摘 要：802.1x是IEEE制定的身份认证和认证标准，名为基于端口的网络接入控制（Port-Based Network Access Control），此标准实现了在数据链路层对接入网络的用户进行身份认证。最初用于无线局域网，后用于有限局域网，目前已被Microsoft及Cisco等众多厂商支持。

关键词：交换机；802.1X

当您去一些公司或公共场所，经常会搜索到用于访客免费访问的Wi-Fi。在大多数情况下，提供访客访问的热点与公司网络安全隔离，并禁止访问内部数据。

说到无线网络安全，我们都知道，足够的加密和安全访问控制对于阻止未经授权的人访问公司网络或热点至关重要。IEEE 802.1X安全标准通常在这里起到了至关重要的作用，因为其访问控制机制是提高安全性的保证。正确使用和配置适当的网络设备，以确保用户和网络本身的最大安全性。

交换机在安全性方面也起着至关重要的作用。他们是任何复杂网络的守门人。只有能够在交换机上进行身份验证的设备和客户端才能访问内部网络。交换机通过执行安全设置来控制对网络的安全访问。

IEEE 802.1X标准是为了规范这些访问权限而开发的。它为网络上的实际认证奠定了基础。基本要求是要有一个管理型的“智能”网络交换机和一个用于认证的RADIUS服务器。

实际上，802.1X标准为系统管理员提供了不同认证类型的选择。以下概述了四种最常见的交换机安全访问控制类型，并简要说明了每种交换机的工作方式，优点和具体示例。

四种不同使用802.1X的方式

一、基于端口的IEEE 802.1X

此标准通过验证针对RADIUS服务器的证书或访问凭证来调整交换机端口上客户端的身份验证。在一次性成功认证之后，交换机端口保持永久开放以供网络访问。

其优点是，成功验证后，端口保持永久开放，以便进行网络访问。

作為示例场景，接入点连接到交换机端口，并使用证书或访问凭证在RADIUS服务器上进行身份验证并获得网络访问权限。

一旦接入点已经被认证，相应的交换机端口被打开，并且与其相关联的所有WLAN设备（笔记本电脑，智能手机，平板电脑）可以自由地连接到网络。

二、Single IEEE 802.1X

通过使用交换机的Single 802.1X功能，单个客户端通过在RADIUS服务器上验证证书或访问凭证，在交换机端口进行身份验证。

这样做的好处是端口只能在RADIUS服务器上认证的客户端打开。如果没有适当的证书或访问凭证，此端口上的其他客户端将被拒绝访问网络。

如果连接到交换机端口的计算机使用证书或访问凭据对RADIUS服务器上的网络访问进行身份验证，则会出现这种情况。

计算机成功通过身份验证后，RADIUS服务器将定期发送密钥以重新验证设备。

三、Multi IEEE 802.1X

通过一个交换机端口对多个客户端进行RADIUS服务器认证。这里，作为接口的非智能客户端可以用于单个交换机端口上的多个客户端的RADIUS身份验证。

例如，如果将非管理型交换机连接到为Multi IEEE 802.1X配置的管理型交换机的交换机端口，则会出现这种情况。

所有连接到非管理交换机的计算机都可以通过在RADIUS服务器上使用证书或访问凭证来进行网络访问的身份验证。来自计算机的所有认证请求都通过一个交换机端口转发到RADIUS服务器。

计算机成功通过身份验证后，会从RADIUS服务器接收密钥以重新验证连接的设备。这确保了只有通过此交换机端口验证过的设备才能访问网络。

四、基于MAC的认证

在交换机端口上验证客户端的另一种方法是将客户端的MAC地址发送给RADIUS服务器。

交换机端口仅对具有自己的特定MAC地址的客户端打开； 其他客户端将被拒绝通过该端口访问网络。这对于非智能设备客户端的网络认证是一个很理想的方式。

一个例子是连接到交换机端口的打印机，打印机的MAC地址用于在RADIUS服务器上进行网络访问认证。

交换机端口是专门为打印机的MAC地址配置的，因此具有不同MAC地址的其他客户端无法通过该交换机端口获得网络访问权限。

无论您选择何种方式来控制网络访问，最终都是管理员的选择。当选择交换机本身时，选择的自由度要小得多。只有智能管理型交换机才能提供访问监视和控制所需的功能，同时拒绝未经授权的设备和人员访问网络。虽然对于小型网络来说，非管理型交换机是一个很好的经济选择，但是在复杂的公司网络中，这是一个漏洞。所以仔细看看数据表和规格是一个有价值的工作。

参考文献：

[1]谢希仁.计算机网络[M].北京：电子工业出版社，1999：205-218.

[2]周明天.TCPIP 网络原理与技术[M].北京：清华大学出版社，1999：97-201.

[3]斯科特·埃普森（Scott Empson）.思科网络技术学院教程 路由和交换基础[M].人民邮电出版社，2014-12-01.

作者简介：刘钦，男，云南昭通人，大专，信息中心副主任，主要从事电力通信及信息工作。