802.1X&Radius原理

802.1x内网接入系统说明文档一、802.1x协议802.1x协议介绍：IEEE 802.1x协议起源于802.11，其主要目的是为了解决有线和无线局域网用户的接入认证问题。

802.1x 协议又称为基于端口的访问控制协议，可提供对802.11无线局域网和对有线以太网络的验证的网络访问权限。

802.1x协议仅仅关注端口的打开与关闭，对于合法用户接入时，打开端口；对于非法用户接入或没有用户接入时，则端口处于关闭状态。

IEEE 802.1x协议的体系结构主要包括三部分实体：客户端Supplicant System、认证系统Authenticator System、认证服务器Authentication Server System。

(1)客户端：一般为一个用户终端系统，该终端系统通常要安装一个客户端软件，用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。

(2)认证系统：通常为支持IEEE 802.1x协议的网络设备。

该设备对应于不同用户的端口有两个逻辑端口：受控(controlled Port)端口和非受控端口(uncontrolled Port)。

第一个逻辑接入点(非受控端口)，允许验证者和LAN 上其它计算机之间交换数据，而无需考虑计算机的身份验证状态如何。

非受控端口始终处于双向连通状态(开放状态)，主要用来传递EAPOL 协议帧，可保证客户端始终可以发出或接受认证。

第二个逻辑接入点(受控端口)，允许经验证的LAN 用户和验证者之间交换数据。

受控端口平时处于关闭状态，只有在客户端认证通过时才打开，用于传递数据和提供服务。

受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用程序。

如果用户未通过认证，则受控端口处于未认证(关闭)状态，则用户无法访问认证系统提供的服务。

(3)认证服务器：通常为RADIUS服务器，该服务器可以存储有关用户的信息，比如用户名和口令、用户所属的VLAN、优先级、用户的访问控制列表等。

IEEE802.1X标准1、介绍 802.1X是⼀个IEEE标准，通过对⽤户进⾏基于端⼝的安全认证和对密钥的动态管理，从⽽实现保护⽤户⽤户的位置隐私和⾝份隐私以及有效保护通信过程中信息安全的⽬的。

在802.1X协议中，只有具备了以下三个元素才能够完成基于端⼝的访问控制的⽤户认证和授权。

1、客户端 ⼀般安装在⽤户的⼯作站上，当⽤户有上⽹需求时，激活客户端程序，输⼊必要的⽤户名和⼝令，客户端程序将会送出连接请求。

2、认证系统 在以太⽹系统中认证交换机，其主要作⽤是完成⽤户认证信息的上传、下达⼯作，并根据认证的结果打开或关闭端⼝。

在⽆线⽹络中就是⽆线接⼊点。

3、认证服务器 通过检验客户端发送来的⾝份标识（⽤户名和⼝令）来判断⽤户是否有权使⽤⽹络系统提供的⽹络服务，并根据认证结果向交换机发出打开或保持端⼝关闭的状态。

2、802.1X认证步骤 802.1X中EAP-TLS认证在实现的具体交互内容： 1、最初的802.1X通讯开始以⼀个⾮认证客户端设备尝试去连接⼀个认证端（如AP)，客户端发送⼀个EAP起始消息。

然后开始客户端认证的⼀连串消息交换。

2、AP回复EAP请求⾝份消息。

3、客户端发送给认证服务器的EAP的响应信息包⾥包含了⾝份信息。

AP通过激活⼀个允许从客户端到AP有线端的认证服务器的EAP 包的端⼝，并关闭可其他所有的传输，像HTTP、DHCP和POP3包，直到AP通过认证服务器来验证⽤户端的⾝份。

