8021x的認證體系結構中採用
1、在計算機網路體系結構中,要採用分層結構的理由是
各層功能相對獨立,高層並不需要知道低層是如何實現的,僅需要知道該層通過層間的介面所提供的服務
分層結構有利於促進標准化
2、802.1x的認證標准
IEEE 802.1X是IEEE制定關於用戶接入網路的認證標准(注意:此處X是大寫,詳細請參看IEEE關於命名的解釋)。它的全稱是「基於埠的網路接入控制」。於2001年標准化,之後為了配合無線網路的接入進行修訂改版,於2004年完成。
IEEE 802.1X協議在用戶接入網路(可以是乙太網,也可以是Wi-Fi網)之前運行,運行於網路中的MAC層。EAP協議RADIUS協議。cs:IEEE 802.1X de:IEEE 802.1x en:IEEE 802.1X es:IEEE 802.1X fi:802.1x fr:IEEE 802.1X it:IEEE 802.1x pl:802.1X
IEEE802.1x協議具有完備的用戶認證、管理功能,可以很好的支撐寬頻網路的計費、安全、運營和管理要求,對寬頻IP城域網等電信級網路的運營和管理具有極大的優勢。IEEE802.1x協議對認證方式和認證體系結構上進行了優化,解決了傳統PPPOE和WEB/PORTAL認證方式帶來的問題,更加適合在寬頻乙太網中的使用。
3、802.1x為什麼不能用在 廣域網
IEEE 802.1x協議的特點
IEEE 802.1x具有以下主要優點:
(1)實現簡單。IEEE 802.1x協議為二層協議,不需要到達三層,對設備的整體性能要求不高,可以有效降低建網成本。
(2)認證和業務數據分離。IEEE 802.1x的認證體系結構中採用了「受控埠」和「非受控埠」的邏輯功能,從而可以實現業務與認證的分離。用戶通過認證後,業務流和認證流實現分離,對後續的數據包處理沒有特殊要求,業務可以很靈活,尤其在開展寬頻組播等方面的業務有很大的優勢,所有業務都不受認證方式限制。
IEEE 802.1x協議同時具有以下不足
802.1x認證是需要網路服務的系統和網路之間的會話,這一會話使用IETF的EAP(Extensible Authentication Protocol)認證協議。協議描述了認證機制的體系結構框架使得能夠在802.11實體之間發送EAP包,並為在AP和工作站間的高層認證協議建立了必要條件。對MAC地址的認證對802.1x來說是最基本的,如果沒有高層的每包認證機制,認證埠沒有辦法標識網路申請者或其包。而且實驗證明802.1x由於其設計缺陷其安全性已經受到威脅,常見的攻擊有中間人MIM攻擊和會話攻擊。
所以802.11與802.1x的簡單結合並不能提供健壯的安全無線環境,必須有高層的清晰的交互認證協議來加強。幸運的是,802.1x為實現高層認證提供了基本架構。
IEEE 802.1x協議的應用
IEEE 802.1x協議使用標准安全協議(如RADIUS)提供集中的用戶標識、身份驗證、動態密鑰管理和記帳。802.1x身份驗證可以增強安全性。IEEE 802.1x身份驗證提供對802.11無線網路和對有線乙太網網路的經驗證的訪問許可權。IEEE 802.1x通過提供用戶和計算機標識、集中的身份驗證以及動態密鑰管理,可將無線網路安全風險減小到最低程度。在此執行下,作為 RADIUS客戶端配置的無線接入點將連接請求和記帳郵件發送到中央 RADIUS 伺服器。中央 RADIUS伺服器處理此請求並准予或拒絕連接請求。如果准予請求,根據所選身份驗證方法,該客戶端獲得身份驗證,並且為會話生成唯一密鑰。IEEE 802.1x協議為可擴展的身份驗證協議EAP安全類型提供的支持使您能夠使用諸如智能卡、證書以及Message Digest 5(MD5) 演算法這樣的身份驗證方法。
擴展身份驗證協議EAP是一個支持身份驗證信息通過多種機制進行通信的協議。利用802.1x,EAP可以用來在申請者和身份驗證伺服器之間傳遞驗證信息。這意味著EAP消息需要通過LAN介質直接進行封裝。認證者負責在申請者和身份驗證伺服器之間轉遞消息。身份驗證伺服器可以是一台遠程身份驗證撥入用戶服務(RADIUS)伺服器。
以下舉一個例子,說明對申請者進行身份驗證所需經過的步驟:
(1)認證者發送一個EAP - Request/Identity(請求/身份)消息給申請者。
(2)申請者發送一個EAP - Response/Identity(響應/身份)以及它的身份給認證者。認證者將收到的消息轉發給身份驗證伺服器。
(3)身份驗證伺服器利用一個包含口令問詢的EAP - Request消息通過認證者對申請者做出響應。
(4)申請者通過認證者將它對口令問詢的響應發送給身份驗證伺服器。
(5)IEEE 802.1x協議規定如果身份驗證通過,授權伺服器將通過認證者發送一個EAP - Success響應給申請者。認證者可以使用「Success」(成功)響應將受控制埠的狀態設置為「已授權」。
4、802.1X 認證的優勢是什麼?
