802 1X體系介紹

1. 802.1x體系介紹

802.1x是ieee2023年6月通過的基於埠訪問控制的接入管理協議標準。 ieee 802 lan 協議定義的區域網不提供接入認證只要使用者能接入區域網控制裝置如傳統的lanswitch 使用者就可以訪問區域網中的裝置或資源，這是乙個安全隱患。對於移動辦公駐地網運營等應用裝置提供者希望能對使用者的接入進行控制和配置，此外還存在計費的需求。

ieee 802.1x是一種基於埠的網路接入控制技術，在lan 裝置的物理接入級對接入裝置進行認證和控制。此處的物理接入級指的是lanswitch裝置的埠，連線在該類埠上的使用者裝置如果能通過認證就可以訪問lan 內的資源，如果不能通過認證則無法訪問lan 內的資源相當於物理上斷開連線。

ieee 802.1x定義了基於埠的網路接入控制協議，需要注意的是該協議僅適用於接入裝置與接入埠間點到點的連線方式，其中埠可以是物理埠，也可以是邏輯埠。典型的應用方式有：lanswitch 的乙個物理埠僅連線乙個end station 基於物理埠；ieee 802.11定義的無線lan 接入方式基於邏輯埠

ieee 802.1x的體系結構中包括三個部分：supplicant system，使用者接入裝置；authenticator system，接入控制單元；authentication sever system ，認證伺服器。

在使用者接入層裝置如lanswitch)實現802.1x的認證系統部，分即authenticator 802.1x的客戶端一般安裝在使用者pc中。典型為windows xp作業系統自帶的客戶端 802.1x的認證伺服器系統一般駐留在運營商的aaa中心。

supplicant 與authenticator 間執行ieee 802.1x 定義的eapol 協議；authenticator 與authentication sever 間同樣執行eap 協議，eap 幀中封裝了認證資料，將該協議承載在其他高層次協議中，如radius ，以便穿越複雜的網路到達認證伺服器eap relay。

authenticator 每個物理埠內部有受控埠controlled port 和非受控埠uncontrolledport。非受控埠始終處於雙向連通狀態，主要用來傳遞eapol 協議。幀可保證隨時接收supplicant發出的認證eapol報文，受控埠只有在認證通過的狀態下才開啟，用於傳遞網路資源和服務。受控埠可配置為雙向受控僅輸入受控兩種方式以適應不同的應用環境。輸入受控方式應用在需要桌面管理的場合例如管理員遠端喚醒一台計算機。

2. 802.1x認證過程簡介

802.1x 通過eap 承載認證資訊共定義了如下eap 包型別：

1) eap-packet 認證資訊幀用於承載認證資訊

2) eapol-start 認證發起幀supplicant 和authenticator 均可以發起

3) eapol-logoff 退出請求幀可主動終止已認證狀態

4) eapol-key 金鑰資訊幀支援對eap 報文的加密

5) eapol-encapsulated-asf-alert 用於支援alert standard forum asf 的alerting 訊息

其中eapol-start eapol-logoff 和eapol-key 僅在supplicant 和authenticator 間存在，在交換機和認證伺服器間eap-packet報文重新封裝承載於radius協議之上，以便穿越複雜的網路到達認證伺服器，eapol-encapsulated-asf-alert 封裝與網管相關資訊。例如各種告警資訊由authenticator 終結。

3. 802.1x的特點

* 認證協議承載於二層網路上不需要到達三層

* 通過接入認證控制使用者進入網路和獲得服務

* 需要客戶端支援(類似於pppoe)

* 業務報文直接承載在正常的二層報文上對後續的網路處理沒有特殊要求

802 1X體系介紹

802 1X協議介紹（認證） ielab

802 1X協議介紹（認證） ielab

802 1x協議解析

802 1X體系介紹

802 1X協議介紹（認證） ielab

802 1X協議介紹（認證） ielab

802 1x協議解析

相關推薦