802.1x在交换机中的角色

802.1x在交换机中处在一个什么样的角色，在说明书的第11章“网络安全”可以看到。本模块针对局域网中常见的网络攻击进行防护，主要介绍了：

• 四元绑定：是将计算机的 MAC地址和 IP 地址，所属 VLAN 以及连接交换机的端口号四者绑定。
• ARP防护：对局域网中的ARP攻击进行防护。
• IP 源防护：对局域网中的 IP 数据包进行过滤。
• DoS 防护：对常见的DoS 攻击进行防护。
• 802.1X认证：配置交换机对局域网接入用户进行接入认证。

802.1x定义

802.lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。

802.1x协议起源于802.11协议，后者是IEEE的无线局域网协议，802.1X是IEEE2001年6月通过的基于端口访问控制的接入管理协议标准。制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。IEEE802LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制设备(如LANS witch)，就可以访问局域网中的设备或资源。这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。但是随着移动办公及驻地网运营等应用的大规模发展，服务提供者需要对用户的接入进行控制和配置。尤其是WLAN的应用和LAN接入在电信网上大规模开展，有必要对端口加以控制以实现用户级的接入控制，802.lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。

IEEE 802.1X是根据用户ID或设备，对网络客户端(或端口)进行鉴权的标准。该流程被称为“端口级别的鉴权”。

IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1X协议。后来，802.1X协议作为局域网端口的一个普通接入控制机制应用于以太网中，主要解决以太网内认证和安全方面的问题。

802.1X协议是一种基于端口的网络接入控制（Port Based Network Access Control）协议。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源――相当于连接被物理断开。

相关术语

• AAA Authentication,Authorization and Accounting 认证授权和计费
• EAP Extensible Authentication Protocal 可扩展认证协议
• EAPOL EAP over LAN 局域网上传送EAP协议
• PAP Password Authentication Protocal 密码认证协议
• RADIUS Remote Authentication Dial-In User Service 远端拨入用户验证服务
• authenticator 认证者 位于网络一端的实体，对连接到网络另一端的实体进行认证
• authentication server 认证服务器 为认证者提供认证服务的实体
• supplicant 申请者 位于局域网段一端的一个实体，由连接到该链接另一端的认证者对其进行认证
• network access port 网络接入端口 网络接入点，可以是物理端口，也可以是逻辑端口，对于无线网络来说一个信道就是一个网络接入端口
• PAE(port access entity) 端口访问实体 认证机制中负责执行算法和协议操作的实体