4、认证服务器使⽤⼀种特殊的认证算法去验证客户端⾝份。

同样它也可以通过使⽤数字认证或其他类型的EAP认证。

5、认证服务器会发送同意或拒绝信息给这个AP。

6、AP发送⼀个EAP成功信息包（或拒绝信息包）给客户端 7、如果认证服务器认可这个客户端，那么AP将转换这个客户端到授权状态并转发其他的通信。

最重要的是，这个AP的软件是⽀持认证服务器⾥特定的EAP类型的，并且⽤户端设备的操作系统⾥或“Supplicant"(客户端设备）应⽤软件也要⽀持它。

802.1x协议解析缩略语RADIUS Remote Authentication Dial In User Service 远程用户拨入认证服务PAP Password Authentication Protocol 密码验证协议CHAP Challenge Handshake Authentication Protocol 质询握手验证协议EAP Extensible Authentication Protocol 扩展验证协议MD5Message-Digest Algorithm 5 消息摘要算法第五版本CAR Commit Access Rate 承诺访问速率EAPOL EAP Over LAN 基于LAN的扩展验证协议TACACS T erminal Access Controller Access Control System 终端访问控制器访问控制系统PAE Port Authentication Entity 端口认证实体一、802.1x协议概述802.1x起源于EAPoW，802.11协议802.1x是IEEE为了解决基于端口的接入控制（Port-Based Network Access Control）而定义的一个标准802.1x 作为一种基于端口的用户访问控制机制，由于其低成本、良好的业务连续性和扩充性以及较高的安全性和灵活性Windows XP/Windows 2003/Windows 7都集成了IEEE 802.1x客户端程序用户通过启动客户端程序发起802.1X认证，客户端必须支持EAPOL协议二、802.1x协议的体系结构802.1x协议的体系结构共包括3个重要部分客户端supplicant system PC机认证系统Authenticator system以太交换机/三层交换机认证服务器Authentication server RADIUS/TACACS+服务器<1>认证系统认证系统的端口被分成两个逻辑端口（受控端口和非受控端口）受控端口：受控端口在授权下处于连通状态，用于传递业务报文；受控端口在非授权状态下处于断开状态，禁止传递任何报文非受控端口：非受控端口始终处于双向连通状态，用于传递EAP认证报文受控端口和非受控端口是同一端口的两个部分；任何到达该端口的帧，在受控端口与非受控端口上均可见<2>受控方向受控端口在非授权状态下，可以被设置成双向受控和仅输入受控实行双向受控时，禁止帧的发送和接收实行仅输入受控时，禁止从客户端接收帧，但允许向客户端发送帧默认情况下，受控端口实行双向受控三、802.1X工作机制客户端与认证系统之间，采用EAPOL的封装格式，进行报文的交互认证系统与认证服务器（RADIUS服务器）之间，可以采用EAP/PAP/CHAP over RADIUS的三种封装格式，进行报文的交互认证系统根据RADIUS服务器的指示（Accept或Reject），来决定受控端口的状态为授权或非授权状态四、端口控制方式（物理端口、MAC、VLAN ID）<1>基于交换机物理端口实施的802.1x认证基于物理端口的控制方式，每个物理端口包含两个逻辑端口：受控端口和不受控端口。

dot1x认证原理
dot1x（IEEE 802.1X）是一种网络认证协议，用于控制局域网（LAN）端口的访问权限。

它的原理如下：
1. 开机认证：当设备（如计算机）连接到局域网的交换机端口时，交换机会对该端口进行认证过程。

初始状态下，交换机的此端口为“未授权”状态。

2. 通信开始：设备尝试通过端口进行通信，发送一个EAPOL （EAP Over LAN）Start消息给交换机。

EAPOL Start消息用于指示设备准备就绪，请求进行认证。

3. 交换机发起认证：交换机收到EAPOL Start消息后，会发送一个EAPOL Request/Identity消息给设备，要求设备提供身份标识。

4. 设备认证：设备收到EAPOL Request/Identity消息后，会向交换机发送一个EAPOL Response/Identity消息，其中包含设备的身份标识。

