华为802.1x基本概念和技术原理

华为802.1x基本概念和技术原理【转载】- -                                       
本文介绍了802.1X的基本概念和技术原理，以及华为3com公司802.1X解决方案的特点和组
网情况。
关键词
802.1X 受控端口 RADIUS 客户端 设备端
缩略语
802.1X 本文指IEEE 802.1X标准
RADIUS 远程用户拨入认证服务（Remote Authentication Dial In User Service）
PAP 密码验证协议（Password Authentication Protocol）
CHAP 质询握手验证协议（Challenge Handshake Authentication Protocol）
EAP 扩展验证协议（Extensible Authentication Protocol）
MD5 消息摘要算法5版本（Message-Digest Algorithm 5）
PAE 端口认证实体（Port Authentication Entity）
CAR 承诺存取速率（Commit Access Rate）
AP 无线接入访问点（Access Point）
1 概述
802.1X，全称是Port-Based Networks Access Control，即基于端口的网络访问控制。
802.1X作为一种基于端口的用户访问控制机制，由于其低成本、良好的业务连续性和扩充
性以及较高的安全性和灵活性，自从2001年6月正式成为IEEE 802系列标准开始，便迅速受
到了包括华为3com 在内的设备制造商、各大网络运营商和最终用户在内的广泛支持和肯定
。
IEEE 802 协议定义的局域网不提供接入认证，一般来说，只要用户接入局域网就可以访问
网络上的设备或资源。但是对于如电信接入、写字楼 局域网以及移动办公等应用场合，网
络管理者希望能对用户设备的接入进行控制和配置，为此产生了基于端口或用户的网络接
入控制需求。
目前802.1X技术在宽带城域网和园区网中获得了大量的应用。在现在竞争激烈的宽带网络
建设中，基本业务类似的情况下，802.1X及其扩展业务特性往往成为关键点。华为3com 公
司VRP平台的802.1X业务除兼容标准外，根据需要进行了多项扩充。
2 802.1X的基本原理
2.1 体系结构
IEEE 802.1X的体系结构如图1 所示。802.1X系统共有三个实体：Supplicant（客户端），
Authenticator System（设备端），Authentication Server System（认证服务器）。
图1 IEEE 802.1X认证系统体系结构
客户端是位于点对点局域网段一端的一个实体，由连接到该链接另一端的设备端对其进行
认证。客户端一般为一个用户终端设备，用户通过启动客户端软件发起802.1X认证。客户
端必须支持EAPOL协议。
设备端是位于点对点局域网段一端的一个实体，便于对连接到该链接另一端的实体进行认
证。设备端通常为支持802.1X协议的网络设备，它为客户端提供接入局域网的端口，该端
口可以是物理端口（如以太网交换机的一个以太网口或者AP的接入信道），也可以是逻辑
端口（如用户的MAC地址、VLAN ID等）。
认证服务器是为设备端提供认证服务的实体。认证服务器用于实现用户的认证、授权和计
费。本文中，认证服务器均以RADIUS服务器为例。
2.1.1 端口PAE
端口PAE为802.1X系统中，一个给定的设备端口执行算法和协议操作的实体对象。
设备端PAE利用认证服务器对需要接入局域网的客户端执行认证，并根据认证结果相应地控
制受控端口的授权/非授权状态。
客户端PAE负责响应设备端的认证请求，向设备端提交用户的认证信息。客户端PAE也可以
主动向设备端发送认证请求和下线请求。
2.1.2 受控端口
设备端为客户端提供接入局域网的端口，这个端口被划分为两个虚端口：受控端口和非受

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有