802.1x eap 认证流程，有没有报文交互的详细过程

阶段 1: 初始化 (Initialization) 与检测

• •

  ​​触发条件​​：客户端（Supplicant）连接到网络端口。该端口在认证前被认证器（交换机）设置为 ​​“未授权”​​ 状态，通常只允许收发EAPOL（EAP over LAN）和DHCP等少数协议。

• •

  ​​过程​​：

  • •

    客户端可能会主动发送一个 ​​EAPOL-Start​​ 报文来触发认证过程。

  • •

    或者，认证器会周期性地发送 ​​EAP-Request/Identity​​ 报文来探测客户端是否支持802.1X。

阶段 2: 认证触发与身份交换 (Initiation & Identity Exchange)

• •

  ​​报文1 (EAP-Request/Identity)​​：

  • •

    ​​方向​​：Authenticator -> Supplicant

  • •

    ​​内容​​：认证器向客户端发送一个EAP请求，要求客户端提供身份标识（用户名）。

  • •

    ​​在您抓包中的体现​​：这就是您图中设备发往您学生机的 ​​“EAP Request, Identity”​​。

• •

  ​​报文2 (EAP-Response/Identity)​​：

  • •

    ​​方向​​：Supplicant -> Authenticator

  • •

    ​​内容​​：客户端回复一个EAP响应报文，其中包含它的身份标识（Identity）。​​这是最关键的一步。​​

  • •

    ​​正常情况​​：这里应该包含有效的用户名（例如 student01或 zhangsan@h3c.com）。

  • •

    ​​在您的情况中​​：客户端回复的身份是 ​​anonymous​​，这是一个无效的占位符，表明客户端没有配置有效的用户名，或者其802.1X客户端软件未能提供正确凭证。这直接导致了后续的认证失败。

  • •

    ​​此时，认证器（交换机）会将这个EAP-Response报文封装到一个RADIUS Access-Request报文中，转发给认证服务器。​​

阶段 3: 协商与验证 (Negotiation & Authentication)

• •

  认证服务器收到身份后，会决定使用哪种EAP方法（如EAP-MD5, EAP-TLS, EAP-PEAP, EAP-TTLS等）来进行更深入的身份验证。

• •

  ​​报文3-N (EAP-Request/Method-Specific)​​：

  • •

    ​​方向​​：Authentication Server -> Authenticator -> Supplicant

  • •

    ​​内容​​：认证服务器通过RADIUS Access-Challenge报文下发一个EAP请求，该请求基于选择的EAP方法。例如，如果使用EAP-PEAP，服务器会发送其证书以建立安全隧道。

• •

  ​​报文4-N (EAP-Response/Method-Specific)​​：

  • •

    ​​方向​​：Supplicant -> Authenticator -> Authentication Server

  • •

    ​​内容​​：客户端对服务器的挑战做出响应。例如，在EAP-PEAP中，客户端验证服务器证书后，会在加密隧道内发送自己的用户名和密码（通常使用MS-CHAPv2等方式）。

  • •

    ​​这个过程可能会经过多轮请求/响应（Challenge/Response）​​，直到验证完成。

阶段 4: 认证结果与授权 (Result & Authorization)

• •

  ​​报文5 (EAP-Success / EAP-Failure)​​：

  • •

    ​​方向​​：Authentication Server -> Authenticator -> Supplicant

  • •

    ​​内容​​：认证服务器根据最终的验证结果做出决定：

    • •

      ​​如果成功​​：服务器通过RADIUS Access-Accept报文发送一个 ​​EAP-Success​​ 消息。认证器收到后，会将客户端端口状态改为 ​​“已授权”​​ ，允许所有网络流量通过。

    • •

      ​​如果失败​​：服务器通过RADIUS Access-Reject报文发送一个 ​​EAP-Failure​​ 消息。认证器保持端口为 ​​“未授权”​​ 状态，客户端无法接入网络。

  • •

    ​​在您的情况中​​：由于客户端在第二阶段回复了 anonymous，认证服务器无法识别该用户，因此立即返回了 ​​EAP-Failure​​。这就是您在帧111中看到的结果。

总结与您的问题

• •

  ​​您的抓包结果​​：您的截图完美地捕捉到了​​阶段2​​和​​阶段4​​的交互。

  1. 1.

     ​​EAP-Request/Identity​​ (来自认证器)

  2. 2.

     ​​EAP-Response/Identity​​ (来自客户端，但内容为无效的 anonymous)

  3. 3.

