802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPOL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

作用

一、802.1x是一个认证协议，是一种对用户进行认证的方法和策略。

二、802.1x是基于端口的认证策略（可以是物理端口也可以是VLAN一样的逻辑端口，相对于无线局域网“端口”就是一条信道）

三、802.1x的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功就“打开”这个端口，允许所有报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1x的认证报文EAPOL（Extensible Authentiaction Protocol over LAN）通过。

802.1x的认证系统分为三部分结构：

客户端：就是需要通过认证来享受网络服务的设备，必须要支持EAPOL协议。（Extensible Authentication Protocol over LAN,局域网上的可扩展认证协议）

设备端：对客户端设备执行认证监测并转发认证数据的设备，其本身不对客户端上报的认证信息进行匹配认证，只是一个中介，用于联系客户端和认证服务器。

认证服务器：是为客户端提供认证服务的真家伙，是设备端背后默默支持的人。用于对设备端实现认证、授权和计费，通常为RADIUS（Remote Authentication Dial-In UserService,远程认证拨号用户服务）服务器。

802.1x认证的优点

一、802.1x协议为二层协议，不需要到达三层，而且接入层交换机无须支持802.1x的VLAN对设备的整体性能要求不高，可以有效降低建网成本。

二、通过组播实现，解决其他认证协议广播问题，对组播业务的支持性好。

三、业务报文直接承载在正常的二层报文上，用户通过认证后，业务流和认证流实现分离，对后续的数据包处理没有特殊要求。

专栏文章内容及配图由作者撰写发布，仅供工程师学习之用，如有侵权或者其他违规问题，请联系本站处理。 联系我们