一文搞懂802.1x协议，认证逃生方案的核心技术

802.1x协议源于802.11协议，它是一种基于C/S结构的访问控制协议，工作在数据链路层（二层）的协议。制订802.1x协议是为了解决无线局域网用户的接入认证问题，即：限制未经授权的用户/设备通过接入端口访问LAN、WLAN，以确保网络的安全。

802.1x协议的体系结构包括3个重要部分：客户端、接入设备和认证服务器。

802.1Xx协议将端口分为可控端口和不可控端口，交换机可以通过不可控端口完成对用户的认证和控制。业务报文则可以通过可控端口进行交换，以此来实现业务与认证的分离。

802.1x协议的认证原理

①　用户有上网需求时，打开802.1X客户端程序，输入已经申请、登记过的用户名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给交换机，启动一次认证过程。

②　交换机收到请求认证的数据帧后，将发出一个请求帧，要求用户的客户端程序将输入的用户名送上来。

③　客户端程序响应交换机发出的请求，将用户名信息通过数据帧送给交换机。

④　交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。

⑤　认证服务器收到交换机转发上来的用户名信息后，在数据库中找到与该用户名对应的口令信息。随后，用随机生成的一个加密字对它进行加密处理，同时也将此加密字传送给交换机，由交换机传给客户端程序。

⑥　客户端程序收到由交换机传来的加密字后，用该加密字对口令部分进行加密处理，并通过交换机传给认证服务器。

⑦　认证服务器将来自客户端的加密口令信息与自身存放的口令信息对比。

如果相同，则认为该用户为合法用户，认证通过。随后会向交换机发出打开端口的指令，允许用户的业务流通过端口访问网络。

如不同，则反馈认证失败，并保持交换机端口的关闭状态，只允许认证信息数据通过而不允许业务数据通过。

总结

在企业办公网、生产网等总部-分支无线网场景中，网络管理员对网络的可靠性提出更高的要求。通过部署无线802.1X认证方案不仅保证网络安全性，也提升了企业网络的可靠性。