淺談802.x認(rèn)證
802.1x協(xié)議是基于Client/Server的訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口(access port)訪問LAN/WLAN。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前,802.1x對(duì)連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過之前,802.1x只允許EAPOL(基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議)數(shù)據(jù)通過設(shè)備連接的交換機(jī)端口;認(rèn)證通過以后,正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。
作用
一、802.1x是一個(gè)認(rèn)證協(xié)議,是一種對(duì)用戶進(jìn)行認(rèn)證的方法和策略。
二、802.1x是基于端口的認(rèn)證策略(可以是物理端口也可以是VLAN一樣的邏輯端口,相對(duì)于無線局域網(wǎng)“端口”就是一條信道)
三、802.1x的認(rèn)證的最終目的就是確定一個(gè)端口是否可用。對(duì)于一個(gè)端口,如果認(rèn)證成功就“打開”這個(gè)端口,允許所有報(bào)文通過;如果認(rèn)證不成功就使這個(gè)端口保持“關(guān)閉”,此時(shí)只允許802.1x的認(rèn)證報(bào)文EAPOL(Extensible Authentiaction Protocol over LAN)通過。
802.1x的認(rèn)證系統(tǒng)分為三部分結(jié)構(gòu):
客戶端:就是需要通過認(rèn)證來享受網(wǎng)絡(luò)服務(wù)的設(shè)備,必須要支持EAPOL協(xié)議。(Extensible Authentication Protocol over LAN,局域網(wǎng)上的可擴(kuò)展認(rèn)證協(xié)議)
設(shè)備端:對(duì)客戶端設(shè)備執(zhí)行認(rèn)證監(jiān)測(cè)并轉(zhuǎn)發(fā)認(rèn)證數(shù)據(jù)的設(shè)備,其本身不對(duì)客戶端上報(bào)的認(rèn)證信息進(jìn)行匹配認(rèn)證,只是一個(gè)中介,用于聯(lián)系客戶端和認(rèn)證服務(wù)器。
認(rèn)證服務(wù)器:是為客戶端提供認(rèn)證服務(wù)的真家伙,是設(shè)備端背后默默支持的人。用于對(duì)設(shè)備端實(shí)現(xiàn)認(rèn)證、授權(quán)和計(jì)費(fèi),通常為RADIUS(Remote Authentication Dial-In UserService,遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù))服務(wù)器。
802.1x認(rèn)證的優(yōu)點(diǎn)
一、802.1x協(xié)議為二層協(xié)議,不需要到達(dá)三層,而且接入層交換機(jī)無須支持802.1x的VLAN對(duì)設(shè)備的整體性能要求不高,可以有效降低建網(wǎng)成本。
二、通過組播實(shí)現(xiàn),解決其他認(rèn)證協(xié)議廣播問題,對(duì)組播業(yè)務(wù)的支持性好。
三、業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上,用戶通過認(rèn)證后,業(yè)務(wù)流和認(rèn)證流實(shí)現(xiàn)分離,對(duì)后續(xù)的數(shù)據(jù)包處理沒有特殊要求。