802.1x原理描述

802.1x原理描述
介绍802.1x认证的实现原理。
简介
随着企业网络的应用和发展，病毒、木马、间谍软件、网络攻击等各种信息安全威胁也在不断增加。在传统的企业网络建设思路中，一般认为企业内网是安全的，安全威胁主要来自外界。但是研究证明，80%的网络安全漏洞都存在于网络内部，它们对网络的破坏程度和范围持续扩大，经常引起系统崩溃、网络瘫痪。另外，内部员工在浏览某些网站时，一些间谍软件、木马程序等恶意软件也会不知不觉地被下载到电脑中，并且在企业内网传播，产生严重的安全隐患。
因此，随着安全挑战的不断升级，仅通过传统的安全措施已经远远不够，安全模型需要由被动模式向主动模式转变，从根源（终端）彻底解决网络安全问题，提高整个企业的信息安全水平。
网络接入控制安全解决方案从接入网络的终端安全控制入手，将终端安全状况和网络准入控制结合在一起，通过检查、隔离、加固和审计等手段，加强网络用户终端的主动防御能力，保证企业中每个终端的安全性，进而保护企业整网的安全性。802.1x认证即是网络接入控制安全解决方案中非常重要的一种接入控制方式。
802.1x认证是一种基于接口的网络接入控制方式。“基于接口的网络接入控制”是指，在局域网接入设备的接口这一级，对所接入的用户设备通过认证来控制对网络资源的访问。
如图1所示，802.1x认证系统为典型的Client/Server结构，包括三个实体：客户端、设备端和认证服务器。
    客户端：客户端是位于局域网链路一端的实体，由该链路另一端的设备端对其进行认证。客户端通常是支持802.1x认证的用户终端设备，用户通过启动客户端软件发起802.1x认证。
    设备端：对连接到局域网链路对端的客户端进行认证。设备端通常为支持802.1x协议的网络设备，它为客户端提供接入局域网的接口。
    认证服务器：为客户端提供认证服务的实体。认证服务器用于对用户进行认证、授权和计费，通常为RADIUS服务器。
图1 802.1x认证系统示意图

客户端和设备端之间运行802.1x定义的EAPOL（Extensible Authentication Protocol Over LAN）协议。
    当设备端工作于中继方式时，设备端与认证服务器之间也运行EAP协议，EAP帧中封装认证数据，将该协议承载在其它高层次协议中（如RADIUS），以便穿越复杂的网络到达认证服务器。
    当设备端工作于终结方式时，设备端终结EAPOL消息，并转换为其它认证协议(如RADIUS)，传递用户认证信息给认证服务器。
设备端每个物理接口都在逻辑上划分为受控端口和非受控端口。非受控端口始终开放，主要用来传递EAPOL协议帧，可随时保证接收客户端发出的EAPOL认证报文；受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。

NAC网络准入控制、radius、802.1X（列表、list、全）radiuslist
http://www.zh-cjh.com/wenzhangguilei/1008.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html