802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPOL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
作用
一、802.1x是一个认证协议,是一种对用户进行认证的方法和策略。
二、802.1x是基于端口的认证策略(可以是物理端口也可以是VLAN一样的逻辑端口,相对于无线局域网“端口”就是一条信道)
三、802.1x的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功就“打开”这个端口,允许所有报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1x的认证报文EAPOL(Extensible Authentiaction Protocol over LAN)通过。
802.1x的认证系统分为三部分结构:
客户端:就是需要通过认证来享受网络服务的设备,必须要支持EAPOL协议。(Extensible Authentication Protocol over LAN,局域网上的可扩展认证协议)
设备端:对客户端设备执行认证监测并转发认证数据的设备,其本身不对客户端上报的认证信息进行匹配认证,只是一个中介,用于联系客户端和认证服务器。
认证服务器:是为客户端提供认证服务的真家伙,是设备端背后默默支持的人。用于对设备端实现认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In UserService,远程认证拨号用户服务)服务器。
802.1x认证的优点
一、802.1x协议为二层协议,不需要到达三层,而且接入层交换机无须支持802.1x的VLAN对设备的整体性能要求不高,可以有效降低建网成本。
二、通过组播实现,解决其他认证协议广播问题,对组播业务的支持性好。
三、业务报文直接承载在正常的二层报文上,用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有特殊要求。