8021x(1X认证协议)

大家好，关于8021x很多朋友都还不太明白，今天小编就来为大家分享关于1X认证协议的知识，希望对各位有所帮助！

802.1X是一种基于端口的网络接入控制协议，实现用户级的接入控制，能控制用户的网络访问权限，防止身份不明或未经授权的用户传输和接收数据。使用可扩展认证协议（ExtensibleAuthenticationProtocol，EAP）来实现客户端、网络设备端和认证服务器之间的信息交互，EAP协议可以运行在数据链路层，而不需要IP地址，具有良好的灵活性。

受控/非受控端口：

在802.1X协议中，物理接入端口被划分为“受控端口”和“非受控端口”这两个逻辑端口，非受控端口主要用于传递EAPOL（ExtensibleAuthenticationProtocoloverLANs）协议帧，用于发出或接收认证报文，始终处于连通状态；而受控端口用于传递业务报文。如果认证成功，打开端口，允许客户端的业务报文通过；如果认证不成功，关闭端口状态。

端口接入授权模式：

1，强制授权模式（authorized-force）：端口始终处于授权状态，允许不经认证授权即可访问网络资源；

2，强制非授权模式（unauthorized-force）：端口始终处于非授权状态，不对接入的客户端提供认证服务；

3，自动识别模式（auto）：表示端口初始状态为非授权状态，仅允许EAPOL报文收发，如果认证通过，则端口切换到授权状态，允许访问网络资源；实行双向受控时，禁止帧的发送和接收，实行单向受控时，禁止从客户端接收帧，但允许向客户端发送帧；

端口接入控制模式：

1，采用基于端口的控制方式时，只要该端口下的第一个用户认证成功后，其它接入用户无须认证就可使用网络资源，但当第一个用户下线后，其它用户也会被拒绝使用网络；

2，当采用基于MAC的接入控制方式时，该端口下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络。

1，802.1X协议为二层协议，不需要到达三层，可以有效降低建网成本；

2，在未授权状态下，不允许与客户端交互业务报文，因此保证了业务安全；

3，需要有为RADIUS（RemoteAuthenticationDialInUserService）服务器进行进行认证、授权和计费；

数据传输方式：

1，设备端与RADIUS服务器之间的EAP终结方式：接入网络设备直接解析EAP（ExtensibleAuthenticationProtocol）报文，把解析后的认证信息通过标准的RADIUS协议封装，并将封装后的RADIUS报文发送给RADIUS服务器进行认证。

2，设备端与RADIUS服务器之间的EAP中继方式EAPOR（EAPoverRADIUS）：接入网络设备对接收到的EAP报文不作任何处理，直接将EAP报文封装到RADIUS报文中，并将封装后的RADIUS报文发送给RADIUS服务器进行认证。

3，客户端与网络设备端之间，EAP协议报文使用EAPOL封装格式，直接承载于LAN环境中；

EAPOL的数据类型：

EAP-Packet（值为0x00）：认证信息帧，用于承载认证信息，在设备端用RADIUS协议重新封装，发送到达认证服务器；

EAPOL-Start（值为0x01）：客户端发起认证帧；

EAPOL-Logoff（值为0x02）：客户端退出请求帧

认证触发方式：

1，客户端主动触发方式：发送EAPOL-Start报文来触发认证，该报文目的地址组播MAC地址（01-80-C2-00-00-03）或广播MAC地址；

2，每隔N秒（例如10秒）主动向客户端发送EAP-Request/Identity报文来触发认证，主要用于不能主动发送EAPOL-Start报文的客户端；

EAP中继方式工作原理：

1，客户端打开802.1X程序，发起连接请求（EAPOL-Start报文）；

2，设备端收到请求认证的数据后，发出一个请求帧（EAP-Request/Identity）要求客户端程序发送用户名标识；

3，客户端响应设备端请求，将标识通过数据帧（EAP-Response/Identity）发送给设备端，设备端将客户端发送的数据经过封包处理后（RADIUSAccess-Request报）送给RADIUS认证服务器；

4，RADIUS解析EAP后，将该信息与库中的用户标识对比，找到该用户对应的密码，对它进行加密处理，同时也将此加密标识通过RADIUSAccess-Challenge报文发送给设备端，由设备端转发给客户端程序；

5，客户端收到加密标识（EAP-Request/MD5Challenge）后，用该加密标识对密码部分进行加密处理，生成EAP-Response/MD5Challenge报文，通过设备端传给认证服务器；

6，RADIUS将加密的密码信息（RADIUSAccess-Request）和自已经过加密运算后的信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息（RADIUSAccess-Accept和EAP-Success）;

7，设备收到认证通过消息后将端口改为授权状态，允许用户通过端口访问网络。

8，客户端发送EAPOL-Logoff报文给设备端，主动要求下线，设备端把端口状态从授权状态改变成未授权状态，并向客户端发送EAP-Failure报文；

2.EAP终结方式工作原理：

与EAP中继方式的认证流程相比较，不同之处在设备端需解析EAP数据名，设备负担比较重，加密标识（加密方式如MD5）由设备端生成，对解析后的用户密码信息进行加密处理，设备端会把用户名、随机加密标识和客户端加密后的密码信息一起送给RADIUS服务器，进行相关的认证处理。

802.1X其它特性

1，VLAN下发：授权下发的VLAN的优先级高于用户配置的VLAN；

2，GuestVLAN：允许用户在未认证的情况下，可以访问某一特定VLAN中的资源，比如获取客户端软件；

3，Auth-FailVLAN：允许用户在认证失败的情况下可以访问某一特定VLAN中的资源，这个VLAN称之为Auth-FailVLAN；

4，ACL下发（AccessControlList，访问控制列表）：控制用户访问网络资源和限制用户访问权限的功能；

5，指定端口的强制认证域（mandatorydomain）：为802.1X接入提供了一种安全控制策略，被强制使用该认证域来进行认证、授权和计费，可以防止用户通过恶意假冒其它域账号来接入网络；

关于8021x的内容到此结束，希望对大家有所帮助。