BHBIN_网络知识和基础操作分册_第六章_8021x认证技术_

802.1x认证协议在局域网管理中的应用为了有效控制用户随意接入局域网的行为，满足管理网络的业务需要，在局域网管理中应用802.1x认证协议，是一种比较安全且容易实现的方法。

1.802.1x认证协议802.1x认证协议是IEEE为了解决基于端口的网络接入控制（Port Based Network Access Control）而定义的一个标准，它是一种对用户进行认证的方法，它的最终目的就是确定一个端口是否可用。

端口可以是一个物理端口，也可以是一个逻辑端口(如VLAN)。

对于一个端口，如果认证成功，就“打开”这个端口，允许所有的报文通过；如果认证不成功，就使这个端口保持“关闭”，即只允许802.1x的认证协议报文通过。

802.1x的体系结构中包括请求者系统、认证系统和认证服务器系统三个部分。

1.1请求者系统请求者是位于局域网链路一端的实体，由连接到该链路另一端的认证系统对其进行认证。

请求者通常是支持802.1x认证的用户终端设备，一般把802.1x客户端软件安装在终端电脑上，用户通过启动客户端软件发起802.lx认证，输入用户名、口令等验证信息即可。

1.2认证系统认证系统对连接到链路对端的认证请求者进行认证。

认证系统通常为支持802.lx协议的网络设备，它为请求者提供服务端口，该端口可以是物理端口，也可以是逻辑端口，其主要作用是将客户端输入的验证信息传递到认证服务器，根据认证的结果打开或关闭服务端口。

1.3认证服务器系统认证服务器检验客户端输入的验证信息，将检验结果通知认证系统。

建议使用RADIUS服务器实现认证服务器的认证和授权功能。

2.RADIUS协议RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）是一种分布式的、客户端/服务器结构的信息交互协议，能保护网络不受未授权访问的干扰，通常被应用在既要求具有较高安全性又要求维持远程用户访问的各种网络环境中。

华为802.1X技术白皮书华为技术有限公司二ＯＯ三年六月目录1概述 (1)2802.1X的基本原理 (1)2.1 体系结构 (1)2.1.1端口P AE (2)2.1.2受控端口 (2)2.1.3受控方向 (2)2.2 工作机制 (2)2.3 认证流程 (3)3华为802.1X的特点 (3)3.1 基于MAC的用户特征识别 (3)3.2 用户特征绑定 (4)3.3 认证触发方式 (4)3.3.1标准EAP触发方式 (4)3.3.2DHCP触发方式 (4)3.3.3华为专有触发方式 (4)3.4 T RUNK端口认证 (4)3.5 用户业务下发 (5)3.5.1VLAN业务 (5)3.5.2CAR业务 (5)3.6 P ROXY检测 (5)3.6.1Proxy典型应用方式 (5)3.6.2Proxy检测机制 (5)3.6.3Proxy检测结果处理 (6)3.7 IP地址管理 (6)3.7.1IP获取 (6)3.7.2IP释放 (6)3.7.3IP上传 (7)3.8 基于端口的用户容量限制 (7)3.9 支持多种认证方法 (7)3.9.1P AP方法 (7)3.9.2CHAP方法 (8)3.9.3EAP方法 (8)3.10 独特的握手机制 (8)3.11 对认证服务器的兼容 (8)3.11.1EAP终结方式 (8)3.11.2EAP中继方式 (9)3.12 内置认证服务器 (9)3.13 基于802.1X的受控组播 (9)3.14 完善的整体解决方案 (10)4典型组网 (10)4.1 集中认证方案 (10)4.2 边缘分布认证方案 (10)4.3 内置服务器认证方案 (11)5结论与展望 (11)摘要802.1X作为一种基于端口的用户访问控制安全机制，由于其低成本、良好的业务连续性和扩充性以及较高的安全性和灵活性，自从2001年6月正式成为IEEE 802系列标准开始，便迅速受到了包括华为在内的设备制造商、各大网络运营商和最终用户在内的广泛支持和肯定。

