大家好，我是IT售前工程師Bernie。

802.1x協(xié)議源于802.11協(xié)議，它是一種基于C/S結(jié)構(gòu)的訪問控制協(xié)議，工作在數(shù)據(jù)鏈路層（二層）的協(xié)議。制訂802.1x協(xié)議是為了解決無線局域網(wǎng)用戶的接入認證問題，即：限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問LAN、WLAN，以確保網(wǎng)絡(luò)的安全。

802.1x協(xié)議的體系結(jié)構(gòu)包括3個重要部分：客戶端、接入設(shè)備和認證服務(wù)器。

802.1Xx協(xié)議將端口分為可控端口和不可控端口，交換機可以通過不可控端口完成對用戶的認證和控制。業(yè)務(wù)報文則可以通過可控端口進行交換，以此來實現(xiàn)業(yè)務(wù)與認證的分離。

802.1x協(xié)議的認證原理

①　用戶有上網(wǎng)需求時，打開802.1X客戶端程序，輸入已經(jīng)申請、登記過的用戶名和口令，發(fā)起連接請求。此時，客戶端程序?qū)l(fā)出請求認證的報文給交換機，啟動一次認證過程。

②　交換機收到請求認證的數(shù)據(jù)幀后，將發(fā)出一個請求幀，要求用戶的客戶端程序?qū)⑤斎氲挠脩裘蜕蟻怼?/p>

③　客戶端程序響應(yīng)交換機發(fā)出的請求，將用戶名信息通過數(shù)據(jù)幀送給交換機。

④　交換機將客戶端送上來的數(shù)據(jù)幀經(jīng)過封包處理后送給認證服務(wù)器進行處理。

⑤　認證服務(wù)器收到交換機轉(zhuǎn)發(fā)上來的用戶名信息后，在數(shù)據(jù)庫中找到與該用戶名對應(yīng)的口令信息。隨后，用隨機生成的一個加密字對它進行加密處理，同時也將此加密字傳送給交換機，由交換機傳給客戶端程序。

⑥　客戶端程序收到由交換機傳來的加密字后，用該加密字對口令部分進行加密處理，并通過交換機傳給認證服務(wù)器。

⑦　認證服務(wù)器將來自客戶端的加密口令信息與自身存放的口令信息對比。

如果相同，則認為該用戶為合法用戶，認證通過。隨后會向交換機發(fā)出打開端口的指令，允許用戶的業(yè)務(wù)流通過端口訪問網(wǎng)絡(luò)。

如不同，則反饋認證失敗，并保持交換機端口的關(guān)閉狀態(tài)，只允許認證信息數(shù)據(jù)通過而不允許業(yè)務(wù)數(shù)據(jù)通過。

總結(jié)

在企業(yè)辦公網(wǎng)、生產(chǎn)網(wǎng)等總部-分支無線網(wǎng)場景中，網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)的可靠性提出更高的要求。通過部署無線802.1X認證方案不僅保證網(wǎng)絡(luò)安全性，也提升了企業(yè)網(wǎng)絡(luò)的可靠性。

文章出自：??IT一指禪??，如有轉(zhuǎn)載本文請聯(lián)系【IT一指禪】今日頭條號。