H3C-802.1X

802.1X作为一种基于端口的用户访问控制安全机制

802.1X，全称为Port-Based Networks Access Control，即基于端口的网络访问控制，它起源于无线网络标准802.11协议，802.11协议是标准的无线局域网协议，802.1X协议设计的最初的目的是为了解决无线局域网用户的接入认证问题

现在802.1X协议作为局域网一种普遍的端口接入控制机制在以太网中被广泛应用，主要用以解决以太网内认证和安全方面的问题。

IEEE 802.1X协议采用典型的客户端/服务器体系结构，包括三个主要的部分：客户端（Supplicant System）、认证系统（Authenticator System）以及认证服务器（Authentication Server System）

认证系统也称NAS（Network Access System，即网络接入系统）,通常为支持802.1X协议的网络设备

认证服务器通常为Radius服务器，该服务器可以存储有关用户的认证、计费、业务信息，比如用户所属的VLAN、CAR参数、优先级、用户的访问控制列表等等

• NAS主动触发认证方式

• 客户端主动触发认证方式

如果用户要上网，则可以通过客户端软件主动发起认证。客户端软件会向NAS发送EAPOL-Start报文主动发起认证。该报文目的地址为IEEE 802.1X协议分配的一个组播MAC地址：01-80-C2-00-00-03。

NAS在收到客户端发送的EAPOL-Start报文后，会发送EAP-Request/Identity报文响应用户请求，要求用户发送身份标识，这样就启动了一个认证过程。NAS还支持广播触发方式

退出认证

Ø 与端口对应的MAC地址出现故障（管理性禁止或硬件故障）；

Ø 客户端与NAS之间的连接失败，造成认证超时；

Ø 客户端未响应NAS发起的认证请求；

Ø 客户端发送EAPOL-Logoff报文，主动下线。

防止用户的访问权限被他人盗用，通过发送EAPOL-Logoff报文，可以使NAS将对应的端口状态改变为未认证状态。

认证方式

EAP终结：用户认证信息先交给设备，再由设备交给Server

EAP透传（EAP中继）：用户上传用户名至设备后，后续认证信息直接传递给Server

支持基于端口和基于MAC的不同认证方式

灵活的用户业务下发

目前H3C公司设备支持的下发业务包括VLAN业务、ACL业务和CAR业务等。

定期握手机制取代了重新认证机制

独特的代理用户检测

校园网中，用户通过Proxy上网来实现"一个账号多人使用"的情况较普遍

交换机的802.1X代理用户检测特性主要检测三类特殊用户：其一检测使用代理服务器登录的用户；其二检测使用IE代理服务器登录的用户；其三则检测用户是否使用多网卡，即用户登录时，其PC上处于激活状态的网卡超过一个。

根据客户端检测的结果，应答的结果有两种：正常上网或者通过Proxy上网。如果检测结果是正常方式上网，则设备继续与客户端握手，并保持客户端在线状态；如果结果为Proxy上网，且NAS检测到上面提到的三类中任意一类特殊用户时，可以采取两种不同措施：一种是只发送下线消息Logoff切断用户连接，拒绝用户上网，不发送Trap报文。另一种则是与之相反，即不切断用户连接，保持用户在线，但会根据设备端的配置给网管报送Trap信息。

该功能的实现需要NAS与H3C公司的802.1X客户端程序iNode配合使用，实现对Proxy的检测，提高网络的可管理性。

802.1X广泛应用于企业网络中，以保护网络安全和保密性。下面是一些常见的应用场景：

1、企业内部网络：802.1X可以保护企业内部网络不受未经授权的访问。只有经过身份验证的用户才能够访问企业内部网络。

2、公共场所网络：公共场所网络如机场、酒店、咖啡厅等地方，往往需要提供无线网络服务。802.1X可以防止未经授权的用户访问网络，同时保护用户数据的安全性。

3、BYOD网络：由于越来越多的用户在自己的设备上访问公司网络，802.1X可以确保只有经过身份验证的设备可以访问公司网络。

4、特殊网络：某些网络中，如金融机构或政府机构网络，需要更高级别的安全性。802.1X可以确保只有经过身份验证的用户才能够访问这些网络。

802.1X已经支持常见的身份验证方法，如用户名/密码、数字证书等。未来，802.1X可能会支持更多的身份验证方法，如生物识别技术、物联网认证等。