下载文档原格式
IEEE802.1X标准1、介绍 802.1X是⼀个IEEE标准,通过对⽤户进⾏基于端⼝的安全认证和对密钥的动态管理,从⽽实现保护⽤户⽤户的位置隐私和⾝份隐私以及有效保护通信过程中信息安全的⽬的。
在802.1X协议中,只有具备了以下三个元素才能够完成基于端⼝的访问控制的⽤户认证和授权。
1、客户端 ⼀般安装在⽤户的⼯作站上,当⽤户有上⽹需求时,激活客户端程序,输⼊必要的⽤户名和⼝令,客户端程序将会送出连接请求。
2、认证系统 在以太⽹系统中认证交换机,其主要作⽤是完成⽤户认证信息的上传、下达⼯作,并根据认证的结果打开或关闭端⼝。
在⽆线⽹络中就是⽆线接⼊点。
3、认证服务器 通过检验客户端发送来的⾝份标识(⽤户名和⼝令)来判断⽤户是否有权使⽤⽹络系统提供的⽹络服务,并根据认证结果向交换机发出打开或保持端⼝关闭的状态。
2、802.1X认证步骤 802.1X中EAP-TLS认证在实现的具体交互内容: 1、最初的802.1X通讯开始以⼀个⾮认证客户端设备尝试去连接⼀个认证端(如AP),客户端发送⼀个EAP起始消息。
然后开始客户端认证的⼀连串消息交换。
2、AP回复EAP请求⾝份消息。
3、客户端发送给认证服务器的EAP的响应信息包⾥包含了⾝份信息。
AP通过激活⼀个允许从客户端到AP有线端的认证服务器的EAP 包的端⼝,并关闭可其他所有的传输,像HTTP、DHCP和POP3包,直到AP通过认证服务器来验证⽤户端的⾝份。
4、认证服务器使⽤⼀种特殊的认证算法去验证客户端⾝份。
同样它也可以通过使⽤数字认证或其他类型的EAP认证。
5、认证服务器会发送同意或拒绝信息给这个AP。
6、AP发送⼀个EAP成功信息包(或拒绝信息包)给客户端 7、如果认证服务器认可这个客户端,那么AP将转换这个客户端到授权状态并转发其他的通信。
最重要的是,这个AP的软件是⽀持认证服务器⾥特定的EAP类型的,并且⽤户端设备的操作系统⾥或“Supplicant"(客户端设备)应⽤软件也要⽀持它。
802.1x协议解析缩略语RADIUS Remote Authentication Dial In User Service 远程用户拨入认证服务PAP Password Authentication Protocol 密码验证协议CHAP Challenge Handshake Authentication Protocol 质询握手验证协议EAP Extensible Authentication Protocol 扩展验证协议MD5Message-Digest Algorithm 5 消息摘要算法第五版本CAR Commit Access Rate 承诺访问速率EAPOL EAP Over LAN 基于LAN的扩展验证协议TACACS T erminal Access Controller Access Control System 终端访问控制器访问控制系统PAE Port Authentication Entity 端口认证实体一、802.1x协议概述802.1x起源于EAPoW,802.11协议802.1x是IEEE为了解决基于端口的接入控制(Port-Based Network Access Control)而定义的一个标准802.1x 作为一种基于端口的用户访问控制机制,由于其低成本、良好的业务连续性和扩充性以及较高的安全性和灵活性Windows XP/Windows 2003/Windows 7都集成了IEEE 802.1x客户端程序用户通过启动客户端程序发起802.1X认证,客户端必须支持EAPOL协议二、802.1x协议的体系结构802.1x协议的体系结构共包括3个重要部分客户端supplicant system PC机认证系统Authenticator system以太交换机/三层交换机认证服务器Authentication server RADIUS/TACACS+服务器<1>认证系统认证系统的端口被分成两个逻辑端口(受控端口和非受控端口)受控端口:受控端口在授权下处于连通状态,用于传递业务报文;受控端口在非授权状态下处于断开状态,禁止传递任何报文非受控端口:非受控端口始终处于双向连通状态,用于传递EAP认证报文受控端口和非受控端口是同一端口的两个部分;任何到达该端口的帧,在受控端口与非受控端口上均可见<2>受控方向受控端口在非授权状态下,可以被设置成双向受控和仅输入受控实行双向受控时,禁止帧的发送和接收实行仅输入受控时,禁止从客户端接收帧,但允许向客户端发送帧默认情况下,受控端口实行双向受控三、802.1X工作机制客户端与认证系统之间,采用EAPOL的封装格式,进行报文的交互认证系统与认证服务器(RADIUS服务器)之间,可以采用EAP/PAP/CHAP over RADIUS的三种封装格式,进行报文的交互认证系统根据RADIUS服务器的指示(Accept或Reject),来决定受控端口的状态为授权或非授权状态四、端口控制方式(物理端口、MAC、VLAN ID)<1>基于交换机物理端口实施的802.1x认证基于物理端口的控制方式,每个物理端口包含两个逻辑端口:受控端口和不受控端口。
