本篇文章為企業系統管理員從PPP、EAP和802.1X三方面解析IEEE 802.X標準為何物，并進一步探尋IEEE 802.X網絡的安全機制。使得企業管理人員進一步提升安全意識，為保護企業安全提供更好的保證。

多數人都熟悉PPP(點到點的協議)。該協議多用于撥號上網，它還被一些ISP以PPPoE的形式用于DSL和cable modem的認證。PPP是第二層隧道協議的一部分，它是微軟的Windows 2000及以后的各個Windows版本的安全的遠程訪問解決方案的核心部分。

PPP的發展超過了其最初作為撥號訪問方法的應用領域，現在已經被全面用于互聯網中。PPP的一部分定義了一種身份驗證機制。對于撥號訪問，這種認證就是用戶名和口令。PPP認證用于這種場合：在給與PPP用戶訪問權限之前，先對其進行確認。

多數企業都想做得更安全些，而不是僅僅靠用戶名和口令進行訪問控制，所以一種新的認證協議稱為擴展認證協議(EAP)應運而生。EAP隸屬于PPP的認證協議，它提供了幾種不同認證方法的概括化的框架。EAP的目的是阻止私有的認證系統，并使得從口令到公鑰基礎架構證書的一切都能夠順暢運行。

借助于標準化的EAP，認證方法的協同性和兼容性就變得更為簡單了。例如，在用戶撥號訪問一臺遠程訪問服務器并使用EAP作為PPP連接的一部分時，遠程訪問服務器就沒有必要了解用戶認證系統的任何細節。唯一需要的是用戶和認證服務器之間的協調。通過支持EAP認證，遠程訪問服務器將不再充當中間人，而是包裝和重新包裝數據包，并將其轉交給RADIUS服務器，以執行實際的認證。

這又把我們帶到了IEEE 802.X標準，這是一個可以在有線或無線局域網上傳遞EAP的標準。借助于802.1x，用戶用以太網幀的形式對EAP消息進行打包，并不使用PPP。它用于認證而不是其它方面。在并不需要PPP的其余部分的情況下，這樣做很值得的，在這里你使用的不是TCP/IP協議，或者說，使用PPP的成本和復雜性太高了。

802.1x使用三個重要的概念。需要驗證的用戶或客戶端稱為請求者。真正的服務器執行認證，這種服務器一般就是RADIUS服務器，稱為認證服務器。而介于它們之間的設備，如一個無線接入點，稱為認證者。如下圖所示：
 

802.1x的一個關鍵點是認證者可以很簡單，所有的“聰明才智”都得位于請求者和認證服務器中。這就使得802.1x適合于無線訪問點AP，一般來說，無線AP的內存和處理能力都非常有限。

802.1x中的這個協議稱為LAN上的EAP封裝(EAPOL)。目前，它是為以太網之類的局域網而定義的，包括802.11無線網以及令牌環網等。EAPOL并不十分復雜。有很多操作模式，但最常使用的情況是如下的方式：

1、請求者向認證者發送一個“EAP-響應/身份”數據包，并由認證者傳遞給認證服務器(RADIUS)。

2、身份認證服務器向認證者返回一個挑戰回應，例如，用一個令牌口令系統。認證者從IP中解開它，然后將它重新包裝成EAPOL，并將其發送給請求者。EAP僅支持客戶端的認證和強健的雙向認證。通常認為只有強健的雙向認證才適合于無線網絡。

3、請求者通過認證者對挑戰作出響應，并將響應傳遞給認證服務器。

4、如果請求者提供了正確的身份，認證服務器就用一個成功消息作出響應，然后再將消息傳遞給認證者。認證者準許其訪問LAN，其根據就是由認證服務器返回的屬性。例如，認證者有可能將請求者轉交給一個特別的虛擬局域網(VLAN)中或者是安裝一套防火墻規則。

許多無線局域網廠商都堅持采用802.1x標準，以有助于實施認證并且保障有線和無線網絡的安全。
 

【編輯推薦】

1. Web專用網站服務器的安全設置
2. 怎樣進行路由器的安全設置
3. 安全設置策略及自帶防火墻介紹
4. 安全技巧：交換機應用中的六種安全設置介紹
5. 美國虛擬主機linux系統下的安全設置