5. 认证服务器验证：交换机将EAPOL Response/Identity消息转发到认证服务器，认证服务器接收到设备的身份标识后，会对其进行验证。

6. 认证结果：认证服务器验证设备的身份，并返回一个认证结果给交换机，该结果可以是“通过”或“拒绝”。

7. 端口授权：如果设备通过认证，交换机将该端口标记为“授权”状态，并允许设备进行正常通信。

否则，端口会继续保持
为“未授权”状态，拒绝设备的通信。

8. 会话维持：一旦设备通过认证，交换机会继续监听设备的网络活动，以便在会话超时或其他认证条件变化时重新进行认证。

通过以上的认证过程，dot1x能够有效地控制网络的访问权限，提供更安全的局域网环境。

1、802.1x协议简介802.1x协议是基于Client/Server的访问控制和认证协议。

它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。

在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。

在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

802.1x认证包含三个角色：认证者--对接入的用户/设备进行认证的端口；请求者--被认证的用户/设备；认证服务器--根据认证者的信息，对请求访问网络资源的用户/设备进行实际认证功能的设备。

以太网的每个物理端口被分为受控和不受控的两个逻辑端口，物理端口收到的每个帧都被送到受控和不受控端口。

其中，不受控端口始终处于双向联通状态，主要用于传输认证信息。

而受控端口的联通或断开是由该端口的授权状态决定的。

受控端口与不受控端口的划分，分离了认证数据和业务数据，提高了系统的接入管理和接入服务提供的工作效率。

2、802.1x认证过程（1.客户端程序将发出请求认证的EAPoL-Start报文给交换机，开始启动一次认证过程。

（2.交换机收到请求认证的报文后，将发出一个EAP-Request/Identify报文要求用户的客户端程序将输入的用户信息送上来。

（3.客户端程序响应交换机发出的请求，将用户名信息通过EAP-Response/Identify报文送给交换机。

交换机通过Radius-Access-Request报文将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。

（4.认证服务器收到来自交换机的Radius-Access-Request报文，做如下几个操作：验证交换机的合法性：包括交换机的IP地址，以及RADIUS认证口令；验证RADIUS的ID字段中填入的账号是否有效；当上述两个条件满足的时候，给交换机应答此Radius-Access-Challenge报文。

802.1x重认证原理标题：802.1x重认证原理详解一、引言随着科技的发展和网络安全的日益重要，802.1x协议作为一种可扩展的身份验证协议，被广泛应用于无线网络接入控制。

它能有效防止未经授权的设备访问网络资源，保护网络的安全性。

本文将详细介绍802.1x重认证原理。

二、802.1x协议概述802.1x是一种基于端口的网络接入控制协议，由IEEE（电气电子工程师学会）制定。

它定义了用户接入网络时的身份认证过程，包括用户身份的鉴别、授权和计费等功能。

在802.1x协议中，主要涉及到三个角色：客户端、认证服务器和交换机。

三、802.1x重认证原理802.1x重认证是指当用户已经通过认证后，由于某些原因需要重新进行认证的过程。

这个过程中，客户端会发送一个EAP-Request/Identity给认证服务器，认证服务器接收到请求后，会发送一个EAP-Response/Identity给客户端，然后客户端根据接收到的信息判断是否需要重新认证。

