802.1x協議源于802.11協議,它是一種基于C/S結構的訪問控制協議,工作在數據鏈路層(二層)的協議。制訂802.1x協議是為了解決無線局域網用戶的接入認證問題,即:限制未經授權的用戶/設備通過接入端口訪問LAN、WLAN,以確保網絡的安全。
802.1x協議的體系結構包括3個重要部分:客戶端、接入設備和認證服務器。
802.1Xx協議將端口分為可控端口和不可控端口,交換機可以通過不可控端口完成對用戶的認證和控制。業務報文則可以通過可控端口進行交換,以此來實現業務與認證的分離。
802.1x協議的認證原理
① 用戶有上網需求時,打開802.1X客戶端程序,輸入已經申請、登記過的用戶名和口令,發起連接請求。此時,客戶端程序將發出請求認證的報文給交換機,啟動一次認證過程。
② 交換機收到請求認證的數據幀后,將發出一個請求幀,要求用戶的客戶端程序將輸入的用戶名送上來。
③ 客戶端程序響應交換機發出的請求,將用戶名信息通過數據幀送給交換機。
④ 交換機將客戶端送上來的數據幀經過封包處理后送給認證服務器進行處理。
⑤ 認證服務器收到交換機轉發上來的用戶名信息后,在數據庫中找到與該用戶名對應的口令信息。隨后,用隨機生成的一個加密字對它進行加密處理,同時也將此加密字傳送給交換機,由交換機傳給客戶端程序。
⑥ 客戶端程序收到由交換機傳來的加密字后,用該加密字對口令部分進行加密處理,并通過交換機傳給認證服務器。
⑦ 認證服務器將來自客戶端的加密口令信息與自身存放的口令信息對比。
如果相同,則認為該用戶為合法用戶,認證通過。隨后會向交換機發出打開端口的指令,允許用戶的業務流通過端口訪問網絡。
如不同,則反饋認證失敗,并保持交換機端口的關閉狀態,只允許認證信息數據通過而不允許業務數據通過。
總結
在企業辦公網、生產網等總部-分支無線網場景中,網絡管理員對網絡的可靠性提出更高的要求。通過部署無線802.1X認證方案不僅保證網絡安全性,也提升了企業網絡的可靠性。