IEEE 802.1x协议起源于802.11,其主要⽬的是为了解决⽆线局域⽤户的接⼊认证问题。
802.1x 协议⼜称为基于端⼝的访问控制协议,可提供对802.11⽆线局域和对有线以太络的验证的络访问权限。
802.1x协议仅仅关注端⼝的打开与关闭,对于合法⽤户接⼊时,打开端⼝;对于⾮法⽤户接⼊或没有⽤户接⼊时,则端⼝处于关闭状态。
IEEE 802.1x协议的体系结构主要包括三部分实体:客户端Supplicant System、认证系统Authenticator System、认证服务器Authentication Server System. (1)客户端:⼀般为⼀个⽤户终端系统,该终端系统通常要安装⼀个客户端软件,⽤户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。
(2)认证系统:通常为⽀持IEEE 802.1x协议的络设备。
该设备对应于不同⽤户的端⼝有两个逻辑端⼝:受控(controlled Port)端⼝和⾮受控端⼝(uncontrolled Port)。
第⼀个逻辑接⼊点(⾮受控端⼝),允许验证者和 LAN 上其它计算机之间交换数据,⽽⽆需考虑计算机的⾝份验证状态如何。
⾮受控端⼝始终处于双向连通状态(开放状态),主要⽤来传递EAPOL协议帧,可保证客户端始终可以发出或接受认证。
第⼆个逻辑接⼊点(受控端⼝),允许经验证的 LAN ⽤户和验证者之间交换数据。
受控端⼝平时处于关闭状态,只有在客户端认证通过时才打开,⽤于传递数据和提供服务。
受控端⼝可配置为双向受控、仅输⼊受控两种⽅式,以适应不同的应⽤程序。
如果⽤户未通过认证,则受控端⼝处于未认证(关闭)状态,则⽤户⽆法访问认证系统提供的服务。
(3)认证服务器:通常为RADIUS服务器,该服务器可以存储有关⽤户的信息,⽐如⽤户名和⼝令、⽤户所属的VLAN、优先级、⽤户的访问控制列表等。
当⽤户通过认证后,认证服务器会把⽤户的相关信息传递给认证系统,由认证系统构建动态的访问控制列表,⽤户的后续数据流就将接接受上述参数的监管。
802.1x重认证原理标题:802.1x重认证原理详解一、引言随着科技的发展和网络安全的日益重要,802.1x协议作为一种可扩展的身份验证协议,被广泛应用于无线网络接入控制。
它能有效防止未经授权的设备访问网络资源,保护网络的安全性。
本文将详细介绍802.1x重认证原理。
二、802.1x协议概述802.1x是一种基于端口的网络接入控制协议,由IEEE(电气电子工程师学会)制定。
它定义了用户接入网络时的身份认证过程,包括用户身份的鉴别、授权和计费等功能。
在802.1x协议中,主要涉及到三个角色:客户端、认证服务器和交换机。
三、802.1x重认证原理802.1x重认证是指当用户已经通过认证后,由于某些原因需要重新进行认证的过程。
这个过程中,客户端会发送一个EAP-Request/Identity给认证服务器,认证服务器接收到请求后,会发送一个EAP-Response/Identity给客户端,然后客户端根据接收到的信息判断是否需要重新认证。
重认证的主要原因是保持用户的在线状态,防止用户的非法使用。
例如,如果用户的账号密码发生了改变,或者用户的权限发生了变化,就需要重新进行认证。
此外,如果用户的设备更换或者移动到另一个位置,也需要重新进行认证。
四、802.1x重认证流程1. 客户端发起重认证请求:客户端向交换机发送一个EAP-Request/Identity消息,表示需要进行重认证。
2. 交换机转发请求:交换机接收到请求后,将其转发给认证服务器。
3. 认证服务器响应:认证服务器接收到请求后,会发送一个EAP-Response/Identity消息给交换机,表明接受重认证请求。
4. 交换机转发响应:交换机接收到响应后,将其转发给客户端。
5. 客户端进行重认证:客户端接收到响应后,会进行重新认证,包括输入新的账号密码等信息。
6. 认证服务器验证:认证服务器接收到客户端的新信息后,会进行验证。
