802.1x協(xié)議源于802.11協(xié)議,它是一種基于C/S結(jié)構(gòu)的訪問控制協(xié)議,工作在數(shù)據(jù)鏈路層(二層)的協(xié)議。制訂802.1x協(xié)議是為了解決無線局域網(wǎng)用戶的接入認(rèn)證問題,即:限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問LAN、WLAN,以確保網(wǎng)絡(luò)的安全。
802.1x協(xié)議的體系結(jié)構(gòu)包括3個(gè)重要部分:客戶端、接入設(shè)備和認(rèn)證服務(wù)器。
802.1Xx協(xié)議將端口分為可控端口和不可控端口,交換機(jī)可以通過不可控端口完成對用戶的認(rèn)證和控制。業(yè)務(wù)報(bào)文則可以通過可控端口進(jìn)行交換,以此來實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證的分離。
802.1x協(xié)議的認(rèn)證原理
① 用戶有上網(wǎng)需求時(shí),打開802.1X客戶端程序,輸入已經(jīng)申請、登記過的用戶名和口令,發(fā)起連接請求。此時(shí),客戶端程序?qū)l(fā)出請求認(rèn)證的報(bào)文給交換機(jī),啟動一次認(rèn)證過程。
② 交換機(jī)收到請求認(rèn)證的數(shù)據(jù)幀后,將發(fā)出一個(gè)請求幀,要求用戶的客戶端程序?qū)⑤斎氲挠脩裘蜕蟻怼?/p>
③ 客戶端程序響應(yīng)交換機(jī)發(fā)出的請求,將用戶名信息通過數(shù)據(jù)幀送給交換機(jī)。
④ 交換機(jī)將客戶端送上來的數(shù)據(jù)幀經(jīng)過封包處理后送給認(rèn)證服務(wù)器進(jìn)行處理。
⑤ 認(rèn)證服務(wù)器收到交換機(jī)轉(zhuǎn)發(fā)上來的用戶名信息后,在數(shù)據(jù)庫中找到與該用戶名對應(yīng)的口令信息。隨后,用隨機(jī)生成的一個(gè)加密字對它進(jìn)行加密處理,同時(shí)也將此加密字傳送給交換機(jī),由交換機(jī)傳給客戶端程序。
⑥ 客戶端程序收到由交換機(jī)傳來的加密字后,用該加密字對口令部分進(jìn)行加密處理,并通過交換機(jī)傳給認(rèn)證服務(wù)器。
⑦ 認(rèn)證服務(wù)器將來自客戶端的加密口令信息與自身存放的口令信息對比。
如果相同,則認(rèn)為該用戶為合法用戶,認(rèn)證通過。隨后會向交換機(jī)發(fā)出打開端口的指令,允許用戶的業(yè)務(wù)流通過端口訪問網(wǎng)絡(luò)。
如不同,則反饋認(rèn)證失敗,并保持交換機(jī)端口的關(guān)閉狀態(tài),只允許認(rèn)證信息數(shù)據(jù)通過而不允許業(yè)務(wù)數(shù)據(jù)通過。
總結(jié)
在企業(yè)辦公網(wǎng)、生產(chǎn)網(wǎng)等總部-分支無線網(wǎng)場景中,網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)的可靠性提出更高的要求。通過部署無線802.1X認(rèn)證方案不僅保證網(wǎng)絡(luò)安全性,也提升了企業(yè)網(wǎng)絡(luò)的可靠性。
