详细讲解什么是802.1X协议

1、什么是802.1X

802.1X是IEEE802家庭族中的一员，是一个基于端口的网络访问控制机制，主要用于对接入用户的认证，以前的局域网只要用户接入到交换机上就可以访问网络了，这样是非常不安全的，有了802.1X协议，用户需要通过认证才能访问计算机网络，极大提高了网络的安全性。

2、应用场景

802.1X最初是为了解决无线网用户的接入安全而设计的一个协议，后为也被应用到了有线网络环境中，员工的办公电脑和移动设备在接入网络之前，要先进行认证，只有通过认证的设备才有权接入到网络中，严格的认证授权机制可以保护企业机密信息的安全性，确保只有合法身份的用户才可以访问企业数据，同时还可防范恶意的攻击行为。

3、工作原理

802.1X协议工作在数据链路层，用于2层用户身份的验证，是典型的C/S结构，主要由三个部分组成：请求方，认证方，认证服务器。

1）请求方：用户终端设备，比如个人的电脑、手机等，在接入网络之前会发起认证请求，该请求会被认证者接收处理。

2）认证者：交换机或是无线接入点，认证者并不会对用户身份进行验证，只是负责将请求方的流量传递给认证服务器，它会维护两个虚拟端口：受控端口和非受控端口。非受控端口主要用来传递EAPoL协议报文，保证请求方可以始终能够发送或接收认证报文。受控端口主要用于传递业务报文，只有通过认证的报文方可通过。

3）认证服务器：如RADIUS服务器，用于对请求方提出的认证请求进行认证。

4、EAP和EAPoL

EAP（Extensible Authentication Protocol可扩展认证协议），请求方、认证者和认证服务器之间需要使用EAP协议进行信息交互。EAPoL是802.1X定义的报文封闭格式，EAP协议报文使用EAPoL进行封装，直接承载于LAN环境中。

5、认证过程：

1）将有用户设备需要接入网络中时，打开802.1X客户端程序发起连接请求，该认证请求报文会被发送给认证者。

2）认证者收到认证请求后，会要求请求方提供身份信息。

3）请求方将用户信息发送给认证者，认证者将收到的身份信息发送给认证服务器，等待认证服务器进行处理。

4）认证服务器收到身份信息后，会对其进行加密处理，然后将加密字发送给认证方，由认证者转发给请求方。

5）请求方收到加密字后，使用该加密字对密码部分进行加密处理，再通过认证者转发给认证服务器。

6）认证服务器收到加密的信息和本地加密的信息进行对比，如果结果相同则通过认证。

7）认证者收到认证通过信息后，会将端口转为授权状态，用户即可接入网络。