7. 交换机控制端口状态:如果验证成功,交换机会打开相应的端口,允许客户端访问网络;如果验证失败,交换机会关闭相应的端口,阻止客户端访问网络。
802.1X集成Radius认证802.1X是一种网络访问控制协议,它提供了对网络中用户和设备的认证和授权。
Radius(远程身份验证拨号用户服务)是一种用于网络访问控制的认证和授权协议。
802.1X集成Radius认证意味着将这两种协议结合在一起使用,以增强网络的安全性和管理能力。
802.1X协议的主要目的是验证连接到LAN或WLAN的用户或设备的身份,并根据他们的认证状态控制他们的访问权限。
它是一种基于端口的认证方法,只有在用户或设备提供有效的凭证后,才能建立网络连接。
这可以防止未授权的用户或设备访问网络资源,保护网络的安全性。
Radius协议是一种用于网络认证和授权的协议,它通过对用户身份进行验证,并为其分配相应的权限和访问级别来控制网络访问。
Radius服务器负责处理用户认证请求,并与认证服务器进行通信进行身份验证和授权。
集成Radius认证意味着802.1X协议将使用Radius服务器来处理认证请求和授权决策。
802.1X集成Radius认证提供了许多优势。
首先,它增强了网络的安全性。
通过要求用户或设备提供有效的凭证,并通过Radius服务器进行身份验证,可以防止未经授权的用户或设备访问网络资源。
这可以减少网络攻击的风险,保护敏感数据和资源的安全性。
其次,802.1X集成Radius认证提供了更好的管理能力。
通过使用Radius服务器,网络管理员可以更轻松地管理和控制用户对网络资源的访问。
他们可以根据用户的身份和权限,对其进行精确的访问控制。
此外,管理员还可以跟踪和审计用户的网络活动,以确保他们的行为符合网络策略和合规要求。
另外,802.1X集成Radius认证还可以支持灵活的网络配置和部署。
由于Radius协议的灵活性,网络管理员可以根据实际需求和网络拓扑来配置和部署认证和授权策略。
他们可以定义不同的认证方法、访问权限和策略,并将其应用到不同的网络设备和用户上。
最后,802.1X集成Radius认证还提供了互操作性。
IEEE802.1x是IEEE2001年6月通过的基于端口访问控制的接入管理协议标准。
IEEE802系列LAN标准是目前居于主导地位的局域网络标准,传统的IEEE802协议定义的局域网不提供接入认证,只要用户能接入局域网控制设备,如传统的LanSwitch,用户就可以访问局域网中的设备或资源,这是一个安全隐患。
对于移动办公,驻地网运营等应用,设备提供者希望能对用户的接入进行控制和配置,此外还存在计费的需求。
IEEE802.1x是一种基于端口的网络接入控制技术,在LAN 设备的物理接入级对接入设备进行认证和控制,此处的物理接入级指的是LanSwitch设备的端口。
连接在该类端口上的用户设备如果能通过认证,就可以访问LAN 内的资源;如果不能通过认证,则无法访问LAN 内的资源,相当于物理上断开连接。
下面首先让我们了解一下IEEE802.1x端口访问控制协议的体系结构。
1.IEEE802.1x体系介绍虽然IEEE802.1x定义了基于端口的网络接入控制协议,但是需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。
典型的应用方式有:LanSwitch 的一个物理端口仅连接一个End Station,这是基于物理端口的;IEEE 802.11定义的无线LAN 接入方式是基于逻辑端口的。
图1 IEEE802.1x的体系结构IEEE802.1x的体系结构中包括三个部分:Supplicant System,用户接入设备;Authenticator System,接入控制单元;Authentication Sever System,认证服务器。
在用户接入层设备(如LanSwitch)实现IEEE802.1x的认证系统部分,即Authenticator;IEEE802.1x的客户端一般安装在用户PC中,典型的为Windows XP操作系统自带的客户端;IEEE802.1x的认证服务器系统一般驻留在运营商的AAA中心。
802.1X认证原理802.1X(dot1x) 技术简介802.1X认证,又称为EAPOE(Extensible Authentication Protocol Over Ethernet)认证,主要目的是为了解决局域网用户接入认证问题。
802.1X认证时采用了RADIUS协议的一种认证方式,典型的C/S结构,包括终端、RADIUS客户端和RADIUS服务器。