重认证的主要原因是保持用户的在线状态，防止用户的非法使用。

例如，如果用户的账号密码发生了改变，或者用户的权限发生了变化，就需要重新进行认证。

此外，如果用户的设备更换或者移动到另一个位置，也需要重新进行认证。

四、802.1x重认证流程1. 客户端发起重认证请求：客户端向交换机发送一个EAP-Request/Identity消息，表示需要进行重认证。

2. 交换机转发请求：交换机接收到请求后，将其转发给认证服务器。

3. 认证服务器响应：认证服务器接收到请求后，会发送一个EAP-Response/Identity消息给交换机，表明接受重认证请求。

4. 交换机转发响应：交换机接收到响应后，将其转发给客户端。

5. 客户端进行重认证：客户端接收到响应后，会进行重新认证，包括输入新的账号密码等信息。

6. 认证服务器验证：认证服务器接收到客户端的新信息后，会进行验证。

7. 交换机控制端口状态：如果验证成功，交换机会打开相应的端口，允许客户端访问网络；如果验证失败，交换机会关闭相应的端口，阻止客户端访问网络。

802.1x概述和EAP类型802.1x概述使用什么?可扩展验证协议(EAP)验证类型802.1x概述它是一个通过验证来保护网络的端口访问协议。

根据测试结果,这种类型的验证方法中非常有用的WiFi 环境中因的性质,媒体。

如果一个WiFi用户通过802.1x网络访问验证,一个虚拟端口接入点上会打开允许进行通信。

如果验证不成功,则不会提供虚拟端口,并将阻断通信。

802.1x验证分为3个基本部分:1.请求者-上运行的软件客户端工作站的WiFi2.验证者-WiFi接入点3.验证服务器-一个验证数据库,通常是一个Radius服务器(例如Cisco*ACS*、FunkSteel-Belted RADIUS*或Microsoft*IAS*可扩展身份验证协议(EAP)是用于之间传输验证信息请求方(WiFi工作站)和验证服务器((Microsoft IAS 或其它)。

实际验证有EAP类型定义和处理。

作为验证者的接入点只是一个允许请求者和验证服务器之间进行通信的代理。

使用哪一?执行哪类EAP或是否执行802.1x取决于机构所需的安全级别和所需的额外管理和功能。

此处的说明和比较表将帮助减少了解各种可用EAP类型的困难。

可扩展验证协议(EAP)验证类型由于WiFi局域网(LAN)安全性是非常必要,EAP验证类型提供了一种更好地保障WLAN连接的方式,经销商正在迅速开发和添加EAP验证类型至他们的WLAN接入点。

部分最常部署的EAP验证类型包括EAP-MD-5、EAP-TLS、EAP-PEAP、EAP-TTLS、EAP-Fast和Cisco LEAP。

EAP-MD-5(消息摘要)质询是一种提供基本级别EAP支持的EAP验证类型。

EAP-MD-5通常不建议用于WiFi LAN执行,因为它可能衍生用户密码。

它仅提供单向验证-没有相互验证的WiFi 客户端和网络。

更为重要的是,它不提供衍生动态、按对话有限对等保密(WEP)密钥的方法。

802.1X认证原理802.1X(dot1x) 技术简介802.1X认证，又称为EAPOE（Extensible Authentication Protocol Over Ethernet）认证，主要目的是为了解决局域网用户接入认证问题。

802.1X认证时采用了RADIUS协议的一种认证方式，典型的C/S结构，包括终端、RADIUS客户端和RADIUS服务器。

802.1x简介：IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题，提出了802. 1X协议。

后来，802.1X协议作为局域网接口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。

802.1X协议是一种基于接口的网络接入控制协议。

“基于接口的网络接入控制”是指，在局域网接入设备的接口这一级，接入设备通过认证来控制用户对网络资源的访问。

802.1X认证的特点：o安全性高，认证控制点可部署在网络接入层或汇聚层。

o需要使用802.1x认证客户端或操作系统自带的802.1X客户端。

使用AnyOffice 时可以根据终端检查结果规格隔离于和后域。

o技术成熟，被广泛应用于各类型园区网员工接入。

802.1X认证应用场景：o有线接入层：安全性最高，设备管理复杂。

o有线汇聚层：安全性中高，设备少，管理方便。

o无线接入：安全性高，设备少，管理方便。

802.1X系统架构：802.1X系统为典型的Client/Server结构，包括三个实体：客户端、接入设备和认证服务器。

o客户端是位于局域网段一端的一个实体，由该链路另一端的接入设备对其进行认证。

客户端一般为一个用户终端设备，用户可以通过启动客户端软件发起802.1X认证。

客户端必须支持局域网上的可扩展认证协议EAPOL（Extensible Authentication Protocol over LAN）。

o接入设备是位于局域网段一端的另一个实体，对所连接的客户端进行认证。

二层网管交换机应用——802.1x认证（网络安全接入控制）802.1x认证介绍802.1x协议作为局域网端口的接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。

802.1x 协议是一种基于端口的网络接入控制协议，“基于端口的网络接入控制”是指在局域网接入设备的端口这一级，对所接入的用户设备进行认证和控制。

连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。

TL-SL5428 802.1x认证接入实现示例拓扑结构图中以TL-SG2224E做为中心交换机，TL-SL5428做为接入交换机，802.1x认证服务器接在TL-SG2224E上。