2009年2月第15卷第1期安庆师范学院学报(自然科学版)Journal of Anqing Teachers College (Natural Science Edition )Feb.2009Vol.15No.1802.1x 认证技术分析罗汉云1,宋　勇2(安庆师范学院1.现代教育技术中心,2.外国语学院,安徽安庆246133) 摘　要:IEEE 802.1x 协议是目前业界最新的认证协议,802.1x 认证基于逻辑端口把认证流和业务流进行分离。

认证系统的端口分成两个逻辑端口:可控端口和非可控端口。

可控端口传送业务报文,非可控端口只能传送认证协议报文。

它通过认证前后打开/关闭可控端口来实现对用户接入的控制,从而实现对用户的物理端口的认证和控制。

关键词:802.1x 协议;可控端口;非可控端口;认证系统中图分类号:TP391 文献标识码:A 文章编号:1007-4260(2009)01-0052-03图1 0　引言IEEE 802.1x 又称“基于端口的访问控制协议”(Port -based network access co nt rol p rotocol )。

802.1x 起源于802.11协议,它的提出最初是为了解决无线局域网用户的接入认证问题,它提供了一种以太网环境下点对点的识别用户的方式。

后来,该协议被引入到有线局域网环境,并得到了广泛应用。

1　体系结构802.1x 是基于Client/Server 的访问控制和认证协议,它的体系结构包括三个重要的部分:Supplicant System 客户端、Aut henticator System 认证系统即设备端、A ut henticatio n ServerSystem 认证服务器。

如图1所示。

其中PA E (Port Access En 2tit y )是认证系统中负责处理算法和协议的实体,是一个逻辑组件,部署在客户端和设备端。

———Supplicant System 客户端一般为一个用户终端系统。

扑一公司为了安全，实行802.1x 认证一公司为了安全，实行802.1x 认证1.在sw1上sw2之间使用trunk链路,使用VTP配置VLAN 102.启用三层交换机实现vlan间通行都在sw1上配置SW1(config)#int vlan 1SW1(config-if)#ip add 192.168.1.254 255.255.255.0SW1(config-if)#no shSW1(config-if)#int vlan 10SW1(config-if)#ip ad 10.254 255.255.255.03．在ACS服务器上配置DHCP服务器,让客户端能够自动获取IP地址.（此处要搭建dhcp服务）SW1(config)#int vlan 10SW1(config-if)#ip helper-address 192.168.1.100然后再sw2上配置vlan1的ip是4在客户机上测试通行能ping通ACS服务器然后查看自动获取到的ip地址4在安装ACS之前先安装4搭建ACS安装cisco ACS软件四个复选框各个意思是终端用户能够连接到AAA接入设备安装ACS的windows服务器能够ping通AAA接入设备AAA接入设备（sw2）运行的ios最顶版本是11.1使用的浏览器版本最低是IEv6.0SPI或Netscape v8.05安装完成后桌面有双击此图标6注意在此想要运行此软件需要关闭以下功能在添加删除程序中的》添加windows组件中把ie浏览器的勾去掉。

才能运行上面的ACS软件8在network configuration 中添加AAAclients客户端单击add entry 配置sw2然后配置sw2的vlan1的ip地址和共享密钥为cisco8.1在RADIUS KEY WRAP 中选择下面的8.2在authenticate using中选择RADIUS(IETF)8.3然后点击中的按钮确定和应用9配置AAA server9.1配置服务器端ip地址和共享密钥选择服务器类型然后点击中间的确认和应用10配置添加用户在user setup中输入用户名点击Add/edit出现下面对话框11输入密码和用户属于哪个组12配置RADIUS的属性12.1然后现则64 65 8113然后再groups setup 中选择组的然后点击Edit settings14然后选择下面的默认选择也就是这些15然后再在下面按线面步骤选择完成后选择中间的确定并应用64代表认证发起者使用的隧道协议。

802.1x技术介绍802.1x技术介绍目录802.1X. 1802.1X的体系结构.. 1802.1X的认证方式.. 1802.1X的基本概念.. 2EAPOL消息的封装.. 3EAP属性的封装.. 4802.1X的认证触发方式.. 5802.1X的认证过程.. 5802.1X的接入控制方式.. 8802.1X的定时器.. 8和802.1X配合使用的特性.. 9802.1X支持EAD快速部署配置.. 11802.1XIEEE802 LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1X协议。

