802.1x協(xié)議是基于Client/Server的訪問控制和認證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設備通過接入端口(access port)訪問LAN/WLAN。在獲得交換機或LAN提供的各種業(yè)務之前，802.1x對連接到交換機端口上的用戶/設備進行認證。在認證通過之前，802.1x只允許EAPOL（基于局域網(wǎng)的擴展認證協(xié)議）數(shù)據(jù)通過設備連接的交換機端口；認證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。

 

作用

一、802.1x是一個認證協(xié)議，是一種對用戶進行認證的方法和策略。

二、802.1x是基于端口的認證策略（可以是物理端口也可以是VLAN一樣的邏輯端口，相對于無線局域網(wǎng)“端口”就是一條信道）

三、802.1x的認證的最終目的就是確定一個端口是否可用。對于一個端口，如果認證成功就“打開”這個端口，允許所有報文通過；如果認證不成功就使這個端口保持“關(guān)閉”，此時只允許802.1x的認證報文EAPOL（Extensible Authentiaction Protocol over LAN）通過。

802.1x的認證系統(tǒng)分為三部分結(jié)構(gòu)：

 

客戶端：就是需要通過認證來享受網(wǎng)絡服務的設備，必須要支持EAPOL協(xié)議。（Extensible Authentication Protocol over LAN,局域網(wǎng)上的可擴展認證協(xié)議）

設備端：對客戶端設備執(zhí)行認證監(jiān)測并轉(zhuǎn)發(fā)認證數(shù)據(jù)的設備，其本身不對客戶端上報的認證信息進行匹配認證，只是一個中介，用于聯(lián)系客戶端和認證服務器。

認證服務器：是為客戶端提供認證服務的真家伙，是設備端背后默默支持的人。用于對設備端實現(xiàn)認證、授權(quán)和計費，通常為RADIUS（Remote Authentication Dial-In UserService,遠程認證撥號用戶服務）服務器。

802.1x認證的優(yōu)點

一、802.1x協(xié)議為二層協(xié)議，不需要到達三層，而且接入層交換機無須支持802.1x的VLAN對設備的整體性能要求不高，可以有效降低建網(wǎng)成本。

二、通過組播實現(xiàn)，解決其他認證協(xié)議廣播問題，對組播業(yè)務的支持性好。

三、業(yè)務報文直接承載在正常的二層報文上，用戶通過認證后，業(yè)務流和認證流實現(xiàn)分離，對后續(xù)的數(shù)據(jù)包處理沒有特殊要求。