802.1x协议简述

转载文章：一文读懂802.1x协议

协议简介

802.1x协议是一种基于C/S结构的访问「控制协议」，工作在数据链路层，也就是二层协议。

• 「C/S结构」：server/client的简称，分为服务器和客户机两层结构，其中服务器负责数据的管理，客户机负责用户的交互
• 「访问控制」：一种控制访问权限的技术，规定谁可以访问谁，谁不可以访问谁
• 「协议」：网络协议的简称，本质上是一系列的规则，比如两个电脑之间怎么建立连接，怎么互相识别，都需要遵守一定的规则。由于网络环境相当负责，故而将整个网络分为七个部分，也就是我们常说的0SI七层模型，每一层都有对应的协议，某一层的协议发生改变时，不会影响其他层的协议

802.1x协议作用

限制未经「授权」的用户/设备通过接入端口访问LAN/WLAN，以确保网络的安全

• 「端口」：设备与外界通信的出口，分为虚拟端口和物理端口，虚拟端口指不可见端口，如计算机的21,23,80端口；物理端口又称为接口，是可见端口，比如电脑/电话的网线接口
• 「LAN」:局域网，也就是通过网线将计算机连接起来，构成一个局部的网络范围，范围内的计算机可以互相通信
• 「WLAN」：Wireless Local Area Network的简称，也就是无线局域网，使用无线通信技术而不是网线将计算机互联起来

逻辑端口

IEEE 802.1Xx协议将端口分为「可控端口」和「不可控端口」，交换机利用不可控端口完成对用户的认证和控制，业务报文通过可控端口进行交换，以此来实现业务与认证的分离

802.1x协议认证原理

1. 用户输入用户名和密码，发起连接请求，客户端程序发送请求认证的报文给交换机，开启认证
2. 交换机收到请求认证的数据帧以后，将发出一个请求帧要求客户端发送用户输入的用户名
3. 客户端程序响应交换机的请求，发送一个包含用户名的数据帧给交换机，交换机将收到数据帧后将其封包并发送给认证服务器进行处理
4. 认证服务器收到交换机发送的用户名后，查询数据库进行匹配，匹配成功后找到用户名对应的密码，用随机生成的加密字将其加密后，将加密字发送给交换机，交换机再将加密字传送给客户端程序
5. 客户端程序使用收到的加密字对用户输入的密码进行加密，并将加密后的密码发送给交换机，由交换机发送给认证服务器
6. 认证服务器将收到的密码进行对比，如果相同则为授权用户，返回认证通过的信息，并向交换机发出打开端口的指令，允许用户通过端口访问网络；否则就是未授权用户，只允许认证信息数据通过而不允许业务数据通过