后来，802.1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。

802.1X协议是一种基于端口的网络接入控制协议（port basednetwork access control protocol）。

“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。

连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。

802.1X的体系结构802.1X系统为典型的Client/Server结构，如图1所示，包括三个实体：客户端（Client）、设备端（Device）和认证服务器（Server）。

图 1 802.1X认证系统的体系结构l 客户端是位于局域网段一端的一个实体，由该链路另一端的设备端对其进行认证。

客户端一般为一个用户终端设备，用户可以通过启动客户端软件发起802.1X认证。

客户端必须支持EAPOL （Extensible Authentication Protocol over LAN，局域网上的可扩展认证协议）。

l 设备端是位于局域网段一端的另一个实体，对所连接的客户端进行认证。

设备端通常为支持802.1X协议的网络设备，它为客户端提供接入局域网的端口，该端口可以是物理端口，也可以是逻辑端口。

1.1.1802.1X认证IEEE 802.1x是一种基于端口的网络接入控制技术，该技术提供一个可靠的用户认证和密钥分发的框架，可以控制用户只有在认证通过以后才能连接网络。

IEEE 802.1x本身并不提供实际的认证机制，需要和上层认证协议(EAP)配合来实现用户认证和密钥分发。

EAP允许无线终端支持不同的认证类型，能与后台不同的认证服务器进行通信，如远程接入用户服务(Radius)。

Bgate系列AC支持802.1X认证方式，这里以设备端PAE对EAP报文进行中继转发为例，IEEE 802.1X认证系统的基本业务流程如下图所示。

在WLAN网络中，WLAN客户端Station为客户端PAE，提供WLAN服务的设备为设备端PAE。

设备端通过产生一个随机Challenge发送给客户端；客户端会使用配置的密钥对该Challenge 进行加密处理并将处理后的信息返回设备端；设备端根据客户端返回的加密后的Challenge 以及原始的Challenge进行比较判断，设备端完成对客户端的单项认证。

IEEE 802.1X认证系统的EAP方式业务流程整个802.1x的认证过程可以描述如下(1) 客户端向接入设备发送一个EAPoL-Start报文，开始802.1x认证接入;(2) 接入设备向客户端发送EAP-Request/Identity报文，要求客户端将用户名送上来;(3) 客户端回应一个EAP-Response/Identity给接入设备的请求，其中包括用户名;(4) 接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中，发送给认证服务器;(5) 认证服务器产生一个Challenge，通过接入设备将RADIUS Access-Challenge报文发送给客户端，其中包含有EAP-Request/MD5-Challenge;(6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端，要求客户端进行认证(7) 客户端收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回应给接入设备(8) 接入设备将Challenge，Challenged Password和用户名一起送到RADIUS服务器，由RADIUS服务器进行认证(9)RADIUS服务器根据用户信息，做MD5算法，判断用户是否合法，然后回应认证成功/失败报文到接入设备。

IEEE 802.1x 认证∙EAP 协议（可扩展认证协议）∙EAP-TLS∙PEAP-MSCHAPv2∙PEAP-TLSEAP 协议概述可扩展认证协议（Extensible Authentication Protocol, EAP），是一个普遍使用的认证框架，它常被用于无线网络或 PPP 连接的认证中。

EAP 不仅可以用于无线局域网，而且可以用于有线局域网，但它在无线局域网中使用的更频繁。

EAP 是一个认证框架，而不是一个固定的认证机制。

EAP 提供一些公共的功能，并且允许协商真正的认证机制。

这些机制被叫做 EAP 方法，现在大约有40种不同的 EAP 方法。

常见的 EAP 方法有：EAP-MD5, EAP-OTP, EAP-GTC, EAP-TLS, EAP-PEAP, EAP-SIM 等。

虽然 EAP 提供了很强的扩展性，但是取决于不同的 EAP 方法，EAP 消息可能以明文的方式发送。

攻击者如果能访问传输介质，则可以监听EAP报文消息，甚至可以伪造，修改协议报文。

这个问题在无线网络中尤为突出。

因此并不是所有 EAP 方法都适合无线网络认证。

无线网络最常使用的认证方法为：EAP-TLS ，PEAP-MSCHAPv2。

EAP-RADIUS（RADIUS 中继）EAP-RADIUS 并不是一种真正的认证方法，而是指无线接入点（AP），把无线客户端的 EAP 报文，以中继方式转发到外部 RADIUS 认证服务器中，由 RADIUS 服务器完成真正的认证过程。

