中级通信工程师交换技术安全特性

 　　在线辅导　面授招生　考试大纲　指定教材　报名时间

　　5.5 安全特性
5.5.1 802.1X
在802.1x出现之前，企业网上有线LAN应用都没有直接控制到端口的方法，因此网络安全性较差。从安全性和运营管理上考虑，有必要对端口加以控制，以实现用户级的接入控制。IEEE 802.1X标准就是为了解决以太网基于端口接入控制（Port-Based Access Control）的问题。
802.1X协议起源于802.11协议，后者是标准的无线局域网协议。802.1X协议起初的主要目的是为了解决无线局域网用户的接入认证问题，现已经被应用于一般的有线LAN接入。
总的来说，802.1X协议有如下特点：

802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略；
802.1X是基于端口的认证策略（这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口，对于无线局域网来说个“端口”就是一条信道）；
802.1X认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”。此时，只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通过（参见图32）。
802.1X认证体系分为三部分结构：
客户端（Supplicant System）--是-需要接入LAN，及享受Switch提供服务的设备（如PC机）。客户端需要支持EAPOL协议，客户端必须运行802.1X客户端软件，如：华为开发的802.1X客户端，Microsoft Windows XP自带客户端；
认证系统（Authenticator System）--是根据客户的认证状态控制物理接入的设备，如交换机或无线接入设备。认证系统在客户和认证服务器间充当代理角色：认证系统与客户端间通过EAPOL协议进行通讯，认证系统与认证服务器间通过EAP over Radius或EAP承载在其他高层协议上，以便穿越复杂的网络到达Authentication Server。认证系统要求客户端提供身份标识（identity），接收到后将EAP报文承载在Radius格式的报文中，再发送到认证服务器，返回等同。 认证系统根据认证结果控制端口是否可用；
认证服务器（Authentication server System）--对客户进行实际认证，核实客户的identity，通知认证系统是否允许客户端访问LAN和交换机提供的服务。由于EAP协议较为灵活，除了IEEE 802.1X定义的端口状态外，认证服务器实际上也可以用于认证和下发更多用户相关的信息，如VLAN、QOS、加密认证密钥、DHCP响应等。

　　802.1X认证体系结构

返回目录：通信工程师考试交换机相关协议和技术汇总

 相关推荐：

通信工程师交换技术考试移动网交换技术汇总

通信工程师考试培训宽带交换技术

通信工程师交换技术考试智能网技术

通信工程师交换网络规划、设计与工程建设