淺談802.x認證

802.1x協議是基于Client/Server的訪問控制和認證協議。它可以限制未經授權的用戶/設備通過接入端口(access port)訪問LAN/WLAN。在獲得交換機或LAN提供的各種業務之前，802.1x對連接到交換機端口上的用戶/設備進行認證。在認證通過之前，802.1x只允許EAPOL（基于局域網的擴展認證協議）數據通過設備連接的交換機端口；認證通過以后，正常的數據可以順利地通過以太網端口。

 

作用

一、802.1x是一個認證協議，是一種對用戶進行認證的方法和策略。

二、802.1x是基于端口的認證策略（可以是物理端口也可以是VLAN一樣的邏輯端口，相對于無線局域網“端口”就是一條信道）

三、802.1x的認證的最終目的就是確定一個端口是否可用。對于一個端口，如果認證成功就“打開”這個端口，允許所有報文通過；如果認證不成功就使這個端口保持“關閉”，此時只允許802.1x的認證報文EAPOL（Extensible Authentiaction Protocol over LAN）通過。

802.1x的認證系統分為三部分結構：

 

客戶端：就是需要通過認證來享受網絡服務的設備，必須要支持EAPOL協議。（Extensible Authentication Protocol over LAN,局域網上的可擴展認證協議）

設備端：對客戶端設備執行認證監測并轉發認證數據的設備，其本身不對客戶端上報的認證信息進行匹配認證，只是一個中介，用于聯系客戶端和認證服務器。

認證服務器：是為客戶端提供認證服務的真家伙，是設備端背后默默支持的人。用于對設備端實現認證、授權和計費，通常為RADIUS（Remote Authentication Dial-In UserService,遠程認證撥號用戶服務）服務器。

802.1x認證的優點

一、802.1x協議為二層協議，不需要到達三層，而且接入層交換機無須支持802.1x的VLAN對設備的整體性能要求不高，可以有效降低建網成本。

二、通過組播實現，解決其他認證協議廣播問題，對組播業務的支持性好。

三、業務報文直接承載在正常的二層報文上，用戶通過認證后，業務流和認證流實現分離，對后續的數據包處理沒有特殊要求。