802.1x简介:IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802. 1X协议。
后来,802.1X协议作为局域网接口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。
802.1X协议是一种基于接口的网络接入控制协议。
“基于接口的网络接入控制”是指,在局域网接入设备的接口这一级,接入设备通过认证来控制用户对网络资源的访问。
802.1X认证的特点:o安全性高,认证控制点可部署在网络接入层或汇聚层。
o需要使用802.1x认证客户端或操作系统自带的802.1X客户端。
使用AnyOffice 时可以根据终端检查结果规格隔离于和后域。
o技术成熟,被广泛应用于各类型园区网员工接入。
802.1X认证应用场景:o有线接入层:安全性最高,设备管理复杂。
o有线汇聚层:安全性中高,设备少,管理方便。
o无线接入:安全性高,设备少,管理方便。
802.1X系统架构:802.1X系统为典型的Client/Server结构,包括三个实体:客户端、接入设备和认证服务器。
o客户端是位于局域网段一端的一个实体,由该链路另一端的接入设备对其进行认证。
客户端一般为一个用户终端设备,用户可以通过启动客户端软件发起802.1X认证。
客户端必须支持局域网上的可扩展认证协议EAPOL(Extensible Authentication Protocol over LAN)。
o接入设备是位于局域网段一端的另一个实体,对所连接的客户端进行认证。
802.1X协议是由(美)电气与电子工程师协会提出,刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议,其全称为基于端口的访问控制协议。
它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段,达到了接受合法用户接入,保护网络安全的目的。
802.1x认证,又称EAPOE认证,主要用于宽带IP城域网。
一、802.1x认证技术的起源802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。
有线局域网通过固定线路连接组建,计算机终端通过网线接入固定位置物理端口,实现局域网接入,这些固定位置的物理端口构成有线局域网的封闭物理空间。
但是,由于无线局域网的网络空间具有开放性和终端可移动性,因此很难通过网络物理空间来界定终端是否属于该网络,因此,如何通过端口认证来防止其他公司的计算机接入本公司无线网络就成为一项非常现实的问题,802.1x正是基于这一需求而出现的一种认证技术。
也就是说,对于有线局域网,该项认证没有存在的意义。
由此可以看出,802.1x协议并不是为宽带IP城域网量身定做的认证技术,将其应用于宽带IP城域网,必然会有其局限性,下面将详细说明该认证技术的特点,并与PPPOE认证、VLAN +WEB认证进行比较,并分析其在宽带IP城域网中的应用。
二、802.1x认证技术的特点802.1x协议仅仅关注端口的打开与关闭,对于合法用户(根据帐号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则该端口处于关闭状态。
认证的结果在于端口状态的改变,而不涉及通常认证技术必须考虑的IP地址协商和分配问题,是各种认证技术中最简化的实现方案。
802.1x认证技术的操作粒度为端口,合法用户接入端口之后,端口处于打开状态,因此其它用户(合法或非法)通过该端口时,不需认证即可接入网络。
802.1X和EAP类型一、802.1x 概述它是一种通过认证保护网络的端口访问协议。
此类型的验证方法在无线环境中因该媒体的性质而特别有用。
如果无线用户通过802.1x 网络访问验证,接入点上会打开一个用于通信的虚拟端口。
如果验证不成功,则不会提供虚拟端口,并将阻断通信。
802.1x 验证分为3 个基本部分:1.请求者- 在无线工作站上运行的软件客户端2.验证者- 无线接入点3.认证服务器- 一个认证数据库,通常是一个Radius 服务器(例如Cisco ACS*、Funk Steel-Belted RADIUS* 或Microsoft* IAS*)EAP (可扩展验证协议) 用于在请求者(无线工作站)和验证服务器((Microsoft IAS 或其它)之间传输验证信息。
实际验证有EAP 类型定义和处理。
作为验证者的接入点只是一个允许请求者和验证服务器之间进行通信的代理。
