IEEE8021x技术..docxVIP

IEEE 802.1 协议介绍协议的开发背景在IEEE802 LAN所定义的局域网环境中，只要存在物理的连接接口，未经授权的网络设备就可以接入局域网，或者是未经授权的用户可以通过连接到局域网的设备进入网络。例如：一个可以访问公共网络的大厦的办公网，或者是某个组织机构与其他组织连接的网络。在这样的网络环境中，往往不希望未经授权的设备或用户连接到网络，使用网络提供的服务。后来，随着局域网技术的广泛应用，特别是在运营网络中的应用，对其安全认证的要求已经提到了议事日程上。如何既能够利用局域网技术简单，廉价的组网提点，同时又能够对用户或设备访问网络的合法性提供认证，是目前业界讨论的焦点。IEEE802.1X协议正式在这样的背景下提出的。 IEEE802.1X 称为基于端口的访问控制协议（Port based network access control protocol）。基于端口的访问控制（Port based network access control）能够在利用IEEE802 LAN 的优势基础上提供一种对连接到局域网（LAN）设备或用户进行认证和授权的手段。通过这种方式的认证，能够在LAN 这种多点访问环境中提供一种点对点的识别用户的方式。这里端口是指连接到LAN的一个单点结构，可以是被认证系统的MAC地址，也可以是服务器或网络设备连接LAN的物理端口，或者是在IEEE802.11 无线LAN环境中定义的工作站和访问点。IEEE 802.1x协议IEEE 802.1x是一个基于端口的网络访问控制协议，该协议的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能，从而实现认证与业务的分离，保证了网络传输的效率。IEEE 802系列局域网（LAN）标准占据着目前局域网应用的主要份额，但是传统的IEEE 802体系定义的局域网不提供接入认证，只要用户能接入集线器、交换机等控制设备，用户就可以访问局域网中其他设备上的资源，这是一个安全隐患，同时也不便于实现对局域网接入用户的管理。IEEE 802.1x是一种基于端口的网络接入控制技术，在局域网设备的物理接入级对接入设备（主要是计算机）进行认证和控制。连接在交换机端口上的用户设备如果能通过认证，就可以访问局域网内的资源，也可以接入外部网络（如Internet）；如果不能通过认证，则无法访问局域网内部的资源，同样也无法接入Internet，相当于物理上断开了连接。IEEE 802. 1x协议采用现有的可扩展认证协议（Extensible Authentication Protocol，EAP），它是IETF提出的PPP协议的扩展，最早是为解决基于IEEE 802.11标准的无线局域网的认证而开发的。虽然IEEE802.1x定义了基于端口的网络接入控制协议，但是在实际应用中该协议仅适用于接入设备与接入端口间的点到点的连接方式，其中端口可以是物理端口，也可以是逻辑端口。典型的应用方式有两种：一种是以太网交换机的一个物理端口仅连接一个计算机；另一种是基于无线局域网（WLAN）的接入方式。其中，前者是基于物理端口的，而后者是基于逻辑端口的。目前，几乎所有的以太网交换机都支持IEEE 802.1x协议。RADIUS服务器RADIUS（Remote Authentication Dial In User Service，远程用户拨号认证服务）服务器提供了三种基本的功能：认证（Authentication）、授权（Authorization）和审计（Accounting），即提供了3A功能。其中审计也称为“记账”或“计费”。RADIUS协议采用了客户机/服务器（C/S）工作模式。网络接入服务器（Network Access Server，NAS）是RADIUS的客户端，它负责将用户的验证信息传递给指定的RADIUS服务器，然后处理返回的响应。RADIUS服务器负责接收用户的连接请求，并验证用户身份，然后返回所有必须要配置的信息给客户端用户，也可以作为其他RADIUS服务器或其他类认证服务器的代理客户端。服务器和客户端之间传输的所有数据通过使用共享密钥来验证，客户端和RADIUS服务器之间的用户密码经过加密发送，提供了密码使用的安全性。基于IEEE 802.1x认证系统的组成一个完整的基于IEEE 802.1x的认证系统由认证客户端、认证者和认证服务器3部分（角色）组成。认证客户端。认证客户端是最终用户所扮演的角色，一般是个人计算机。它请求对网络服务的访问，并对认证者的请求报文进行应答。认证客户端必须运行符合IEEE 802.1x 客户端标准的软件，目前最典型的就是Windows XP操作系统自带的IEEE802.1x客户端支持。另外，一些网络设备制造商也开发了自己的IEEE 802.1x客