下面将介绍实现局域网中每台设备通过802.1x认证接入的配置过程。

1.搭建Radius认证服务器本文以试用版的WinRadius做为认证服务端。

（也可以在Windows Server 上搭建Radius认证服务器。

有关服务器的搭建方法请在网上参考相关资料）认证服务器上的配置：● 服务器IP地址：192.168.1.250● 认证端口：1812● 计费端口：1813● 密钥：fae● 服务器上设置用户账号2.配置TL-SL5428的802.1x功能● Radius配置将服务器上的相关设置对应配置在交换机上。

如果不需要进行上网计费，则不需要启用计费功能。

● 端口配置i. 不启用TL-SL5428级联端口(28端口)的802.1x认证，使认证服务器的在任何时候都能通过该端口接入网络以便认证客户端。

ii.配置其它需要认证的端口。

（TL-SL5428可同时支持基于MAC和Port的认证，这里均采用基于MAC的认证方式）注：● 如果端口的“状态”处于禁用，则该端口下的设备不需要进行认证，始终处于接入网络的状态。

● 控制类型中，“基于MAC”意为着该端口下的所有设备必需单独进行认证，认证通过后才能接入网络；“基于Port”意味着该端口下只要有一台设备认证通过，其它设备不再需要认证也能接入网络。

802.1XIEEE802 LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1X协议。

后来，802.1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。

802.1X协议是一种基于端口的网络接入控制协议（port based network access control protocol）。

“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。

连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。

802.1X的体系结构802.1X系统为典型的Client/Server结构，如图 1所示，包括三个实体：客户端（Client）、设备端（Device）和认证服务器（Server）。

图1 802.1X认证系统的体系结构•客户端是位于局域网段一端的一个实体，由该链路另一端的设备端对其进行认证。

客户端一般为一个用户终端设备，用户可以通过启动客户端软件发起802.1X认证。

客户端必须支持EAPOL（Extensible Authentication Protocol overLAN，局域网上的可扩展认证协议）。

•设备端是位于局域网段一端的另一个实体，对所连接的客户端进行认证。

设备端通常为支持802.1X协议的网络设备，它为客户端提供接入局域网的端口，该端口可以是物理端口，也可以是逻辑端口。

•认证服务器是为设备端提供认证服务的实体。

认证服务器用于实现对用户进行认证、授权和计费，通常为RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）服务器。

802.1X的认证方式802.1X认证系统使用EAP（Extensible Authentication Protocol，可扩展认证协议），来实现客户端、设备端和认证服务器之间认证信息的交换。

1 功能需求及组网说明『配置环境参数』1. 交换机vlan10包含端口E0/1—E0/10接口地址10。

10。

1。

1/242. 交换机vlan20包含端口E0/11—E0/20接口地址10。

10。

2.1/243。

交换机vlan100包含端口G1/1接口地址192。

168.0。

1/244. RADIUS server地址为192。

168.0.100/245。

本例中交换机为三层交换机『组网需求』1。

PC1和PC2能够通过交换机本地认证上网2. PC1和PC2能够通过RADIUS认证上网2 数据配置步骤『802。

1X本地认证流程』用户输入用户名和密码，报文送达交换机端口，此时交换机相应端口对于此用户来说是非授权状态，报文打上相应端口的PVID，然后根据用户名所带域名送到相应域中进行认证,如果没有带域名就送到缺省域中进行认证，如果存在相应的用户名和密码,就返回认证成功消息,此时端口对此用户变为授权状态，如果用户名不存在或者密码错误等，就返回认证不成功消息，端口仍然为非授权状态。

【SwitchA相关配置】1. 创建（进入)vlan10［SwitchA]vlan 102. 将E0/1—E0/10加入到vlan10［SwitchA—vlan10］port Ethernet 0/1 to Ethernet 0/103. 创建（进入)vlan10的虚接口[SwitchA]interface Vlan-interface 104。