EAP-TLS概述EAP-TLS 协议是在 EAP 协议框架上，使用 TLS 协议来完成身份认证，密钥交换功能。

TLS 协议也是 HTTPS 协议的核心。

因此 EAP-TLS 可以视为与 HTTPS 协议同等的安全性。

EAP-TLS 协议使用双向证书认证，要求服务器及客户端都使用证书，向对方证明身份，并在无线客户端及认证服务器间安全地协商和传输加密密钥，以保证无线数据传输的机密性及完整性。

1、802.1x协议简介802.1x协议是基于Client/Server的访问控制和认证协议。

它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。

在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。

在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

802.1x认证包含三个角色：认证者--对接入的用户/设备进行认证的端口；请求者--被认证的用户/设备；认证服务器--根据认证者的信息，对请求访问网络资源的用户/设备进行实际认证功能的设备。

以太网的每个物理端口被分为受控和不受控的两个逻辑端口，物理端口收到的每个帧都被送到受控和不受控端口。

其中，不受控端口始终处于双向联通状态，主要用于传输认证信息。

而受控端口的联通或断开是由该端口的授权状态决定的。

受控端口与不受控端口的划分，分离了认证数据和业务数据，提高了系统的接入管理和接入服务提供的工作效率。

2、802.1x认证过程（1.客户端程序将发出请求认证的EAPoL-Start报文给交换机，开始启动一次认证过程。

（2.交换机收到请求认证的报文后，将发出一个EAP-Request/Identify报文要求用户的客户端程序将输入的用户信息送上来。

（3.客户端程序响应交换机发出的请求，将用户名信息通过EAP-Response/Identify报文送给交换机。

交换机通过Radius-Access-Request报文将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。

（4.认证服务器收到来自交换机的Radius-Access-Request报文，做如下几个操作：验证交换机的合法性：包括交换机的IP地址，以及RADIUS认证口令；验证RADIUS的ID字段中填入的账号是否有效；当上述两个条件满足的时候，给交换机应答此Radius-Access-Challenge报文。

新的宽带认证方式——IEEE802.1x协议网络知识-电脑资料随着宽带以太网建设规模的迅速扩大，网络上原有的认证系统已经不能很好地适应用户数量急剧增加和宽带业务多样性的要求，。

IEEE 802.1x协议对认证方式和认证体系结构进行了优化，解决了传统PPPoE和Web/Portal认证方式带来的问题，更适合在宽带以太网中的使用随着宽带以太网建设规模的迅速扩大，网络上原有的认证系统已经不能很好地适应用户数量急剧增加和宽带业务多样性的要求。

IEEE 802.1x协议对认证方式和认证体系结构进行了优化，解决了传统PPPoE和Web/Portal认证方式带来的问题，更适合在宽带以太网中的使用。

什么是IEEE 802.1x协议IEEE 802.1x 称为基于端口的访问控制协议（Port work a clearcase/" target="_blank" >ccess control protocol）。

IEEE 802.1x协议的体系结构包括三个重要的部分：Supplic ant System客户端、Authenticator System认证系统、Authentication Server System认证服务器。

客户端系统一般为一个用户终端系统，该终端系统通常要安装一个客户端软件，用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。

为支持基于端口的接入控制，客户端系统需支持EAPOL （Extensible Authentication Protocol Over LAN）协议。

认证系统通常为支持IEEE 802.1x协议的网络设备。

该设备对应于不同用户的端口（可以是物理端口，也可以是用户设备的MAC地址、VLAN、IP等）有两个逻辑端口：受控（controlled Port）端口和不受控端口（uncontrolled Port）。

