802.1是基于端口的網(wǎng)絡(luò )訪(fǎng)問(wèn)控制和認證協(xié)議( Port Based Network Access Control Protoco1)，起源于802.11無(wú)線(xiàn)以太網(wǎng)協(xié)議，最初主要是為了解決無(wú)線(xiàn)局域網(wǎng)用戶(hù)的接入認證問(wèn)題而提出的協(xié)議標準。它可以限制未經(jīng)授權的用戶(hù)/設備通過(guò)接入端口訪(fǎng)問(wèn) LAN/MAN在獲得交換機或LAN提供的各種業(yè)務(wù)之前，802.1x對連接到交換機端ロ上的用戶(hù)/設備進(jìn)行認證。在認證通過(guò)之前，802.1x只允許 EAPOL(基于局域網(wǎng)的擴展認證協(xié)議〕數據通過(guò)設備連接的交換機端口；認證通過(guò)以后，正常的數據可以順利地通過(guò)以太網(wǎng)端口。目前802.1x協(xié)議已成為主流交換機的標準配置，它己是用戶(hù)在選型時(shí)考察設備的一項技術(shù)指標。



IEE意識到PPoE在用于純以太網(wǎng)絡(luò )環(huán)境接入控制中的種種缺陷，終于在2001正式頒布了IEEE802.1x標準，用于基于以太的局域網(wǎng)、城域網(wǎng)和各種寬帶接入手段的用戶(hù)/設備接入認證。該協(xié)議最初假定的應用環(huán)境是交換式以太網(wǎng)中，但是在標準化過(guò)程中也考慮到了像801.11b和 Cable接入等共享式以太網(wǎng)絡(luò )應用環(huán)境對認證的要求。802.1x認證采用基于以太網(wǎng)端口的用戶(hù)訪(fǎng)問(wèn)控制技術(shù)，可以克服PPOE方式帶來(lái)的諸多問(wèn)題，并避免引入集中式寬帶接入服務(wù)器所帶來(lái)的巨大投資。

在傳統以太網(wǎng)設備基礎上，基于端口的網(wǎng)絡(luò )訪(fǎng)問(wèn)控制技術(shù)采用IEEE-802.1x協(xié)議，提供了對基于以太網(wǎng)的點(diǎn)到點(diǎn)連接的端口用戶(hù)進(jìn)行認證和授權的能力，從而使以太網(wǎng)設備達到電信運營(yíng)要求。用戶(hù)側的以太網(wǎng)交換機上放置一個(gè)擴展認證協(xié)議(EAP)代理，用戶(hù)PC機運行 EAPOL( EAP over LAN)的客戶(hù)端軟件與交換機通信?；诙丝诘木W(wǎng)絡(luò )訪(fǎng)問(wèn)技術(shù)的基本思想是網(wǎng)絡(luò )系統可以控制面向最終用戶(hù)的以太網(wǎng)端口，使得只有網(wǎng)絡(luò )系統允許并授權的用戶(hù)可以訪(fǎng)問(wèn)網(wǎng)絡(luò )系統的各種業(yè)務(wù)(如以太網(wǎng)連接，網(wǎng)絡(luò )層路由， Internet接入等業(yè)務(wù))。

認證系統是支持802.1x協(xié)議的網(wǎng)絡(luò )設備，如交換機所提供的802.1x認證服務(wù)，它接收用戶(hù)客戶(hù)端的認證請求并實(shí)現認證:認證服務(wù)由 Radius等后臺計費系統組成，主要是存儲客戶(hù)端的資料，還有用戶(hù)的開(kāi)帳，和計費的管理和計費業(yè)務(wù)功能:客戶(hù)端實(shí)體，是由用戶(hù)所使用的機器上的客戶(hù)端軟件發(fā)起802.1x認證的過(guò)程，客戶(hù)端軟件通過(guò)EAPOL協(xié)議與認證系統進(jìn)行通訊。

802.1x的主要特點(diǎn)是實(shí)現業(yè)務(wù)流和控制流分開(kāi)，用戶(hù)通過(guò)認證后，業(yè)務(wù)、認證流分離，系統對后續數據包無(wú)特殊處理，不僅可以有效消除網(wǎng)絡(luò )瓶頸，而且使業(yè)務(wù)處理更為靈活。尤其在提供寬帶組播等業(yè)務(wù)時(shí)，所有業(yè)務(wù)均不受認證方式限制，從根本上改變了傳統業(yè)務(wù)模式。與傳統的 PPPOE的認證方式，無(wú)論從認證開(kāi)銷(xiāo)上，網(wǎng)絡(luò )易用性上，還是從網(wǎng)絡(luò )投資的成本上，都要有著(zhù)無(wú)法比擬的優(yōu)勢。網(wǎng)絡(luò )訪(fǎng)問(wèn)技術(shù)的核心部分是PAE(端口訪(fǎng)問(wèn)實(shí)體)。在訪(fǎng)問(wèn)控制流程中，端口訪(fǎng)問(wèn)實(shí)體包含3部分:

◆認證者一一對接入的用戶(hù)/設備進(jìn)行認證的端口
 
◆請求者 被認證的用戶(hù)/設備

◆認證服務(wù)器一一根據認證者的信息，對請求訪(fǎng)問(wèn)網(wǎng)絡(luò )資源的用戶(hù)/設備進(jìn)行實(shí)際認證功能的設備。

以太網(wǎng)的每個(gè)網(wǎng)站設計物理端口被分為受控和不受控的兩個(gè)邏輯端口，物理端口收到的每個(gè)幀都被送到受控和不受控端口。對受控端口的訪(fǎng)問(wèn)，受限于受控端口的授權狀態(tài)。認證者的PAE根據認證服務(wù)器認證過(guò)程的結果，控制“受控端口”的授權/未授權狀態(tài)。處在未授權狀態(tài)的控制端口將拒絕用戶(hù)/設備的訪(fǎng)問(wèn)。