可扩展验证协议(EAP) 验证类型由于WLAN 安全是非常必要,EAP 验证类型提供了一种更好地保障WLAN 连接的方式,经销商正在迅速开发和添加EAP 验证类型至他们的WLAN 接入点。
部分最常部署的EAP 验证类型包括EAP-MD-5、EAP-TLS、EAP-PEAP、EAP-Fast 和Cisco LEAP。
EAP-MD-5 (消息摘要) 质询是一种提供基本级别EAP 支持的EAP 验证类型。
EAP-MD-5 通常不建议用于无线LAN 执行,因为它可能衍生用户密码。
它仅提供单向验证- 无法进行无线客户端和网络之间的互相验证。
更为重要的是,它不提供衍生动态、按对话有限对等保密(WEP)密钥的方法。
EAP-TLS (传输层安全) 提供为客户端和网络提供基于证书及相互的验证。
它依赖客户端和服务器方面的证书进行验证,可用于动态生成基于用户和通话的WEP 密钥以保障WLAN 客户端和接入点之间的通信。
EAP-TLS 的不足之处在于必须由客户端和服务器端双方管理证书。
802.1X
802.1x架构图
802.1x协议是基于Client/Server的访问控制和认证协议。
它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。
在获得交换机或LAN 提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。
在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
802.1x协议
802.1x协议是基于Client/Server的访问控制和认证协议。
它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。
在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/
设备进行认证。
在认证通过之前,802.1x只允许EAPoL(基于局域网的扩
展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
网络访问技术的核心部分是PAE(端口访问实体)。
在访问控制流程中,端口访问实体包含3部分:认证者--对接入的用户/设备进行认证的端口;请求者--被认证的用户/设备;认证服务器--根据认证者的信息,对请求访问网络资源的用户/设备进行实际认证功能的设备。
以太网的每个物理端口被分为受控和不受控的两个逻辑端口,物理端口收到的每个帧都被送到受控和不受控端口。
其中,不受控端口始终处于双向联通状态,主要用于传输认证信息。
而受控端口的联通或断开是由该端口的授权状态决定的。
认证者的PAE根据认证服务器认证过程的结果,控制"受控端口"的授权/未授权状态。
处在未授权状态的控制端口将拒绝用户/设备的访问。
受控端口与不受控端口的划分,分离了认证数据和业务数据,提高了系统的接入管理和接入服务提供的工作效率。
802.1x认证特点
基于以太网端口认证的802.1x协议有如下特点:IEEE802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本;借用了在RAS系统中常用的EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容;802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能,从而可以实现业务与认证的分离,由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制,业务报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包;可以使用现有的后台认证系统降低部署的成本,并有丰富的业务支持;可以映射不同的用户认证等级到不同的VLAN;可以使交换端口和无线LAN具有安全的认证接入功能。
802.1x工作过程
(1.当用户有上网需求时打开802.1X客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。
此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。
(2.交换机收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。
(3.客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给交换机。
