在城域網(wǎng)建設(shè)初期，大家對可運營、可治理性的熟悉還不是很一致，802.1x認證技術(shù)可能會有一定的市場空間，隨著寬帶IP城域網(wǎng)建設(shè)的逐步成熟和對可治理的關(guān)注，基于端口開關(guān)狀態(tài)的802.1x認證技術(shù)不會成為主流 。
四、802．1x協(xié)議工作機制
以太網(wǎng)技術(shù)“連通和共享”的設(shè)計初衷使目前由以太網(wǎng)構(gòu)成的網(wǎng)絡(luò)系統(tǒng)面臨著很多安全問題 。IEEE 802.1X協(xié)議正是在基于這樣的背景下被提出來的，成為解決局域網(wǎng)安全問題的一個有效手段 。
在802.1X協(xié)議中，只有具備了以下三個元素才能夠完成基于端口的訪問控制的用戶認證和授權(quán) 。
1.客戶端：一般安裝在用戶的工作站上，當(dāng)用戶有上網(wǎng)需求時，激活客戶端程序，輸入必要的用戶名和口令，客戶端程序?qū)统鲞B接請求 。
2.認證系統(tǒng)：在以太網(wǎng)系統(tǒng)中指認證交換機，其主要作用是完成用戶認證信息的上傳、下達工作，并根據(jù)認證的結(jié)果打開或關(guān)閉端口 。
3.認證服務(wù)器：通過檢驗客戶端發(fā)送來的身份標(biāo)識（用戶名和口令）來判別用戶是否有權(quán)使用網(wǎng)絡(luò)系統(tǒng)提供的網(wǎng)絡(luò)服務(wù)，并根據(jù)認證結(jié)果向交換機發(fā)出打開或保持端口關(guān)閉的狀態(tài) 。
在具有802.1X認證功能的網(wǎng)絡(luò)系統(tǒng)中，當(dāng)一個用戶需要對網(wǎng)絡(luò)資源進行訪問之前必須先要完成以下的認證過程 。
在具有802.1X認證功能的網(wǎng)絡(luò)系統(tǒng)中，當(dāng)一個用戶需要對網(wǎng)絡(luò)資源進行訪問之前必須先要完成以下的認證過程 。
1.當(dāng)用戶有上網(wǎng)需求時打開802.1X客戶端程序，輸入已經(jīng)申請、登記過的用戶名和口令，發(fā)起連接請求 。此時，客戶端程序?qū)l(fā)出請求認證的報文給交換機，開始啟動一次認證過程 。
2.交換機收到請求認證的數(shù)據(jù)幀后，將發(fā)出一個請求幀要求用戶的客戶端程序?qū)⑤斎氲挠脩裘蜕蟻?。
3.客戶端程序響應(yīng)交換機發(fā)出的請求，將用戶名信息通過數(shù)據(jù)幀送給交換機 。交換機將客戶端送上來的數(shù)據(jù)幀經(jīng)過封包處理后送給認證服務(wù)器進行處理 。
4.認證服務(wù)器收到交換機轉(zhuǎn)發(fā)上來的用戶名信息后，將該信息與數(shù)據(jù)庫中的用戶名表相比對，找到該用戶名對應(yīng)的口令信息，用隨機生成的一個加密字對它進行加密處理，同時也將此加密字傳送給交換機，由交換機傳給客戶端程序 。
5.客戶端程序收到由交換機傳來的加密字后，用該加密字對口令部分進行加密處理（此種加密算法通常是不可逆的），并通過交換機傳給認證服務(wù)器 。
6.認證服務(wù)器將送上來的加密后的口令信息和其自己經(jīng)過加密運算后的口令信息進行對比，假如相同，則認為該用戶為合法用戶，反饋認證通過的消息，并向交換機發(fā)出打開端口的指令，答應(yīng)用戶的業(yè)務(wù)流通過端口訪問網(wǎng)絡(luò) 。否則，反饋認證失敗的消息，并保持交換機端口的關(guān)閉狀態(tài)，只答應(yīng)認證信息數(shù)據(jù)通過而不答應(yīng)業(yè)務(wù)數(shù)據(jù)通過 。
這里要提出的一個值得注重的地方是: 在客戶端與認證服務(wù)器交換口令信息的時候，沒有將口令以明文直接送到網(wǎng)絡(luò)上進行傳輸，而是對口令信息進行了不可逆的加密算法處理，使在網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒂辛烁叩陌踩Ｕ?，杜絕了由于下級接入設(shè)備所具有的廣播特性而導(dǎo)致敏感信息泄漏的問題 。
在802.1X解決方案中，通常采用基于MAC地址的端口訪問控制模式 。采用此種模式將會帶來降低用戶建網(wǎng)成本、降低認證服務(wù)器性能要求的優(yōu)點 。對于此種訪問控制方式，應(yīng)當(dāng)采用相應(yīng)的手段來防止由于MAC、IP地址假冒所發(fā)生的網(wǎng)絡(luò)安全問題 。
1.對于假冒MAC地址的情況
當(dāng)認證交換機的一個物理端口下面再級連一臺接入級交換機，而該臺接入交換機上的甲用戶已經(jīng)通過認證并正常使用網(wǎng)絡(luò)資源，則此時在認證交換機的該物理端口中就已將甲用戶終端設(shè)備的MAC地址設(shè)定為答應(yīng)發(fā)送業(yè)務(wù)數(shù)據(jù) 。假如同一臺接入交換機下的乙用戶將自己的MAC地址修改得與甲用戶的MAC地址相同，則即使乙用戶沒有經(jīng)過認證過程也能夠使用網(wǎng)絡(luò)資源了，這樣就給網(wǎng)絡(luò)安全帶來了漏洞 。針對此種情況，港灣網(wǎng)絡(luò)交換機在實現(xiàn)了802.1X認證、授權(quán)功能的交換機上通過MAC地址 IP地址的綁定功能來阻止假冒MAC地址的用戶非法訪問 。