给vlan10的虚接口配置IP地址［SwitchA-Vlan-interface10]ip address 10。

10。

1.1 255。

255。

255。

05。

创建(进入)vlan20[SwitchA—vlan10]vlan 206. 将E0/11—E0/20加入到vlan20[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/207. 创建（进入）vlan20虚接口[SwitchA]interface Vlan-interface 208. 给vlan20虚接口配置IP地址［SwitchA-Vlan—interface20]ip address 10。

ieee 802.1系列记忆方法-回复IEEE 802.1系列记忆方法是一种将网络协议标准整理并归类的方法，以便于理解和记忆。

这一系列标准定义了网络中的局域网（LAN）和广域网（WAN）的框架、协议和功能。

本文将以"IEEE 802.1系列记忆方法"为主题，一步一步回答相关问题。

第一步：了解IEEE 802.1系列标准的概述IEEE 802.1系列标准是由IEEE（电气和电子工程师学会）制定的一组涉及网络技术和网络管理的标准。

该系列标准主要关注局域网和广域网的连接、管理和安全等方面。

主要包括以下几个子标准：1. 802.1D：此标准定义了网桥的功能、协议和算法，用于构建以太网的树形拓扑以提高网络的可靠性和冗余性。

2. 802.1Q：该标准定义了虚拟局域网（VLAN）的概念和协议，可以将一个物理网络划分成多个逻辑上的子网。

3. 802.1X：此标准为网络提供了一种认证框架，用于控制对特定资源的访问权限，以提高网络的安全性。

4. 802.1AB：该标准定义了链路层发现协议（LLDP），用于发现和描述网络中连接的设备和拓扑信息。

第二步：学习IEEE 802.1系列标准的细节1. 802.1D：此标准中包括了Spanning Tree Protocol（STP）和Rapid Spanning Tree Protocol（RSTP）两种协议。

STP用于在有环的网络拓扑中防止广播风暴和数据包的重复传输。

RSTP是STP的改进版本，提供更快的网络收敛时间。

2. 802.1Q：该标准允许管理员将一个以太网拆分成多个虚拟局域网。

它通过添加一个VLAN标签（VLAN Tag）来识别不同的虚拟局域网。

这样可以实现逻辑划分和隔离，提高网络的性能和安全性。

3. 802.1X：此标准定义了一种认证框架，用于网络设备与认证服务器之间的交互。

通过认证和授权流程，可以限制对网络资源的访问，提高网络的安全性。

4. 802.1AB：该标准中定义了链路层发现协议（LLDP），它允许网络设备发送和接收关于自己和其连接邻居的信息。

802.1X协议是由(美)电气与电子工程师协会提出，刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议，其全称为基于端口的访问控制协议。

它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段，达到了接受合法用户接入，保护网络安全的目的。

802.1x 认证，又称EAPOE认证，主要用于宽带IP城域网。

一、802.1x认证技术的起源802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。

有线局域网通过固定线路连接组建，计算机终端通过网线接入固定位置物理端口，实现局域网接入，这些固定位置的物理端口构成有线局域网的封闭物理空间。

但是，由于无线局域网的网络空间具有开放性和终端可移动性，因此很难通过网络物理空间来界定终端是否属于该网络，因此，如何通过端口认证来防止其他公司的计算机接入本公司无线网络就成为一项非常现实的问题，802.1x 正是基于这一需求而出现的一种认证技术。

也就是说，对于有线局域网，该项认证没有存在的意义。

由此可以看出，802.1x协议并不是为宽带IP城域网量身定做的认证技术，将其应用于宽带IP城域网，必然会有其局限性，下面将详细说明该认证技术的特点，并与PPPOE认证、VLAN＋WEB认证进行比较，并分析其在宽带IP城域网中的应用。

二、802.1x认证技术的特点802.1x协议仅仅关注端口的打开与关闭，对于合法用户（根据帐号和密码）接入时，该端口打开，而对于非法用户接入或没有用户接入时，则该端口处于关闭状态。

认证的结果在于端口状态的改变，而不涉及通常认证技术必须考虑的IP地址协商和分配问题，是各种认证技术中最简化的实现方案。

802.1x认证技术的操作粒度为端口，合法用户接入端口之后，端口处于打开状态，因此其它用户（合法或非法）通过该端口时，不需认证即可接入网络。