802.1x協(xié)議的體系

IEEE 802.1x協(xié)議起源于802.11， 其主要目的是為了解決無線局域網用戶的接入認證問題。802.1x 協(xié)議又稱為基于端口的訪問控制協(xié)議，可提供對802.11無線局域網和對有線以太網絡的驗證的網絡訪問權限。802.1x協(xié)議僅僅關注端口的打開與關閉，對于合法用戶接入時，打開端口；對于非法用戶接入或沒有用戶接入時，則端口處于關閉狀態(tài)。
    IEEE 802.1x協(xié)議的體系結構主要包括三部分實體：客戶端Supplicant System、認證系統(tǒng)Authenticator System、認證服務器Authentication Server System.
    （1）客戶端：一般為一個用戶終端系統(tǒng)，該終端系統(tǒng)通常要安裝一個客戶端軟件，用戶通過啟動這個客戶端軟件發(fā)起IEEE 802.1x協(xié)議的認證過程。
    （2）認證系統(tǒng)：通常為支持IEEE 802.1x協(xié)議的網絡設備。該設備對應于不同用戶的端口有兩個邏輯端口：受控（controlled Port）端口和非受控端口（uncontrolled Port）。第一個邏輯接入點（非受控端口），允許驗證者和 LAN 上其它計算機之間交換數(shù)據，而無需考慮計算機的身份驗證狀態(tài)如何。非受控端口始終處于雙向連通狀態(tài)（開放狀態(tài)），主要用來傳遞EAPOL協(xié)議幀，可保證客戶端始終可以發(fā)出或接受認證。第二個邏輯接入點（受控端口），允許經驗證的 LAN 用戶和驗證者之間交換數(shù)據。受控端口平時處于關閉狀態(tài)，只有在客戶端認證通過時才打開，用于傳遞數(shù)據和提供服務。受控端口可配置為雙向受控、僅輸入受控兩種方式，以適應不同的應用程序。如果用戶未通過認證，則受控端口處于未認證（關閉）狀態(tài)，則用戶無法訪問認證系統(tǒng)提供的服務。
    （3）認證服務器：通常為RADIUS服務器，該服務器可以存儲有關用戶的信息，比如用戶名和口令、用戶所屬的VLAN、優(yōu)先級、用戶的訪問控制列表等。當用戶通過認證后，認證服務器會把用戶的相關信息傳遞給認證系統(tǒng)，由認證系統(tǒng)構建動態(tài)的訪問控制列表，用戶的后續(xù)數(shù)據流就將接接受上述參數(shù)的監(jiān)管。