交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。
(4.认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给交换机,由交换机传给客户端程序。
(5.客户端程序收到由交换机传来的加密字后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的),并通过交换机传给认证服务器。
(6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。
否则,反馈认证失败的消息,并保持交换机端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。
802.1x应用环境特点
(1)交换式以太网络环境
对于交换式以太网络中,用户和网络之间采用点到点的物理连接,用户彼此之间通过VLAN隔离,此网络环境下,网络管理控制的关键是用户接入控制,802.1x不需要提供过多的安全机制。
(2)共享式网络环境
当802.1x应用于共享式的网络环境时,为了防止在共享式的网络环境中出现类似“搭载”的问题,有必要将PAE实体由物理端口进一步扩展为多个互相独立的逻辑端口。
逻辑端口和用户/设备形成一一对应关系,并且各逻辑端口之间的认证过程和结果相互独立。
在共享式网络中,用户之间共享接入物理媒介,接入网络的管理控制必须兼顾用户接入控制和用户数据安全,可以采用的安全措施是对EAPoL和用户的其它数据进行加密封装。
在实际网络环境中,可以通过加速WEP密钥重分配周期,弥补WEP静态分配秘钥导致的安全性的缺陷。
802.1x认证的安全性分析
802.1x协议中,有关安全性的问题一直是802.1x反对者攻击的焦点。
实际上,这个问题的确困扰了802.1x技术很长一段时间,甚至限制了802.1x 技术的应用。
但技术的发展为这个问题给出了答案:802.1x结合EAP,可以提供灵活、多样的认证解决方案。
802.1x认证的优势
综合IEEE802.1x的技术特点,其具有的优势可以总结为以下几点。
简洁高效:纯以太网技术内核,保持了IP网络无连接特性,不需要进行协议间的多层封装,去除了不必要的开销和冗余;消除网络认证计费瓶颈和单点故障,易于支持多业务和新兴流媒体业务。
容易实现:可在普通L3、L2、IPDSLAM上实现,网络综合造价成本低,保留了传统AAA认证的网络架构,可以利用现有的RADIUS设备。
安全可靠:在二层网络上实现用户认证,结合MAC、端口、账户、VLAN 和密码等;绑定技术具有很高的安全性,在无线局域网网络环境中802.1x 结合EAP-TLS,EAP-TTLS,可以实现对WEP证书密钥的动态分配,克服无线局域网接入中的安全漏洞。
行业标准:IEEE标准,和以太网标准同源,可以实现和以太网技术的无缝融合,几乎所有的主流数据设备厂商在其设备,包括路由器、交换机和无线AP上都提供对该协议的支持。
在客户端方面微软WindowsXP操作系统内置支持,Linux也提供了对该协议的支持。
应用灵活:可以灵活控制认证的颗粒度,用于对单个用户连接、用户ID或者是对接入设备进行认证,认证的层次可以进行灵活的组合,满足特定的接入技术或者是业务的需要。
易于运营:控制流和业务流完全分离,易于实现跨平台多业务运营,少量改造传统包月制等单一收费制网络即可升级成运营级网络,而且网络的运营成本也有望降低。
802.1X认证标准
Template:Expand IEEE 802.1X是IEEE制定关于用户接入网络的认证标准(注意:此处X是大写,详细请参看IEEE关于命名的解释)。
它的全称是“基于端口的网络接入控制”。
于2001年标准化,之后为了配合无线网络的接入进行修订改版,于2004年完成。
IEEE 802.1X协议在用户接入网络(可以是以太网,也可以是Wi-Fi网)之前运行,运行于网络中的MAC层。
EAP协议RADIUS协议。
cs:IEEE 802.1X de:IEEE 802.1x en:IEEE 802.1X es:IEEE 802.1X fi:802.1x fr:IEEE 802.1X it:IEEE 802.1x pl:802.1X
IEEE802.1x协议具有完备的用户认证、管理功能,可以很好的支撑宽带网络的计费、安全、运营和管理要求,对宽带IP城域网等电信级网络的运营和管理具有极大的优势。
IEEE802.1x协议对认证方式和认证体系结构上进行了优化,解决了传统PPPOE和WEB/PORTAL认证方式带来的问题,更加适合在宽带以太网中的使用。
