试仪P1模拟DOT1X客户端,源MAC地址是0000-0011-1111,和服务器进行 MD5认证;

(4)如果认证通过,流DOT1X-Client能通

五、测试环境准备

1.华为交换机配置

配置Radius认证(传统模式)

undo authentication unified-mode

#

radius-server template radTem

radius-server shared-key cipher xinertel

radius-server authentication 80.1.1.3 1812 weight 80

#

aaa

authentication-scheme radTemp

authentication-mode radius

domain dot1x

authentication-scheme radTemp

radius-server radTem

#

全局配置DOT1X

domain dot1x

#

dot1x enable

#

dot1x authentication-method eap

#

接口配置

#

interface GigabitEthernet0/0/1

port link-type access

port default vlan 2

dot1x enable        //接口配置dot1x

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 2

#

interface GigabitEthernet0/0/3

undo portswitch

ip address 80.1.1.1 255.255.255.0

#

2.查看交换机接口的DOT1X信息

接口信息

(1)802.1X使能

(2)默认是MAC-based

(3)认证模式是EAP

3.配置前准备:查看交换机DOT1X统计信息

4.Freeradius配置

修改Client的配置

(1)文件:/etc/raddb/clients.conf

(2)添加如下内容

(3)Secret要和交换机上配置相同

修改eap配置

(1)文件:/etc/raddb/mods-available/eap

(2)修改默认认证类型为md5

5.Freeradius测试

打开测试账号:修改eap配置

(1)文件:/etc/raddb/users

(2)去掉下面内容的注释

以Debug模式启动Freeradius

如果出现如下的回复,则配置成功

6.MariaDB配置

修改Freeradius中的数据库类型

(1)文件:/etc/raddb/mods-available/sql

(2)去掉下面内容的注释

在MariaDB中添加账号

使用新添加的内容查看

7.最后测试

环境搭建好标识,在华为交换机中测试通过

网络测试技术——802.1X_MD5认证(上篇)的更多相关文章

  1. 网络测试技术——802.1X_MD5认证(下篇)

    上篇我们讲到802.1X_MD5的简介.认证过程.测试组网以及测试环境准备,本期我们将为大家带来测试的详细步骤: 六.测试仪配置 1.占用端口 端口功能 (1)端口1用来模拟DOT1X和发送流量 (2 ...

  2. 网络测试技术——802.1X TLS认证(上篇)

    一.TLS认证简介 1.TLS认证 (1)认证过程 · 最安全认证技术 · 实施最复杂 (2)TLS双向证书认证 · 服务器对客户端进行认证 · 客户端对服务器进行认证 2.TLS认证过程 3.交换机 ...

  3. 网络测试技术——802.1X原理

    一.以太网优点缺点 1.以太网优点 (1)即插即用,简单快捷 (2)任何一台电脑只要接入网络便有访问网络资源的权限 2.以太网缺点 (1)缺乏安全认证机制(二层) (2)电脑接到交换机上就能访问网络 ...

  4. 谈谈基于OAuth 2.0的第三方认证 [上篇]

    对于目前大部分Web应用来说,用户认证基本上都由应用自身来完成.具体来说,Web应用利用自身存储的用户凭证(基本上是用户名/密码)与用户提供的凭证进行比较进而确认其真实身份.但是这种由Web应用全权负 ...

  5. 华为S5700配置端口镜像和华三S5120配置802.1X认证记录

    一.说明 事情的起因是我们部门有个华为的S5700交换机,想配置端口镜像抓包但让助理买的串口线很久都还没到:而昨天测试部的同事说他们那有台华三的S5120想要配802.1X认证,但只有华为交换机的文档 ...

  6. 06 自学Aruba之win7系统802.1x认证网卡设置指导

    点击返回:自学Aruba之路 06 自学Aruba之win7系统802.1x认证网卡设置指导 步骤1.在桌面任务栏找到“打开网络和共享中心”,点击进入: 步骤2.点击“管理无线网络”,进入无线网络配置 ...

  7. 自学Aruba7.3-Aruba安全认证-802.1x认证(web页面配置)

    点击返回:自学Aruba之路 自学Aruba7.3-Aruba安全认证-802.1x认证(web页面配置) 步骤1 建立AP Group,命名为test802-group 步骤2   将AP加入到AP ...

  8. CLI配置WLAN-PSK认证和802.1X认证

    一.该部分配置主要是针对PSK认证 1.创建WLAN 2 2.让WLAN使用PSK的方式 config wlan create 2 OK OK  //创建WLAN Profile Name和SSID ...

  9. Knative 实战:基于 Knative Serverless 技术实现天气服务-上篇

    提到天气预报服务,我们第一反应是很简单的一个服务啊,目前网上有大把的天气预报 API 可以直接使用,有必要去使用 Knative 搞一套吗?杀鸡用牛刀?先不要着急,我们先看一下实际的几个场景需求: 场 ...

随机推荐

  1. linux文件时间详细说明

    目录 一:文件时间信息 2 文件时间详细说明 一:文件时间信息 1 文件时间信息分类: 三种时间信息 文件修改时间: mtime 属性修改时间: ctime 文件访问时间: atime 2 查看文件时 ...

  2. 使用Xamarin开发移动应用示例——数独游戏(八)使用MVVM实现完成游戏列表页面

    项目代码可以从Github下载:https://github.com/zhenl/ZL.Shudu .代码随项目进度更新. 前面我们已经完成了游戏的大部分功能,玩家可以玩预制的数独游戏,也可以自己添加 ...

  3. go 把固定长度的数字写入字节切片 (byte slice),然后从字节切片中读取到并赋值给一个变量:

    // write v := uint32(500) buf := make([]byte, 4) binary.BigEndian.PutUint32(buf, v) // read x := bin ...

  4. JAVA类加载器一 父类委托机制

    感谢原文作者:不将就! 原文链接:https://www.cnblogs.com/byron0918/p/5770653.html 类加载器负责将.class文件加载到内存中,并为之生成对应的Clas ...

  5. JAVA多线程学习- 三:volatile关键字

    Java的volatile关键字在JDK源码中经常出现,但是对它的认识只是停留在共享变量上,今天来谈谈volatile关键字. volatile,从字面上说是易变的.不稳定的,事实上,也确实如此,这个 ...

  6. Git上传项目到码云提示Push rejected: Push to origin/master was rejected

    感谢大佬:https://blog.csdn.net/weixin_41499217/article/details/82985582 Push rejected: Push to origin/ma ...

  7. 为什么后台给前台Date是时间戳,而前台给后台则直接是时间字符串?

    一.因为时间的格式有很多种,不同的页面可能对不同的时间显示需求不同.比如: 05-8-8 上午9:17 2005-8-8 9:17:42 2005年8月8日 上午09时17分42秒 2005年8月8日 ...

  8. 用rewrite规则实现将所有到a域名的访问rewrite到b域名

    1.临时重定向 1.1使用redirect实现临时重定向 # cat /apps/nginx/conf/nginx.conf ...省略... server { listen 80; server_n ...

  9. Java两个整数相除保留n位小数

    方式1:被除数转double后,除以除数,结果是一个double类型的数,将double结果按要求保留n位小数即可. 保留n位小数的写法 int a = 10; int b = 3; double r ...

  10. 为hade增加model自动生成功能

    大家好,我是轩脉刃. 我们写业务的时候和db接触是少不了的,那么要生成model也是少不了的,如何自动生成model,想着要给hade框架增加个这样的命令. 看了下网上的几个开源项目,最终聚焦在两个项 ...