北信源桌面终端标准化管理系统基于8021x协议的准入控

北信源桌面终端标准化管理系统基于802.1x协议的准入控制方案一、802.1x协议认证描述 802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通

北信源桌面终端标准化管理系统 802.1x 基于协议的准入控制方案 802.1x 一、协议认证描述 802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经 授权的用户/设备通过接入端口访问LAN/MAN。在获得交换机或LAN提供的各种业 务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前， 802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机 端口；认证通过以后，正常的数据可以顺利地通过以太网端口。 网络访问技术的核心部分是PAE（端口访问实体）。在访问控制流程中，端口 访问实体包含3部分：认证者--对接入的用户/设备进行认证的端口；请求者--被 认证的用户/设备；认证服务器--根据认证者的信息，对请求访问网络资源的用户 /设备进行实际认证功能的设备。 二、 802.1x认证特点 基于以太网端口认证的802.1x协议有如下特点：IEEE802.1x协议为二层协议， 不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本；借用了 在RAS系统中常用的EAP（扩展认证协议），可以提供良好的扩展性和适应性，实 现对传统PPP认证架构的兼容；802.1x的认证体系结构中采用了"可控端口"和"不 可控端口"的逻辑功能，从而可以实现业务与认证的分离，由RADIUS和交换机利 用不可控的逻辑端口共同完成对用户的认证与控制，报文直接承载在正常的二层 报文上通过可控端口进行交换，通过认证之后的数据包是无需封装的纯数据包； 可以使用现有的后台认证系统降低部署的成本，并有丰富的支持；可以映射不同 的用户认证等级到不同的VLAN；可以使交换端口和无线LAN具有安全的认证接入 功能。 三、802.1x应用环境及其配置 a. 一台安装IAS或者ACS的RADIUS认证服务器； b. 一台安装VRVEDP服务器；