网络规划设计师考点：802.1X

使用802.1X的系统为典型的客户端/服务器的体系结构，包括3个实体，分别是客户端、设备端和认证服务器。

（1）客户端：局域网用户终端设备，但必须是支持局域网可扩展认证协议EAPOL的设备，可通过启动客户端设备上安装的802.1x客户端软件（Windows XP系统自带客户端）发起802.1x认证。

（2）设备端：支持802.1x协议的网络设备（如交换机），对所连接的客户端进行认证。它为客户端提供接入局域网的端口。

（3）认证服务器：为设备端802.1x协议提供认证服务的设备，是真正进行认证的设备，实现对用户进行认证、授权和计费，可以是交换机设备端自带的本地认证，但通常为RADIUS服务器或者TACACS服务器。

在设备端PAE和RADIUS服务器之间，802.1X协议可以使用以下两种方式进行交互。

（1）EAP中继方式：

设备端把EAP协议报文以EAPOR封装格式（EAP Over Radius），承载于Radius协议中传送到Radius服务器。Radius服务器来从封装的EAPOR报文中获取客户端认证信息，然后再对客户端进行认证。

这种认证方式的优点是设备端的工作很简单，不需要对来自客户端的EAP报文进行任何处理，只需要用EAPOR对EAP报文进行封装即可，根本不管客户端的认证信息。需要认证服务器支持新的RADIUS属性，能够支持EAP协议。

（2）EAP终结方式：

这种方式将EAP报文在设备端终结并映射到RADIUS报文中，利用标准RADIUS协议完成认证、授权和计费。设备端与RADIUS服务器之间可以采用PAP或者CHAP认证方法。这种认证方式的优点是现有的RADIUS服务器基本均可支持PAP和CHAP认证，无需升级服务器，但设备端的工作比较繁重，因为在这种认证方式中，设备端不仅要从来自客户端的EAP报文中提取客户端认证信息，还要通过标准的RAIUDS协议对这些信息进行封装。

交换机端口对用户的接入控制方式包括基于端口的认证方式和基于MAC地址的认证方式。

（1）基于端口的认证方式

采用基于端口的方式的时候，只要该端口下第一个用户认证成功后，其他接入用户无须认证就可以使用网络资源，但是当第一个用户下线后，其他用户就会被拒绝使用网络。

（2）基于MAC地址的认证方式

当采用基于MAC方式的时候，这个端口下的所有接入用户都需要单独认证，当某个用户下线时候，也就只有这个用户无法使用网络。