在IEEE 802.1X-2001与802.1X-2004的标准定义中，说明了提供以端口为主（portbased）的安全验证机制，而这一项安全保护机制便是针对企业中的有线与无线网络的联机而来。在一个802.1X部署架构中主要由三个组件所构成，如图1所示分别说明如下：

1.联机要求客户端

当有客户端在受保护的网络环境中需要联机存取时，此计算机便需要以802.1X的支持联机方式先行联机到通行验证器。

2.通行验证器

这里所谓的通行验证器，指的便是以有线方式连接的网络交换器，或是以无线联机方式的无线基地台（AP），无论如何两者都必须支持802.1x的组态配置功能。

3.验证服务器

当欲联机存取网络的客户端刚连接到通行验证器时，通行验证器必须与一部验证服务器来确认此客户端计算机是否合法，而这一部验证服务器一般所指的就是RADIUS主机（Remote Authentication Dial-In User Service），而 它 门 之间的通讯方式便是透过延伸的验证协议（EAP，Extensible Authentication Protocol）， 无论验证结果如何RADIUS主机都会将讯息回报给通行验证器，再由通行验证器决定是否给予完成基本的联机。

图1 802.1x运作组件

针对802.1X的验证处理方式，是藉由EAP over LAN（EAPoL）的组件来负责处理通行验证器与联机要求客户端之间的通讯内容。

在802.1x的隔离验证控管的网络架构中，无论是Windows Server 2012还 是Windows Server 2008所提供的网络原则服务器角色（NPS，Network Policy Server），皆取代了原有在Windows Server 2003中的网际网络验证服务（IAS，Internet Authentication Service），透过此角色来同样提供网络交换器或无线基地台RADIUS联机的验证服务，让不合法的客户端联机自动被隔离到另一个特定的VLAN网络中，或是透过IP筛选器（IP Filter）封锁掉所能够存取的网络资源，或是直接断除实体的网络联机，直到客户端计算机下一次重新插上网络线时再进行健康原则的检查与比对。

在接下来的NAP与801.x网络交换器设备整合部署实作中，笔者将以一个Cisco 3560G型号的设备来作为范例解说。在这个测试的架构规划中，在服务器部份您可以准备两部Windows Server 2008服务器，一部担任网络原则服务器（NPS），一部则担任域控制器（DC）、DNS服务器、CA凭证服务器以及DHCP服务器，当然啦！在测试环境中您也可以将这一些服务器角色全部都塞在同一部Windows Server 2008服务器上。

在测试的NAP客户端规划部分，建议您可以准备一部Windows 7(或Vista)以及一部Windows XP Professional SP3计算机，并且都登入到相同的网域环境中。至于CISCO的网络组态配置部分，基本上可以规划出三个虚拟区域网络（VLAN）来进行这项测试计划，分别说明如下：

VLAN1：预 设NAP客户端连接的网络（例如：192.168.2.0）。

VLAN2：当NAP客户端被侦测到不符合安全规定，所会被丢到的网络隔离区段（例如 ：192.168.3.0）。

VLAN3：当NAP客户端被侦测到完全符合安全规定，所会被移动到的合法网络区段（例如：192.168.4.0），来存取所有可被联机存取的网络资源，因此所有公司合法的网络资源可以都置放在这个网络区段中，例如：档案服务器、企业入口网站、电子邮件服务器、ERP系统等等。

在VLAN的规划上在此还要进一步说明，那就是VLAN2与VLAN3请透过ACLs的设定来让这两个网络无法相互存取，而VLAN1的网络中则必须至少提供域控制器（DC）、DNS服务器、DHCP服务器、网络原则服务器（NPS）的联机，在此笔者让所有的服务器服务都使用Windows Server 2008的版本，并且也将必要的网域等级设定为Windows Server 2003。

有关于在VLAN1网络中所要建立的DHCP服务器角色，在此笔者特别提出来说明一下几个重点。我们可以透过[服务器管理员]接口中点选[新增角色]，来安装DHCP服务器，并且在安装设定的过程中，在[新增或编辑DHCP领域]的页面中时，就可以直接来将三个测试用IP网段的VLAN先规划出来，其中在名称部分便可以依序设定为VLAN1、VLAN2、VLAN3。