2024年6月2日发(作者:)

为什么要实现IEEE802.1x?随着宽带以太网建设规模的迅速扩大,网络上原有的认证

系统已经不能很好地适应用户数量急剧增加和宽带业务多样性的要求。IEEE802.1x协议具

有完备的用户认证、管理功能,可以很好地支撑宽带网络的计费、安全、运营和管理要求,

对宽带IP城域网等电信级网络的运营和管理具有极大的优势。IEEE802.1x协议对认证方

式和认证体系结构上进行了优化,解决了传统PPPOE和WEB/PORTAL认证方式带来的问

题,更加适合在宽带以太网中的使用。

IEEE802.1x是IEEE2001年6月通过的基于端口访问控制的接入管理协议标准。

IEEE802系列LAN标准是目前居于主导地位的局域网络标准,传统的IEEE802协议

定义的局域网不提供接入认证,只要用户能接入局域网控制设备,如传统的LanSwitch,

用户就可以访问局域网中的设备或资源,这是一个安全隐患。对于移动办公,驻地网运营

等应用,设备提供者希望能对用户的接入进行控制和配置,此外还存在计费的需求。

IEEE802.1x是一种基于端口的网络接入控制技术,在 LAN 设备的物理接入级对接入

设备进行认证和控制,此处的物理接入级指的是 LanSwitch设备的端口。连接在该类端口

上的用户设备如果能通过认证,就可以访问 LAN 内的资源;如果不能通过认证,则无法

访问 LAN 内的资源,相当于物理上断开连接。

下面首先让我们了解一下IEEE802.1x端口访问控制协议的体系结构。

1.IEEE802.1x体系介绍

虽然IEEE802.1x定义了基于端口的网络接入控制协议,但是需要注意的是该协议仅适

用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑

端口。典型的应用方式有:LanSwitch 的一个物理端口仅连接一个 End Station,这是基

于物理端口的; IEEE 802.11定义的无线 LAN 接入方式是基于逻辑端口的。

图1 IEEE802.1x的体系结构

IEEE802.1x的体系结构中包括三个部分:Supplicant System,用户接入设备;

Authenticator System,接入控制单元;Authentication Sever System,认证服务器。

在用户接入层设备(如LanSwitch)实现 IEEE802.1x的认证系统部分,即

Authenticator;IEEE802.1x的客户端一般安装在用户PC中,典型的为Windows XP操

作系统自带的客户端; IEEE802.1x的认证服务器系统一般驻留在运营商的AAA中心。

Supplicant与Authenticator间运行IEEE802.1x定义的EAPOL协议;Authenticator

与 Authentication Sever 间同样运行 EAP 协议,EAP 帧中封装了认证数据,将该协议

承载在其他高层次协议中,如 Radius,以便穿越复杂的网络到达认证服务器。

Authenticator每个物理端口内部有受控端口(Controlled Port)和非受控端口

(unControlled Port)等逻辑划分。非受控端口始终处于双向连通状态,主要用来传递