不受控端口始终处于双向连通状态，主要用来传递 EAPOL 协议帧，可保证客户端始终可以发出或接受认证。

802.1x认证系统802.1x认证系统基础IEEE 802.1X是由IEEE制定的关于用户接入网络的认证标准，全称是“基于端口的网络接入控制”。

它于2001年正式颁布，最初是为有线网络设计，之后为了配合无线网络的接入进行修订改版，并于2004年完成。

802.1x协议是一种基于端口的网络接入控制协议，所以具体的802.1x认证功能必须在设备端口上进行配置，对端口上接入的用户设备通过认证来控制对网络资源的访问。

802.1x认证系统采用网络应用系统典型的Client/Server（C/S）结构，包括三个部分：客户端（Client）、设备端（Device）和认证服务器（Server），如图18-2所示。

它与图18-1中的NAC模型结构一一对应。

l 客户端：局域网用户终端设备，但必须是支持EAPOL （Extensible Authentication Protocol over LAN，局域网可扩展认证协议）的设备（如PC机），可通过启动客户端设备上安装的802.1x客户端软件发起802.1x认证。

图18-2 802.1x认证系统结构l 设备端：支持802.1x协议的网络设备（如交换机），对所连接的客户端进行认证。

它为客户端提供接入局域网的端口，可以是物理端口，也可以是逻辑端口（如Eth-Trunk口）。

l 认证服务器：为设备端802.1x协议提供认证服务的设备，是真正进行认证的设备，实现对用户进行认证、授权和计费，通常为RADIUS服务器。

1. 802.1x认证受控/非受控端口在设备端为客户端提供的接入端口被划分为两个逻辑端口：受控端口和非受控端口。

“非受控端口”可看成为EAP（可扩展认证协议）端口，不进行认证控制，始终处于双向连通状态，主要用来传递在通过认证前必需的EAPOL协议帧，保证客户端始终能够发出或接收认证报文。

“受控端口”可以看作为普通业务端口，是需要进行认证控制的。

它有“授权”和“非授权”两种状态（相当于在该端口上有一个控制开关）：在授权状态下处于双向连通状态（控制开关闭合），可进行正常的业务报文传递；在非授权状态下处于打开状态（控制开关打开），禁止任何业务报文的传递。

北信源桌面终端标准化管理系统准入控制技术使用手册2010年5月目录一、802.1x认证模块原理 (31-1. 802.1x的工作机制 (31-2. 802.1x的认证过程 (4二、VRVEDP-NAC系统硬件配置及实施方案 (52-1.VRVEDP-NAC相关系统硬件配置 (52-2.VRVEDP-NAC实施方案 (5三、802.1x认证应用注册事项 (22四、802.1x认证应急预案 (244-1.预案流程 (244-2.应急事件处理方法 (24一、802.1x认证模块原理1-1. 802.1x的工作机制IEEE 802.1x认证系统利用EAP(Extensible Authentication Protocol,可扩展认证协议协议,作为在客户端和认证服务器之间交换认证信息的手段。

802.1x认证系统的工作机制在客户端PAE与设备端PAE之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN 环境中。

在设备端PAE与RADIUS服务器之间,EAP协议报文可以使用EAPOR封装格式(EAP over RADIUS,承载于RADIUS协议中;也可以由设备端PAE进行终结,而在设备端PAE与RADIUS服务器之间传送PAP协议报文或CHAP协议报文。

当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE 根据RADIUS服务器的指示(Accept或Reject决定受控端口的授权/非授权状态。

1-2. 802.1x的认证过程802.1x认证系统的认证过程1. 当用户有上网需求时打开802.1x客户端,输入已经申请、登记过的用户名和口令,发起连接请求(EAPOL-Start报文。

此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。

2. 交换机收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity报文要求用户的客户端程序发送输入的用户名。

