全球专业中文经管百科,由121,994位网友共同编写而成,共计436,047个条目

802.1x協議

用手机看条目

出自 MBA智库百科(https://wiki.mbalib.com/)

目錄

什麼是802.1x協議

  802.1x協議是基於Client/Server的訪問控制和認證協議。它可以限制未經授權的用戶/設備通過接入埠(access port)訪問LAN/WLAN。在獲得交換機或LAN提供的各種業務之前,802.1x對連接到交換機埠上的用戶/設備進行認證。在認證通過之前,802.1x只允許EAPoL(基於區域網的擴展認證協議)數據通過設備連接的交換機埠;認證通過以後,正常的數據可以順利地通過乙太網埠。

802.1x協議的特點

  基於乙太網埠認證的802.1x協議有如下特點:IEEE802.1x協議為二層協議,不需要到達三層,對設備的整體性能要求不高,可以有效降低建網成本;借用了在RAS系統中常用的EAP(擴展認證協議),可以提供良好的擴展性和適應性,實現對傳統PPP認證架構的兼容;802.1x的認證體繫結構中採用了"可控埠"和"不可控埠"的邏輯功能,從而可以實現業務與認證的分離,由RADIUS和交換機利用不可控的邏輯埠共同完成對用戶的認證與控制,業務報文直接承載在正常的二層報文上通過可控埠進行交換,通過認證之後的數據包是無需封裝的純數據包;可以使用現有的後臺認證系統降低部署的成本,並有豐富的業務支持;可以映射不同的用戶認證等級到不同的VLAN;可以使交換埠和無線LAN具有安全的認證接入功能。

802.1x協議的工作過程

  1.當用戶有上網需求時打開802.1X客戶端程式,輸入已經申請、登記過的用戶名和口令,發起連接請求。此時,客戶端程式將發出請求認證的報文給交換機,開始啟動一次認證過程。

  2.交換機收到請求認證的數據幀後,將發出一個請求幀要求用戶的客戶端程式將輸入的用戶名送上來。

  3.客戶端程式響應交換機發出的請求,將用戶名信息通過數據幀送給交換機。交換機將客戶端送上來的數據幀經過封包處理後送給認證伺服器進行處理。

  4.認證伺服器收到交換機轉發上來的用戶名信息後,將該信息與資料庫中的用戶名錶相比對,找到該用戶名對應的口令信息,用隨機生成的一個加密字對它進行加密處理,同時也將此加密字傳送給交換機,由交換機傳給客戶端程式。

  5.客戶端程式收到由交換機傳來的加密字後,用該加密字對口令部分進行加密處理此種加密演算法通常是不可逆的),並通過交換機傳給認證伺服器。

  6.認證伺服器將送上來的加密後的口令信息和其自己經過加密運算後的口令信息進行對比,如果相同,則認為該用戶為合法用戶,反饋認證通過的消息,並向交換機發出打開埠的指令,允許用戶的業務流通過埠訪問網路。否則,反饋認證失敗的消息,並保持交換機埠的關閉狀態,只允許認證信息數據通過而不允許業務數據通過。

802.1x協議的環境特點

  (1)交換式乙太網絡環境

  對於交換式乙太網絡中,用戶和網路之間採用點到點的物理連接,用戶彼此之間通過VLAN隔離,此網路環境下,網路管理控制的關鍵是用戶接入控制,802.1x不需要提供過多的安全機制。

  (2)共用式網路環境

  當802.1x應用於共用式的網路環境時,為了防止在共用式的網路環境中出現類似“搭載”的問題,有必要將PAE實體由物理埠進一步擴展為多個互相獨立的邏輯埠。邏輯埠和用戶/設備形成一一對應關係,並且各邏輯埠之間的認證過程和結果相互獨立。在共用式網路中,用戶之間共用接入物理媒介,接入網路的管理控制必須兼顧用戶接入控制和用戶數據安全,可以採用的安全措施是對EAPoL和用戶的其它數據進行加密封裝。在實際網路環境中,可以通過加速WEP密鑰重分配周期,彌補WEP靜態分配秘鑰導致的安全性的缺陷。

802.1x協議的認證優勢

  綜合IEEE802.1x的技術特點,其具有的優勢可以總結為以下幾點。

  簡潔高效:純乙太網技術內核,保持了IP網路無連接特性,不需要進行協議間的多層封裝,去除了不必要的開銷和冗餘;消除網路認證計費瓶頸和單點故障,易於支持多業務和新興流媒體業務。

  容易實現:可在普通L3、L2、IPDSLAM上實現,網路綜合造價成本低,保留了傳統AAA認證的網路架構,可以利用現有的RADIUS設備。

  安全可靠:在二層網路上實現用戶認證,結合MAC、埠、賬戶、VLAN和密碼等;綁定技術具有很高的安全性,在無線區域網網路環境中802.1x結合EAP-TLS,EAP-TTLS,可以實現對WEP證書密鑰的動態分配,剋服無線區域網接入中的安全漏洞。

  行業標準:IEEE標準,和乙太網標準同源,可以實現和乙太網技術的無縫融合,幾乎所有的主流數據設備廠商在其設備,包括路由器、交換機和無線AP上都提供對該協議的支持。在客戶端方面微軟WindowsXP操作系統內置支持,Linux也提供了對該協議的支持。

  應用靈活:可以靈活控制認證的顆粒度,用於對單個用戶連接、用戶ID或者是對接入設備進行認證,認證的層次可以進行靈活的組合,滿足特定的接入技術或者是業務的需要。

  易於運營:控制流和業務流完全分離,易於實現跨平臺多業務運營,少量改造傳統包月制等單一收費制網路即可升級成運營級網路,而且網路的運營成本也有望降低。

本條目對我有幫助2
MBA智库APP

扫一扫,下载MBA智库APP

分享到:
  如果您認為本條目還有待完善,需要補充新內容或修改錯誤內容,請編輯條目投訴舉報

本条目由以下用户参与贡献

Mis铭,苏青荇.

評論(共0條)

提示:評論內容為網友針對條目"802.1x協議"展開的討論,與本站觀點立場無關。

發表評論請文明上網,理性發言並遵守有關規定。

打开APP

以上内容根据网友推荐自动排序生成

官方社群
下载APP

闽公网安备 35020302032707号