     ​​EAP-Failure​​ (来自认证器，因为服务器拒绝了 anonymous这个身份)

• •

  ​​结论​​：问题根源在于客户端（您的学生机）的802.1X认证配置。它没有在 ​​EAP-Response/Identity​​ 报文中发送正确的用户名。您需要按照之前的回复，在Windows的网络适配器属性中，正确配置802.1X设置，输入有效的用户名和密码，以及选择合适的EAP方法（如PEAP）。配置成功后，客户端就会在这个阶段回复真实的用户名，从而进入阶段3的密码验证流程。

# 在一台启动了802.1X功能的设备上，打开802.1X所有调试功能。当有802.1X用户上线时，将输出以下调试信息。

<Sysname> debugging dot1x all

*Jan  1 02:44:12:154 2011 Sysname 802.1X/7/PACKET:

Received a packet on interface GE1/0/1/1.

---Verbose information of the packet---

Destination Mac Address: 0180-c200-0003

Source Mac Address: 1cbd-b9e3-b0ed

Mac Frame Type: 888e

Protocol Version ID: 1

Packet Type: 1

Packet Length: 0

// 接口Gigabitethernet1/0接收了一个报文

*Jan  1 02:44:12:156 2011 Sysname 802.1X/7/EVENT:

[1cbd-b9e3-b0ed:VLAN1:GE1/0/1] PAE is in Disconnect state.

// PAE进入断开连接状态

*Jan  1 02:44:12:157 2011 Sysname 802.1X/7/EVENT:

[1cbd-b9e3-b0ed:VLAN1:GE1/0/1] BE is in Initialize state.

// PAE进入初始状态

*Jan  1 02:44:12:158 2011 Sysname 802.1X/7/EVENT:

[1cbd-b9e3-b0ed:VLAN1:GE1/0/1] PAE is in Restart state.

// PAE进入重启状态

*Jan  1 02:44:12:159 2011 Sysname 802.1X/7/EVENT:

[1cbd-b9e3-b0ed:VLAN1:GE1/0/1] BE is in Idle state.

// BE进入Idle状态

*Jan  1 02:44:12:160 2011 Sysname 802.1X/7/EVENT:

[1cbd-b9e3-b0ed:VLAN1:GE1/0/1] PAE is in Connecting state.

// PAE进入连接状态

*Jan  1 02:44:12:161 2011 Sysname 802.1X/7/EVENT:

[1cbd-b9e3-b0ed:VLAN1:GE1/0/1] PAE is in Authenticating state.

// PAE进入认证状态

*Jan  1 02:44:12:162 2011 Sysname 802.1X/7/EVENT:

PORT_SM[GE1/0/1] received event DOT1X_PSM_E_START_AUTH.

// 接口接收到DOT1X_PSM_E_START_AUTH事件

*Jan  1 02:44:12:163 2011 Sysname 802.1X/7/EVENT:

PORT_SM[GE1/0/1] entering authenticating state...

// 接口进入认证状态

*Jan  1 02:44:12:166 2011 Sysname 802.1X/7/EVENT:

[1cbd-b9e3-b0ed:VLAN1:GE1/0/1] BE is in Request state.

// BE进入请求状态

*Jan  1 02:44:12:166 2011 Sysname 802.1X/7/EVENT:

Sending EAP Packet (identifier 1, type 1)

// 正在发送EAP报文（匹配标识为1，类型为1）

*Jan  1 02:44:12:170 2011 Sysname 802.1X/7/PACKET:

Transmitted a packet on interface GE1/0/1.

---Verbose information of the packet---

Destination Mac Address: 1cbd-b9e3-b0ed

Source Mac Address: 00e0-fc00-5830

Mac Frame Type: 888e

Protocol Version ID: 1

Packet Type: 0

Packet Length: 5

-----Packet Body-----

Code: 1

Identifier: 1

Length: 5

// 接口Gigabitethernet1/0发送了一个报文

*Jan  1 02:44:12:174 2011 Sysname 802.1X/7/PACKET:

Received a packet on interface GE1/0/1.

---Verbose information of the packet---

Destination Mac Address: 0180-c200-0003

Source Mac Address: 1cbd-b9e3-b0ed

Mac Frame Type: 888e

Protocol Version ID: 1

Packet Type: 0

Packet Length: 16

-----Packet Body-----

Code: 2

Identifier: 1

Length: 16

// 接口Gigabitethernet1/0接收了一个报文

*Jan  1 02:44:12:175 2011 Sysname 802.1X/7/EVENT:

[1cbd-b9e3-b0ed:VLAN1:GE1/0/1] BE is in Response state.

// BE进入响应状态

*Jan  1 02:44:12:176 2011 Sysname 802.1X/7/EVENT:

[1cbd-b9e3-b0ed:VLAN1:GE1/0/1] Create server timeout timer successfully.

// 成功创建服务器超时定时器

*Jan  1 02:44:12:178 2011 Sysname 802.1X/7/EVENT:

[1cbd-b9e3-b0ed:VLAN1:GE1/0/1] BE is in Request state.

// BE进入请求状态

*Jan  1 02:44:12:178 2011 Sysname 802.1X/7/EVENT:

Sending EAP Packet (identifier 2, type 4)

// 正在发送EAP报文（匹配标识为2，类型为4）

*Jan  1 02:44:12:183 2011 Sysname 802.1X/7/PACKET:

Transmitted a packet on interface GE1/0/1.