推薦閱讀

• 

  對M639市場價格和前景的估計
• 

  理想L7配置性能介紹 理想汽車2023款最新款價格
• 

  虎皮蘭打蔫還有救嗎
• 

  乒乓球的型號有哪些
• 

  幼貓能不能驅(qū)蟲 幼貓能不能驅(qū)蟲藥
• 

  領(lǐng)帶的由來
• 

  湖南自貿(mào)區(qū)長沙片區(qū)院校輸送和企業(yè)吸納畢業(yè)生獎勵申報流程
• 

  現(xiàn)成的丸子怎么做湯
• 

  win10系統(tǒng)顯示器縮放比例設(shè)置方法 電腦屏幕怎么縮小比例
• 

  菲斯塔軸距多長
• 

  公路邊的芒果可以吃嗎
• 

  辛集招聘，辛集哪些地方招工
• 

  死神有什么網(wǎng)頁游戲,火影和死神的網(wǎng)頁游戲手機版
• 

  人妖犯了罪，該關(guān)進男監(jiān)獄還是女監(jiān)獄
• 

  52歲的斯琴格日樂無夫無子 斯琴格日樂老公
• 

  木頭上油用什么油，木頭表面打磨用什么工具好

• TCP/IP協(xié)議處理 由“軟”轉(zhuǎn)“硬”
• 在Vovida的基礎(chǔ)上實現(xiàn)自己的SIP協(xié)議棧①
• TCP/IP協(xié)議中的三個參數(shù)
• 802．1x協(xié)議工作機制
• QoS 的協(xié)議與結(jié)構(gòu)
• 剖析TCP和UDP協(xié)議
• TCP協(xié)議的擁塞控制策略及改進
• 802.17和城域環(huán)網(wǎng)協(xié)議
• 輕松學(xué)習(xí)SNMP協(xié)議之入門篇
• PPP協(xié)議涉及到的幾個典型壓縮技術(shù)