2024年6月2日发(作者:)

一、引言

802.1x协议起源于802.11协议,后者是IEEE的无线局域网协议,制订802.1x协议的

初衷是为了解决无线局域网用户的接入认证问题。IEEE802LAN协议定义的局域网并不提

供接入认证,只要用户能接入局域网控制设备(如LANS witch),就可以访问局域网中的设

备或资源。这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。

随着移动办公及驻地网运营等应用的大规模发展,服务提供者需要对用户的接入进行

控制和配置。尤其是WLAN的应用和LAN接入在电信网上大规模开展,有必要对端口加

以控制以实现用户级的接入控制,就是IEEE为了解决基于端口的接入控制

(Port-Based Network Access Contro1)而定义的一个标准。

二、802.1x认证体系

802.1x是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。端口可以

是一个物理端口,也可以是一个逻辑端口(如VLAN)。对于无线局域网来说,一个端口就是

一个信道。802.1x认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证

成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持

“关闭”,即只允许802.1x的认证协议报文通过。

802.1x的体系结构如图1所示。它的体系结构中包括三个部分,即请求者系统、认证

系统和认证服务器系统三部分:

图1 802.1x认证的体系结构

1.请求者系统

请求者是位于局域网链路一端的实体,由连接到该链路另一端的认证系统对其进行认

证。请求者通常是支持802.1x认证的用户终端设备,用户通过启动客户端软件发起

认证,后文的认证请求者和客户端二者表达相同含义。

2.认证系统

认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持协议

的网络设备,它为请求者提供服务端口,该端口可以是物理端口也可以是逻辑端口,一般

在用户接入设备(如LAN Switch和AP)上实现802.1x认证。后文的认证系统、认证点和接

入设备三者表达相同含义。

3.认证服务器系统

认证服务器是为认证系统提供认证服务的实体,建议使用RADIUS服务器来实现认证