一:概念
802.1X协议是由(美)电气与电子工程师协会提出,刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议,其全称为基于端口的访问控制协议。它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段,达到了接受合法用户接入,保护网络安全的目的。 802.1x认证,又称EAPOE认证,主要用于宽带IP城域网
总体来说在客户端在与Intranet通讯之前,必须提交一系列凭据,实现身份的验证。这样对于网络提供了额外的一层保护
二:实际应用
无线接入方面
可以参考《搭建基于AD和IAS的802.1X无线认证系统》这篇文章。这则应用的特点就是,利用了AD的用户信息,对接入端进行身份验证。
有线方面
可以参考TechNet上的《网络专家 IEEE 802.1X 有线身份验证》
从WinXP、win2003、vista、Win2008、Windows7都自带对802.1x协议的支持,只是winXp、Win2003作为客户端进行有线的连接时,需要单机进行手动的设置。而wista、win2008、win7等中的“组策略”支持有线设置,并且可以使用Netsh编写脚本,进行批量设置
如果客户端加入了域,还可以实现基于用户名来控制vlan分配,如果用户不合法,即无法划分到vlan,也无法通过DHCP获取IP地址,客户端无论怎样接入,都无法使用网络。
802.1x有几种验证类型,其中MD5-质询是在用户登录系统之后,还需要输入用户信息才能连接到网络。令一种受保护的EAP(PEAP)则可以在登录的同时完成接入验证的过程。实现一次输入验证信息,即登录系统,接入网络。
三:存在的一些问题
802.1X协议的设计初衷是为了解决无线局域网接入的问题。在有线网络,接入设备和终端都有相对固定的物理位置,但无线网络里的终端具有很强的移动性、不固定等特点,因此很难通过网络物理空间去界定终端是否属于该网络,因此通过端口认证防止非法终端接入无线网络成为很好的控制无线网络资源的手段,802.1x正是基于这种需求而产生的一种无线接入认证的协议
802.1x协议仅仅关注端口的打开或关闭状态,对于合法用户(通过身份认证)使其连接的AP端口打开,反之关闭端口。由于这种认证技术的操作粒度为端口,合法用户接入端口之后,端口处于打开状态,因此其它用户(合法或非法)通过该端口时,不需认证即可接入网络。对于无线局域网接入而言,认证之后建立起来的信道(端口)被独占,不存在其它用户再次使用的问题,但是,如果802.1x认证技术用于宽带IP城域网的认证,就存在端口打开之后,其它用户(合法或非法)可自由接入和无法控制的问题。
在有线连接领域,802.1x并不存在明显优势,对于802.1x认证技术,根据其定位和特点,在宽带城域网中实现用户认证远远达不到可运营、可管理要求,加之应用又少,为了完备用户的认证、管理功能,还需要进行大量协议之外的工作,目前仅有少数几个二/三层交换机厂家在宽带IP城域网中推广此项方式,将802.1x技术附着在L2/L3产品上,使L2/L3产品具备BAS用户认证和管理功能。如上所述,这种认证方式仅仅能够基于端口的认证,而且不是全程认证,与其它BAS功能(计费、安全机制、多业务支持)难以融合,因而不能称为电信级认证解决方案。
本文转自 abner110 51CTO博客,原文链接:http://blog.51cto.com/abner/147405x,如需转载请自行联系原作者
