随着基于以太业务应用的日益广泛，迫切需要一种能适应以太网多业务承载需求，兼顾以太接入灵活性和扩展性好的特点，并能确保以太接入安全性，支持运营商对接入用户进行控制和管理的接入认证技术。网络上原有的认证系统如PPPOE和Web/Portal认证方式，越来越不适应用户数量急剧增加和宽带业务多样性的要求，暴露了传统认证的弊端。宽带网络发展提出了新的认证需求。IEEE 802．1x通过对认证方式和认证体系结构进行优化，有效地解决了传统PPPoE和Web／Portal认证方式带来的问题，消除了网络瓶颈，减轻了网络封装开销，降低了建网成本，从而成为当前校园网选型的一个热点。 

开创认证协议新时代

传统PPPOE是从基于ATM的窄带网引入到宽带以太网的。虽然其方式较灵活，在窄带网中有较丰富的应用经验，但可以看出，PPPOE并不是为宽带以太网量身定做的认证技术，将其应用于宽带以太网，必然会有其局限性，尤其是它的封装方式也造成了宽带以太网发展中的种种问题。

在传统的Web/Portal认证中，无论什么用户都可以先获得IP地址，再上网通过客户端认证。Web/Portal方式在认证前就为用户分配了IP地址，对目前网络珍贵的IP地址来说造成了浪费，而且分配IP地址的Web认证服务器对用户而言是完全裸露的，容易被恶意攻击，一旦受攻击瘫痪，整网就没法认证。

当传统的认证方式成为宽带IP网发展的障碍时，必定会出现新的认证技术来取代它，推动宽带以太网的发展。802.1x标准认证协议的出现，完全解决了传统PPPOE和WEB/PORTAL认证带来的问题。

802.1x的体系结构包括三部分：Supplicant System——客户系统；Authenticator System——认证服务代理系统；Authentication Server System——认证服务器系统。

客户系统是802.1x协议的被认证对象，是接入网络的用户计算机，该计算机上一般装有客户认证软件。认证服务代理系统是指“支持IEEE802.1x协议的网络设备的集合”，它一方面与客户系统直接连接，一方面代理用户的认证信息到认证服务器上进行认证，并按认证结果执行逻辑端口的控制。认证服务器是802.1x中真正决定是否给用户接入的设备，现在常用RADIUS（Remote Authentication Dial In User Service）服务机制来实现802.1x体系中的认证应用系统。

由于802.1x协议只定义了访问控制相关的功能，因此要完成整个认证过程还必须借助EAPOL协议。以太网的EAPOL帧格式如图２所示（从MAC帧的Length/Type域开始）。

现时可采用的EAP认证类型包括：EAP-MD5、EAP-TLS、EAP-TTLS、PEAP、LEAP以及厂家自定义的其他类型。目前最广泛使用的是EAP-MD5，其通过RADIUS服务器提供简单的集中用户认证。在这种方式下，RADIUS服务器不需要证书或者安装在无线工作站中的其它安全信息。用户注册时，RADIUS服务器只是检查用户名和口令，如果匹配，就通知无线访问点允许该客户端访问网络服务。EAP-MD5只提供认证，因此为安全起见，应该与标准的802.11安全协议WEP/WEP2组合使用，采用40位/128位共享密钥实现加密。EAP-MD5是一种单向认证机制，只能保证客户端到服务器的认证，并不保证服务器到客户端的认证。

拓展应用通道

标准的802.1x认证协议是完全基于端口的控制的。在认证前，只有EAPOL帧可通过，认证通过，则打开受控端口。简单地使用标准协议，容易造成如中间人攻击、会话劫持攻击、拒绝服务攻击、IP地址伪造、MAC地址伪造、网络接入盗用等安全隐患。用标准802.1x认证在认证通过后的安全性是个很大问题，而且其无法满足上述网络接入管理控制的需求。

因此，我们要使用802.1x认证，就必须对其进行相关的扩展。如通过扩展EAPOL帧的EAP类型域，我们可以在用户认证前，对被认证者进行详细的检查，这些检查不仅仅包括用户名和密码，还可以包括机器IP、接入的交换设备、接入交换设备的端口等。在通过认证后，我们通过控制交换设备，可以进行IP绑定、MAC绑定、ACL配置等工作，提高其认证后的安全性。

通过用户组和接入端口域的管理解决“漫游”式网络使用方式。我们可以根据用户群特征，设置不同的用户组，根据接入端口的特点，设置接入端口域。比如：把宿舍区的所有接入点设置成宿舍域，把多媒体教室的接入点设置成教室域。只要把用户组和接入端口域的管理联立起来，就能很好地实现“漫游”式网络使用方式。比如教室的教师机的接入端口，我们可以设置成只有教师用户组能通过认证。

通过802.1x+MAC绑定解决网卡控制。我们可以禁止所有交换机的MAC地址自学习功能，并在认证通过的时刻由认证服务器下发MAC绑定指令给相关的交换机，避免用户自行在接入端口下接私人的HUB，使用一台计算机通过认证，多台计算机共同上网。

通过802.1x+VLAN下发实现VLAN的自动管理。比如在课室里，老师通过自己的账号通过认证，我们可以根据他是属于哪个教研室的临时下发该教研室的VLAN给课室的教师机，那么该老师就可以通过课室里的教师机使用他们自己教研室的共享资料，用完后一注销，该机器的权限又马上被收回。

通过802.1x+ACL实现动态的安全访问策略的部署。像一些敏感的端口，我们一般都是会默认封住的，但是可能有些部门的应用系统又必须使用到该端口，那么只要我们在用户认证后，自动把相关的ACL下发给相应的交换设备，这样既能实现全性，又不影响特殊应用。

通过802.1x+流量控制实现动态的资源分配。在认证的时候把相关的流量控制策略分发给相应交换设备，这样可以更有利地调配网络资源。