【转】浅谈802.1X认证⼀、起源802.1x协议起源于802.11协议，后者是标准的⽆线局域⽹协议。

802.1x协议的主要⽬的是为了解决局域⽹⽤户的接⼊认证问题，现在已经开始被应⽤于⼀般的有线LAN的接⼊。

在802.1x出现之前，企业⽹有线LAN应⽤都没有直接控制到端⼝的⽅法，也不需要控制到端⼝。

但是随着⽆线LAN的应⽤以及LAN接⼊到电信⽹上⼤规模开展，有必要对端⼝加以控制，以实现⽤户级的接⼊控制。

802.1x就是IEEE为了解决基于端⼝的接⼊控制⽽定义的⼀个标准。

⼆、作⽤1.802.1x是⼀个认证协议，是⼀种对⽤户进⾏认证的⽅法和策略。

2.802.1x是基于端⼝的认证策略（可以是物理端⼝也可以是VLAN⼀样的逻辑端⼝，相对于⽆线局域⽹“端⼝”就是⼀条信道）3.802.1x的认证的最终⽬的就是确定⼀个端⼝是否可⽤。

对于⼀个端⼝，如果认证成功就“打开”这个端⼝，允许所有报⽂通过；如果认证不成功就使这个端⼝保持“关闭”，此时只允许802.1x的认证报⽂EAPOL（Extensible Authentiaction Protocol over LAN）通过。

三、体系802.1x的认证系统分为三部分结构：Suppliant System 客户端（PC / ⽹络设备）：客户端是⼀个需要接⼊LAN，及享受Switch提供服务的设备，客户端需要⽀持EAPOL协议，客户端必须运⾏802.1x客户端软件。

Authentiactor System 认证系统：switch（边缘交换机或⽆线接⼊设备）是根据客户的认证状态控制物理接⼊的设备，switch在客户和认证服务器之间充当代理⾓⾊（proxy）。

switch与client间通过EAPOL协议进⾏通讯，swith与认证服务器间通过EAPOR（EAP over Radius）s或EAP承载在其他⾼层协议上，以便穿越复杂的⽹络到达认证服务器；switch要求客户端提供identity，接收到后将EAP报⽂承载在Radius格式的报⽂中，再发送到认证服务器，返回等同；switch根据认证结果控制端⼝是否可⽤。

编号：_______________本资料为word版本，可以直接编辑和打印，感谢您的下载802.1X协议的工作机制流程详解甲方：___________________乙方：___________________日期：___________________Supplicant发出一个连接请求（EPAoL，该请求被Authenticator （支持802.1X 协议的交换机）转发到Authentication Server （支持EAP验证的RADIUSE务器）上，Authentication Server得到认证请求后会对照用户数据库，验证通过后返回相应的网络参数，如客户终端的IP地址，MTU大小等。

Authenticator 得到这些信息后，会打开原本被堵塞的端口。

客户机在得到这些参数后才能正常使用网络，否则端口就始终处丁阻塞状态，只允许802.1X的认证报文EAPoL® 过。

802.1X认证协议原理1.1.1基本认证流程图3-6是一个典型的认证会话流程，采用的认证机制是MD5-Challenge：（1）Supplicant发送一个EAPoL-Start报文发起认证过程。

⑵Authenticator 收到EAPoL-Start 后，发送一个EAP-Request报文响应Supplicant的认证请求，请求用户ID。

⑶Supplicant 以一个EAP-Responsef艮文响应EAP-Request,将用户ID 封装在EAP 报文中发给Authenticator 。

⑷Authenticator 将Supplicant 送来的EAP-Request报文与自己的NAS IP、NASPort等相关信息一起封装在RADIUS Access-Request报文中发给认证服务器（Authentication Server ）。

EAPOL Start(l)〔认证开始)EAP Request ⑵EAP Respunse(3)-RADIUS Access-Request(4) --- 1 RADIUS Access-Challenge(5)EAP Chai I enge Request(6)EAP Challenge Response7) RADIUS Acc&ss-Request(8) RADIUS Access-Accept(9),EAP Success] 10)认证成功RADIUS 及 ccountingFReciLj 色 st(Start)( RADIUS Ac count i ng-Res ponse( 12) 记账开始RADIUS Account! ng- Requ est( Stop )(14RADIUSAc count i ng-Res ponse( 15)（用户下线）典型的认证会话流程⑸认证服务器收到RADIUS Access-Request 报文后，将用户ID 提取出来在数据库 中进行查找。