802.1x工程笔记

802.1x工程笔记 在某网络测试时，工作笔记。

 一、802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制，以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制（Port-Based Access Control）而定义的一个标准。

 1、802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略。

 2、802.1X是基于端口的认证策略（这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口，对于无线局域网来说个“端口”就是一条信道）

3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通过。

 二、802.1X的认证体系分为三部分结构： Supplicant System，客户端(PC/网络设备)Authenticator System，认证系统 Authentication Server System，认证服务器

三、认证过程

1、认证通过前，通道的状态为unauthorized，此时只能通过EAPOL的802.1X认证报文；

2、认证通过时，通道的状态切换为authorized，此时从远端认证服务器可以传递来用户的信息，比如VLAN、CAR参数、优先级、用户的访问控制列表等等；

3、认证通过后，用户的流量就将接受上述参数的监管，此时该通道可以通过任何报文，注意只有认证通过后才有DHCP等过程。

 4、Supplicant System- Client（客户端）是—需要接入LAN，及享受switch提供服务的设备（如PC机），客户端需要支持EAPOL协议，客户端必须运行802.1X客户端软件，如：802.1X-complain、Windows XP等

四、配置

1、先配置switch到radius server的通讯 全局启用802.1x身份验证功能

Switch# configure terminal

Switch(config)# aaa new-model

Switch(config)# aaa authentication dot1x {default} method1[method2...] 指定radius服务器和密钥

switch(config)#radius-server host ip_add key string

2、在port上起用802.1x

Switch# configure terminal

Switch(config)# interface fastethernet0/1

Switch(config-if)# switchport mode access

Switch(config-if)# dot1x port-control auto

Switch(config-if)# end