中級通信工程師交換技術安全特性

 　　在線輔導　面授招生　考試大綱　指定教材　報名時間

　　5.5 安全特性
5.5.1 802.1X
在802.1x出現(xiàn)之前，企業(yè)網(wǎng)上有線LAN應用都沒有直接控制到端口的方法，因此網(wǎng)絡安全性較差。從安全性和運營管理上考慮，有必要對端口加以控制，以實現(xiàn)用戶級的接入控制。IEEE 802.1X標準就是為了解決以太網(wǎng)基于端口接入控制（Port-Based Access Control）的問題。
802.1X協(xié)議起源于802.11協(xié)議，后者是標準的無線局域網(wǎng)協(xié)議。802.1X協(xié)議起初的主要目的是為了解決無線局域網(wǎng)用戶的接入認證問題，現(xiàn)已經(jīng)被應用于一般的有線LAN接入。
總的來說，802.1X協(xié)議有如下特點：

802.1X首先是一個認證協(xié)議，是一種對用戶進行認證的方法和策略；
802.1X是基于端口的認證策略（這里的端口可以是一個實實在在的物理端口也可以是一個就像VLAN一樣的邏輯端口，對于無線局域網(wǎng)來說個“端口”就是一條信道）；
802.1X認證的最終目的就是確定一個端口是否可用。對于一個端口，如果認證成功那么就“打開”這個端口，允許文所有的報文通過；如果認證不成功就使這個端口保持“關閉”。此時，只允許802.1X的認證報文EAPOL（Extensible Authentication Protocol over LAN）通過（參見圖32）。
802.1X認證體系分為三部分結(jié)構：
客戶端（Supplicant System）--是-需要接入LAN，及享受Switch提供服務的設備（如PC機）。客戶端需要支持EAPOL協(xié)議，客戶端必須運行802.1X客戶端軟件，如：華為開發(fā)的802.1X客戶端，Microsoft Windows XP自帶客戶端；
認證系統(tǒng)（Authenticator System）--是根據(jù)客戶的認證狀態(tài)控制物理接入的設備，如交換機或無線接入設備。認證系統(tǒng)在客戶和認證服務器間充當代理角色：認證系統(tǒng)與客戶端間通過EAPOL協(xié)議進行通訊，認證系統(tǒng)與認證服務器間通過EAP over Radius或EAP承載在其他高層協(xié)議上，以便穿越復雜的網(wǎng)絡到達Authentication Server。認證系統(tǒng)要求客戶端提供身份標識（identity），接收到后將EAP報文承載在Radius格式的報文中，再發(fā)送到認證服務器，返回等同。 認證系統(tǒng)根據(jù)認證結(jié)果控制端口是否可用；
認證服務器（Authentication server System）--對客戶進行實際認證，核實客戶的identity，通知認證系統(tǒng)是否允許客戶端訪問LAN和交換機提供的服務。由于EAP協(xié)議較為靈活，除了IEEE 802.1X定義的端口狀態(tài)外，認證服務器實際上也可以用于認證和下發(fā)更多用戶相關的信息，如VLAN、QOS、加密認證密鑰、DHCP響應等。

　　802.1X認證體系結(jié)構

返回目錄：通信工程師考試交換機相關協(xié)議和技術匯總

 相關推薦：

通信工程師交換技術考試移動網(wǎng)交換技術匯總

通信工程師考試培訓寬帶交換技術

通信工程師交換技術考試智能網(wǎng)技術

通信工程師交換網(wǎng)絡規(guī)劃、設計與工程建設