802.1x协议定义、认证特点
802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/装备通过接入端口访问LAN/MAN。在取得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/装备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩大认证协议)数据通过装备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
网络访问技术的核心部份是PAE(端口访问实体)。在访问控制流程中,端口访问实体包括3部份:认证者对接入的用户/装备进行认证的端口;要求者被认证的用户/装备;认证服务器根据认证者的信息,对要求访问网络资源的用户/装备进行实际认证功能的装备。
以太网的每一个物理端口被分为受控和不受控的两个逻辑端口,物理端口收到的每一个帧都被送到受控和不受控端口。对受控端口的访问,受限于受控端口的授权状态。认证者的PAE根据认证服务器认证进程的结果,控制"受控端口"的授权/未授权状态。处在未授权状态的控制端口将谢绝用户/装备的访问。
认证特点
基于以太网端口认证的802.1x协议有以下特点:IEEE802.1x协议为二层协议,不需要到达三层,对装备的整体性能要求不高,可以有效下降建网本钱;借用了在RAS系统中经常使用的EAP(扩大认证协议),可以提供良好的扩大性和适应性,实现对传统PPP认证架构的兼容;802.1x的认证体系结构中采取了"可控端口"和"不可控端口"的逻辑功能,从而可以实现业务与认证的分离,由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制,业务报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证以后的数据包是无需封装的纯数据包;可使用现有的后台认证系统下降部署的本钱,并有丰富的业务支持;可以映照不同的用户认证等级到不同的VLAN;可使交换端口和无线LAN具有安全的认证接入功能。