802.1X(DOT1X)端口用户认证协议

一、802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制，以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制（Port-Based Access Control）而定义的一个标准。
1、802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略。
2、802.1X是基于端口的认证策略（这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口，对于无线局域网来说个“端口”就是一条信道）
3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通过。

二、802.1X的认证体系分为三部分结构：
Supplicant System，客户端(PC/网络设备)Authenticator System，认证系统
Authentication Server System，认证服务器

三、认证过程
1、认证通过前，通道的状态为unauthorized，此时只能通过EAPOL的802.1X认证报文；2、认证通过时，通道的状态切换为authorized，此时从远端认证服务器可以传递来用户的信息，比如VLAN、CAR参数、优先级、用户的访问控制列表等等；
3、认证通过后，用户的流量就将接受上述参数的监管，此时该通道可以通过任何报文，注意只有认证通过后才有DHCP等过程。
4、Supplicant System- Client（客户端）是―需要接入LAN，及享受switch提供服务的设备（如PC机），客户端需要支持EAPOL协议，客户端必须运行802.1X客户端软件，如：802.1X-complain、Windows XP等

四、配置
1、先配置switch到radius server的通讯
全局启用802.1x身份验证功能
Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa authentication dot1x {default} method1[method2...]
指定radius服务器和密钥
switch(config)#radius-server host ip_add key string
2、在port上起用802.1x
Switch# configure terminal
Switch(config)# interface fastethernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x port-control auto
Switch(config-if)# end

 

通过前，通道的状态为unauthorized，此时只能通过EAPOL的802.1X认证报文；2、认证通过时，通道的状态切换为authorized，此时从远端认证服务器可以传递来用户的信息，比如VLAN、CAR参数、优先级、用户的访问控制列表等等

 

PS: 802.1X与PPPOE及WEB/PORTAL的区别与联系

1.PPPOE简单点理解为在PPP协议上加上了以太网的报头，以便在以太网中传输。用户可以使用简单的桥接设备进入远程服务器，然后实现接入控制和计费等功能。
2.IEEE 802.1X主要是为了实现局域网的接入控制，比如禁止非法接入企业内部网络等。IEEE 802.1X是一个二层协议。
因此这两者之间的适用范围不同。但是PPPoE可以做为802.1X的验证方式来使用，PPPoE用来验证用户身份，802.1X用来限制用户访问，这也是可以的。

3. 事实上802.1X本身依赖于其他的验证方式来进行身份验证，802.1X实际是上对端口进行接入控制，其他验证用户的方式还是有多种，可以是PPPOE，也可以是WEB/PORTAL，它支持多种验证协议。或许把802.1X叫做“联动机制”比较恰当，也就是说，802.1X是用来控制端口的验证状态的，而端口处于什么状态又由验证方式来决定。