802.1是基于端口的网络访问控制和认证协议(PortBasedNetworkAccessControlProtoco1),起源于802.11无线以太网协议,最初主要是为了解决无线局域网用户的接入认证问题而提出的协议标准。它可以限制未经授权的用户/设备通过接入端口访问LAN/MAN在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端ロ上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPOL(基于局域网的扩展认证协议〕数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。目前802.1x协议已成为主流交换机的标准配置,它己是用户在选型时考察设备的一项技术指标。
IEE意识到PPoE在用于纯以太网络环境接入控制中的种种缺陷,终于在2001正式颁布了IEEE802.1x标准,用于基于以太的局域网、城域网和各种宽带接入手段的用户/设备接入认证。该协议最初假定的应用环境是交换式以太网中,但是在标准化过程中也考虑到了像801.11b和Cable接入等共享式以太网络应用环境对认证的要求。802.1x认证采用基于以太网端口的用户访问控制技术,可以克服PPOE方式带来的诸多问题,并避免引入集中式宽带接入服务器所带来的巨大投资。
在传统以太网设备基础上,基于端口的网络访问控制技术采用IEEE-802.1x协议,提供了对基于以太网的点到点连接的端口用户进行认证和授权的能力,从而使以太网设备达到电信运营要求。用户侧的以太网交换机上放置一个扩展认证协议(EAP)代理,用户PC机运行EAPOL(EAPoverLAN)的客户端软件与交换机通信。基于端口的网络访问技术的基本思想是网络系统可以控制面向最终用户的以太网端口,使得只有网络系统允许并授权的用户可以访问网络系统的各种业务(如以太网连接,网络层路由,Internet接入等业务)。
认证系统是支持802.1x协议的网络设备,如交换机所提供的802.1x认证服务,它接收用户客户端的认证请求并实现认证:认证服务由Radius等后台计费系统组成,主要是存储客户端的资料,还有用户的开帐,和计费的管理和计费业务功能:客户端实体,是由用户所使用的机器上的客户端软件发起802.1x认证的过程,客户端软件通过EAPOL协议与认证系统进行通讯。
802.1x的主要特点是实现业务流和控制流分开,用户通过认证后,业务、认证流分离,系统对后续数据包无特殊处理,不仅可以有效消除网络瓶颈,而且使业务处理更为灵活。尤其在提供宽带组播等业务时,所有业务均不受认证方式限制,从根本上改变了传统业务模式。与传统的PPPOE的认证方式,无论从认证开销上,网络易用性上,还是从网络投资的成本上,都要有着无法比拟的优势。网络访问技术的核心部分是PAE(端口访问实体)。在访问控制流程中,端口访问实体包含3部分:
◆认证者一一对接入的用户/设备进行认证的端口
◆请求者被认证的用户/设备
◆认证服务器一一根据认证者的信息,对请求访问网络资源的用户/设备进行实际认证功能的设备。
以太网的每个网站设计物理端口被分为受控和不受控的两个逻辑端口,物理端口收到的每个帧都被送到受控和不受控端口。对受控端口的访问,受限于受控端口的授权状态。认证者的PAE根据认证服务器认证过程的结果,控制“受控端口”的授权/未授权状态。处在未授权状态的控制端口将拒绝用户/设备的访问。
>>> 查看《IEE5802.1x协议概述》更多相关资讯 <<<
本文地址:http://www.phpweb.com.cn/news/html/3668.html