---Verbose information of the packet---

Destination Mac Address: 1cbd-b9e3-b0ed

Source Mac Address: 00e0-fc00-5830

Mac Frame Type: 888e

Protocol Version ID: 1

Packet Type: 0

Packet Length: 22

-----Packet Body-----

Code: 1

Identifier: 2

Length: 22

// 接口Gigabitethernet1/0/1发送了一个报文

*Jan  1 02:44:12:185 2011 Sysname 802.1X/7/PACKET:

Received a packet on interface GE1/0/1.

---Verbose information of the packet---

Destination Mac Address: 0180-c200-0003

Source Mac Address: 1cbd-b9e3-b0ed

Mac Frame Type: 888e

Protocol Version ID: 1

Packet Type: 0

Packet Length: 33

-----Packet Body-----

Code: 2

Identifier: 2

Length: 33

// 接口Gigabitethernet1/0/1接收了一个报文

*Jan  1 02:44:12:186 2011 Sysname 802.1X/7/EVENT:

[1cbd-b9e3-b0ed:VLAN1:GE1/0/1] BE is in Response state.

// BE进入响应状态

*Jan  1 02:44:12:187 2011 Sysname 802.1X/7/EVENT:

[1cbd-b9e3-b0ed:VLAN1:GE1/0/1] Create server timeout timer successfully.

// 成功创建服务器超时定时器

*Jan  1 02:44:12:190 2011 Sysname 802.1X/7/EVENT:

[1cbd-b9e3-b0ed:VLAN1:GE1/0/1] User sent authentication request.

// 用户发送认证请求

*Jan  1 02:44:12:191 2011 Sysname 802.1X/7/EVENT:

[1cbd-b9e3-b0ed:VLAN1:GE1/0/1] AAA processed authentication request and returned Processing.

// AAA处理认证请求并返回正在处理的结果

*Jan  1 02:44:12:205 2011 Sysname 802.1X/7/EVENT:

[1cbd-b9e3-b0ed:VLAN1:GE1/0/1] User received authentication response, RespCode=0.

// 用户收到认证响应，响应码为0

*Jan  1 02:44:12:206 2011 Sysname 802.1X/7/EVENT:

[1cbd-b9e3-b0ed:VLAN1: GE1/0/1] BE is in Success state.

// BE进入成功状态

*Jan  1 02:44:12:211 2011 Sysname 802.1X/7/PACKET:

Transmitted a packet on interface GE1/0/1.

---Verbose information of the packet---

Destination Mac Address: 1cbd-b9e3-b0ed

Source Mac Address: 00e0-fc00-5830

Mac Frame Type: 888e

Protocol Version ID: 1

Packet Type: 0

Packet Length: 4

-----Packet Body-----

Code: 3

Identifier: 3

Length: 4

// 接口Gigabitethernet1/0/1发送了一个报文

*Jan  1 02:44:12:212 2011 Sysname 802.1X/7/EVENT:

[1cbd-b9e3-b0ed:VLAN1:GE1/0/1] PAE is inAuthenticated state.

// PAE进入认证状态

*Jan  1 02:44:12:213 2011 Sysname 802.1X/7/EVENT:

[1cbd-b9e3-b0ed:VLAN1:GE1/0/1] User sent authorization request.

// 用户发送授权请求

*Jan  1 02:44:12:214 2011 Sysname 802.1X/7/EVENT:

[1cbd-b9e3-b0ed:VLAN1:GE1/0/1] AAA processed authorization request and returned Success.

// AAA处理授权请求并返回成功的结果

*Jan  1 02:44:12:216 2011 Sysname 802.1X/7/EVENT:

PORT_SM[GE1/0/1] received event DOT1X_PSM_E_USER_AUTHORED.

// 接口接收到DOT1X_PSM_E_USER_AUTHORED事件

*Jan  1 02:44:12:219 2011 Sysname 802.1X/7/EVENT:

[1cbd-b9e3-b0ed:VLAN1:GE1/0/1] User sent accounting-start request.

// 用户发送计费开始请求

*Jan  1 02:44:12:220 2011 Sysname 802.1X/7/EVENT:

PORT_SM[GE1/0/1] received event DOT1X_PSM_E_END_AUTH.

// 接口接收到DOT1X_PSM_E_END_AUTH事件

*Jan  1 02:44:12:222 2011 Sysname 802.1X/7/EVENT:

PORT_SM[GE1/0/1] entering disconnected state...

// 接口进入断开连接状态

*Jan  1 02:44:12:583 2011 Sysname 802.1X/7/EVENT:

[1cbd-b9e3-b0ed:VLAN1:GE1/0/1] BE is in Idle state.

// BE进入Idle状态