802.1x協(xié)議的體系

IEEE 802.1x協(xié)議起源于802.11， 其主要目的是為了解決無線局域網(wǎng)用戶的接入認證問題。802.1x 協(xié)議又稱為基于端口的訪問控制協(xié)議，可提供對802.11無線局域網(wǎng)和對有線以太網(wǎng)絡(luò)的驗證的網(wǎng)絡(luò)訪問權(quán)限。802.1x協(xié)議僅僅關(guān)注端口的打開與關(guān)閉，對于合法用戶接入時，打開端口；對于非法用戶接入或沒有用戶接入時，則端口處于關(guān)閉狀態(tài)。
    IEEE 802.1x協(xié)議的體系結(jié)構(gòu)主要包括三部分實體：客戶端Supplicant System、認證系統(tǒng)Authenticator System、認證服務(wù)器Authentication Server System.
    （1）客戶端：一般為一個用戶終端系統(tǒng)，該終端系統(tǒng)通常要安裝一個客戶端軟件，用戶通過啟動這個客戶端軟件發(fā)起IEEE 802.1x協(xié)議的認證過程。
    （2）認證系統(tǒng)：通常為支持IEEE 802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備。該設(shè)備對應(yīng)于不同用戶的端口有兩個邏輯端口：受控（controlled Port）端口和非受控端口（uncontrolled Port）。第一個邏輯接入點（非受控端口），允許驗證者和 LAN 上其它計算機之間交換數(shù)據(jù)，而無需考慮計算機的身份驗證狀態(tài)如何。非受控端口始終處于雙向連通狀態(tài)（開放狀態(tài)），主要用來傳遞EAPOL協(xié)議幀，可保證客戶端始終可以發(fā)出或接受認證。第二個邏輯接入點（受控端口），允許經(jīng)驗證的 LAN 用戶和驗證者之間交換數(shù)據(jù)。受控端口平時處于關(guān)閉狀態(tài)，只有在客戶端認證通過時才打開，用于傳遞數(shù)據(jù)和提供服務(wù)。受控端口可配置為雙向受控、僅輸入受控兩種方式，以適應(yīng)不同的應(yīng)用程序。如果用戶未通過認證，則受控端口處于未認證（關(guān)閉）狀態(tài)，則用戶無法訪問認證系統(tǒng)提供的服務(wù)。
    （3）認證服務(wù)器：通常為RADIUS服務(wù)器，該服務(wù)器可以存儲有關(guān)用戶的信息，比如用戶名和口令、用戶所屬的VLAN、優(yōu)先級、用戶的訪問控制列表等。當(dāng)用戶通過認證后，認證服務(wù)器會把用戶的相關(guān)信息傳遞給認證系統(tǒng)，由認證系統(tǒng)構(gòu)建動態(tài)的訪問控制列表，用戶的后續(xù)數(shù)據(jù)流就將接接受上述參數(shù)的監(jiān)管。