一：概念 802.1X協(xié)議是由(美)電氣與電子工程師協(xié)會(huì)提出，剛剛完成標(biāo)準(zhǔn)化的一個(gè)符合IEEE 802協(xié)議集的局域網(wǎng)接入控制協(xié)議，其全稱(chēng)為基于端口的訪(fǎng)問(wèn)控制協(xié)議。它能夠在利用IEEE 802局域網(wǎng)優(yōu)勢(shì)的基礎(chǔ)上提供一種對(duì)連接到局域網(wǎng)的用戶(hù)進(jìn)行認(rèn)證和授權(quán)的手段，達(dá)到了接受合法用戶(hù)接入，保護(hù)網(wǎng)絡(luò)安全的目的。 802.1x認(rèn)證，又稱(chēng)EAPOE認(rèn)證，主要用于寬帶IP城域網(wǎng) ? 總體來(lái)說(shuō)在客戶(hù)端在與Intranet通訊之前，必須提交一系列憑據(jù)，實(shí)現(xiàn)身份的驗(yàn)證。這樣對(duì)于網(wǎng)絡(luò)提供了額外的一層保護(hù)

二：實(shí)際應(yīng)用 無(wú)線(xiàn)接入方面 可以參考《搭建基于AD和IAS的802.1X無(wú)線(xiàn)認(rèn)證系統(tǒng)》這篇文章。這則應(yīng)用的特點(diǎn)就是，利用了AD的用戶(hù)信息，對(duì)接入端進(jìn)行身份驗(yàn)證。
有線(xiàn)方面 可以參考TechNet上的《網(wǎng)絡(luò)專(zhuān)家 IEEE 802.1X 有線(xiàn)身份驗(yàn)證》 ? 從WinXP、win2003、vista、Win2008、Windows7都自帶對(duì)802.1x協(xié)議的支持，只是winXp、Win2003作為客戶(hù)端進(jìn)行有線(xiàn)的連接時(shí)，需要單機(jī)進(jìn)行手動(dòng)的設(shè)置。而wista、win2008、win7等中的“組策略”支持有線(xiàn)設(shè)置，并且可以使用Netsh編寫(xiě)腳本，進(jìn)行批量設(shè)置 如果客戶(hù)端加入了域，還可以實(shí)現(xiàn)基于用戶(hù)名來(lái)控制vlan分配，如果用戶(hù)不合法，即無(wú)法劃分到vlan，也無(wú)法通過(guò)DHCP獲取IP地址，客戶(hù)端無(wú)論怎樣接入，都無(wú)法使用網(wǎng)絡(luò)。 802.1x有幾種驗(yàn)證類(lèi)型，其中MD5-質(zhì)詢(xún)是在用戶(hù)登錄系統(tǒng)之后，還需要輸入用戶(hù)信息才能連接到網(wǎng)絡(luò)。令一種受保護(hù)的EAP（PEAP）則可以在登錄的同時(shí)完成接入驗(yàn)證的過(guò)程。實(shí)現(xiàn)一次輸入驗(yàn)證信息，即登錄系統(tǒng)，接入網(wǎng)絡(luò)。
三：存在的一些問(wèn)題 802.1X協(xié)議的設(shè)計(jì)初衷是為了解決無(wú)線(xiàn)局域網(wǎng)接入的問(wèn)題。在有線(xiàn)網(wǎng)絡(luò)，接入設(shè)備和終端都有相對(duì)固定的物理位置，但無(wú)線(xiàn)網(wǎng)絡(luò)里的終端具有很強(qiáng)的移動(dòng)性、不固定等特點(diǎn)，因此很難通過(guò)網(wǎng)絡(luò)物理空間去界定終端是否屬于該網(wǎng)絡(luò)，因此通過(guò)端口認(rèn)證防止非法終端接入無(wú)線(xiàn)網(wǎng)絡(luò)成為很好的控制無(wú)線(xiàn)網(wǎng)絡(luò)資源的手段，802.1x正是基于這種需求而產(chǎn)生的一種無(wú)線(xiàn)接入認(rèn)證的協(xié)議
802.1x協(xié)議僅僅關(guān)注端口的打開(kāi)或關(guān)閉狀態(tài)，對(duì)于合法用戶(hù)（通過(guò)身份認(rèn)證）使其連接的AP端口打開(kāi)，反之關(guān)閉端口。由于這種認(rèn)證技術(shù)的操作粒度為端口，合法用戶(hù)接入端口之后，端口處于打開(kāi)狀態(tài)，因此其它用戶(hù)（合法或非法）通過(guò)該端口時(shí)，不需認(rèn)證即可接入網(wǎng)絡(luò)。對(duì)于無(wú)線(xiàn)局域網(wǎng)接入而言，認(rèn)證之后建立起來(lái)的信道（端口）被獨(dú)占，不存在其它用戶(hù)再次使用的問(wèn)題，但是，如果802.1x認(rèn)證技術(shù)用于寬帶IP城域網(wǎng)的認(rèn)證，就存在端口打開(kāi)之后，其它用戶(hù)（合法或非法）可自由接入和無(wú)法控制的問(wèn)題。
在有線(xiàn)連接領(lǐng)域，802.1x并不存在明顯優(yōu)勢(shì)，對(duì)于802.1x認(rèn)證技術(shù)，根據(jù)其定位和特點(diǎn)，在寬帶城域網(wǎng)中實(shí)現(xiàn)用戶(hù)認(rèn)證遠(yuǎn)遠(yuǎn)達(dá)不到可運(yùn)營(yíng)、可管理要求，加之應(yīng)用又少，為了完備用戶(hù)的認(rèn)證、管理功能，還需要進(jìn)行大量協(xié)議之外的工作，目前僅有少數(shù)幾個(gè)二/三層交換機(jī)廠(chǎng)家在寬帶IP城域網(wǎng)中推廣此項(xiàng)方式，將802.1x技術(shù)附著在L2/L3產(chǎn)品上，使L2/L3產(chǎn)品具備BAS用戶(hù)認(rèn)證和管理功能。如上所述，這種認(rèn)證方式僅僅能夠基于端口的認(rèn)證，而且不是全程認(rèn)證，與其它BAS功能（計(jì)費(fèi)、安全機(jī)制、多業(yè)務(wù)支持）難以融合，因而不能稱(chēng)為電信級(jí)認(rèn)證解決方案。


本文轉(zhuǎn)自 abner110 51CTO博客，原文鏈接：http://blog.51cto.com/abner/147405x，如需轉(zhuǎn)載請(qǐng)自行聯(lián)系原作者

總結(jié)

以上是生活随笔為你收集整理的802.1X学习笔记的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。