802.1x认证技术简介

1　背景
　　以太网的高性价比和媒体的特性使其逐渐成为家庭、企业局域网、电信级城域网的主导接入技术，而且随着10 Gbit/s以太网技术的出现，以太网技术在广域网范围内也将获得一席之地，电信运营商和宽带接入提供商开始提供基于以太或纯以太的接入业务。对于以太网络中多数业务来说，运营商无法从物理上完全控制客户端设备或者媒介。运营商要实现对宽带业务的可运营、可管理，就必须从逻辑上对用户或者用户设备进行控制。该控制过程主要通过对用户和用户设备的认证和授权来实施。一般来说，需要进行认证和授权的业务种类包括：
　　(1)提供给多用户系统的以太城域网业务。这些业务包括典型的TLS业务、L2或者L3的VPN业务。在该业务组网环境中，客户前端交换机由同一建筑物内的多个用户共享。
　　(2)在以IEEE 802.11a和IEEE 802.1b提供无线以太接入的热点地区(如机场、商场、学校和餐厅等)，需要基于每个用户设备或者用户进行接入认证.以防止非授权用户接入。
　　(3)基于ATM RFC 1483的DSL业务和IP以太接入网。
　　(4)基于EFM(Ethernet in the First Mile，IEEE 802.3ah)EPON接入和EoVDSL等业务。
　　(5)基于以太的cahle的共享RF信道接入方式。
　　2　IEEE 802.1x协议技术分析
　　IEEE在2001正式颁布了IEEE 802.1x标准，用于基于以太的局域网、城域网和各种宽带接入手段的用户/设备接入认证。这种认证采用基于以太网端口的用户访问控制技术，只有网络系统允许并授权的用户可以访问网络系统的各种业务(如以太网连接、网络层路由、Internet接入等业务)，既可以克服PPPoE方式的诸多问题，又避免了引入集中式宽带接入服务器所带来的巨大投资。
　　802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/MAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。
　　用户侧的以太网交换机上放置一个扩展认证协议(EAP)代理，用户PC机运行EAPoL(EAP over LAN)的客户端软件与交换机通信。网络访问技术的核心部分是PAE(端口访问实体)。在访问控制流程中，端口访问实体包括：认证者(对接入的用户/设备进行认证的端口)、请求者(被认证的用户/设备)和认证服务器(根据认证者的信息，对请求访问网络资源的用户/设备执行实际认证功能的设备)3部分。
　　以太网的每个物理端口分为受控和不受控两个逻辑端口，物理端口收到的每个帧都被送到受控和不受控端口。对受控端口的访问，受限于受控端口的授权状态。认证者的PAE根据认证服务器认证过程的结果，控制“受控端口”的授权/未授权状态。处在未授权状态的控制端口，拒绝用户/设备的访问。
　　2.1　802.1x认证特点
　　基于以太网端口认证的802.1x协议有如下特点&#