一:概念
802.1x協議是由(美)電氣與電子工程師協會提出,剛剛完成標準化的乙個符合ieee 802協議集的區域網接入控制協議,其全稱為基於埠的訪問控制協議。它能夠在利用ieee 802區域網優勢的基礎上提供一種對連線到區域網的使用者進行認證和授權的手段,達到了接受合法使用者接入,保護網路安全的目的。 802.1x認證,又稱eapoe認證,主要用於寬頻ip都會網路
總體來說在客戶端在與intranet通訊之前,必須提交一系列憑據,實現身份的驗證。這樣對於網路提供了額外的一層保護
二:實際應用
無線接入方面
可以參考《搭建基於ad和ias的802.1x無線認證系統》這篇文章。這則應用的特點就是,利用了ad的使用者資訊,對接入端進行身份驗證。
有線方面
可以參考technet上的《網路專家 ieee 802.1x 有線身份驗證》
從winxp、win2003、vista、win2008、windows7都自帶對802.1x協議的支援,只是winxp、win2003作為客戶端進行有線的連線時,需要單機進行手動的設定。而wista、win2008、win7等中的「組策略」支援有線設定,並且可以使用netsh編寫指令碼,進行批量設定
如果客戶端加入了域,還可以實現基於使用者名稱來控制vlan分配,如果使用者不合法,即無法劃分到vlan,也無法通過dhcp獲取ip位址,客戶端無論怎樣接入,都無法使用網路。
802.1x有幾種驗證型別,其中md5-質詢是在使用者登入系統之後,還需要輸入使用者資訊才能連線到網路。令一種受保護的eap(peap)則可以在登入的同時完成接入驗證的過程。實現一次輸入驗證資訊,即登入系統,接入網路。
三:存在的一些問題
802.1x協議的設計初衷是為了解決無線區域網接入的問題。在有線網路,接入裝置和終端都有相對固定的物理位置,但無線網路裡的終端具有很強的移動性、不固定等特點,因此很難通過網路物理空間去界定終端是否屬於該網路,因此通過埠認證防止非法終端接入無線網路成為很好的控制無線網路資源的手段,802.1x正是基於這種需求而產生的一種無線接入認證的協議
802.1x協議僅僅關注埠的開啟或關閉狀態,對於合法使用者(通過身份認證)使其連線的ap埠開啟,反之關閉埠。由於這種認證技術的操作粒度為埠,合法使用者接入埠之後,埠處於開啟狀態,因此其它使用者(合法或非法)通過該埠時,不需認證即可接入網路。對於無線區域網接入而言,認證之後建立起來的通道(埠)被獨佔,不存在其它使用者再次使用的問題,但是,如果802.1x認證技術用於寬頻ip都會網路的認證,就存在埠開啟之後,其它使用者(合法或非法)可自由接入和無法控制的問題。
在有線連線領域,802.1x並不存在明顯優勢,對於802.1x認證技術,根據其定位和特點,在寬頻都會網路中實現使用者認證遠遠達不到可運營、可管理要求,加之應用又少,為了完備使用者的認證、管理功能,還需要進行大量協議之外的工作,目前僅有少數幾個二/三層交換機廠家在寬頻ip都會網路中推廣此項方式,將802.1x技術附著在l2/l3產品上,使l2/l3產品具備bas使用者認證和管理功能。如上所述,這種認證方式僅僅能夠基於埠的認證,而且不是全程認證,與其它bas功能(計費、安全機制、多業務支援)難以融合,因而不能稱為電信級認證解決方案。
802 1x協議解析
802.1x協議是由 美 電氣與電子工程師協會提出,剛剛完成標準化的乙個符合ieee 802協議集的區域網接入控制協議,其全稱為基於埠的訪問控制協議。它能夠在利用ieee 802區域網優勢的基礎上提供一種對連線到區域網的使用者進行認證和授權的手段,達到了接受合法使用者接入,保護網路安全的目的。802...
802 1X體系介紹
1.802.1x體系介紹 802.1x是ieee2001年6月通過的基於埠訪問控制的接入管理協議標準。ieee 802 lan 協議定義的區域網不提供接入認證只要使用者能接入區域網控制裝置如傳統的lanswitch 使用者就可以訪問區域網中的裝置或資源,這是乙個安全隱患。對於移動辦公駐地網運營等應用...
802 1x協議解析
802.1x協議是由 美 電氣與電子工程師協會提出,剛剛完成標準化的乙個符合ieee 802協議集的區域網接入控制協議,其全稱為基於埠的訪問控制協議。它能夠在利用ieee 802區域網優勢的基礎上提供一種對連線到區域網的使用者進行認證和授權的手段,達到了接受合法使用者接入,保護網路安全的目的。802...