IEEE 802.1X 是IEEE制定關於用戶接入網路的認證標准,IEEE802.1X協議具有完備的用戶認證、管理功能,可以很好的支撐寬頻網路的計費、安全、運營和管理要求,對寬頻IP城域網等電信級網路的運營和管理具有極大的優勢。 IEEE802.1X 協議對認證方式和認證體系結構上進行了優化,解決了傳統PPPOE和WEB/PORTAL認證方式帶來的問題,更加適合在寬頻乙太網中的使用。國內主流廠商像銳捷等,校園網認證多用802.1X。
5、啟用此網路上的IEEE802.1X證書是什麼意思!
1 它是IEEE標准網路 的區域網 訪問認證,也就是說它可以用來 控制區域網中 普通用戶的訪問,
2. 如果你需要共享 文件給 別人 ,最好不要啟用這個,
若需要限制別人訪問你的電腦 ,那就勾上它吧,慢慢設置吧
====================================給你參考
802.1x
802.1x協議是基於Client/Server的訪問控制和認證協議。它可以限制未經授權的用戶/設備通過接入埠訪問LAN/MAN。在獲得交換機或LAN提供的各種業務之前,802.1x對連接到交換機埠上的用戶/設備進行認證。在認證通過之前,802.1x只允許EAPoL(基於區域網的擴展認證協議)數據通過設備連接的交換機埠;認證通過以後,正常的數據可以順利地通過乙太網埠。
網路訪問技術的核心部分是PAE(埠訪問實體)。在訪問控制流程中,埠訪問實體包含3部分:認證者--對接入的用戶/設備進行認證的埠;請求者--被認證的用戶/設備;認證伺服器--根據認證者的信息,對請求訪問網路資源的用戶/設備進行實際認證功能的設備。
乙太網的每個物理埠被分為受控和不受控的兩個邏輯埠,物理埠收到的每個幀都被送到受控和不受控埠。對受控埠的訪問,受限於受控埠的授權狀態。認證者的PAE根據認證伺服器認證過程的結果,控制"受控埠"的授權/未授權狀態。處在未授權狀態的控制埠將拒絕用戶/設備的訪問。
1.802.1x認證特點
基於乙太網埠認證的802.1x協議有如下特點:IEEE802.1x協議為二層協議,不需要到達三層,對設備的整體性能要求不高,可以有效降低建網成本;借用了在RAS系統中常用的EAP(擴展認證協議),可以提供良好的擴展性和適應性,實現對傳統PPP認證架構的兼容;802.1x的認證體系結構中採用了"可控埠"和"不可控埠"的邏輯功能,從而可以實現業務與認證的分離,由RADIUS和交換機利用不可控的邏輯埠共同完成對用戶的認證與控制,業務報文直接承載在正常的二層報文上通過可控埠進行交換,通過認證之後的數據包是無需封裝的純數據包;可以使用現有的後台認證系統降低部署的成本,並有豐富的業務支持;可以映射不同的用戶認證等級到不同的VLAN;可以使交換埠和無線LAN具有安全的認證接入功能。
2.802.1x應用環境特點
(1)交換式乙太網絡環境
對於交換式乙太網絡中,用戶和網路之間採用點到點的物理連接,用戶彼此之間通過VLAN隔離,此網路環境下,網路管理控制的關鍵是用戶接入控制,802.1x不需要提供過多的安全機制。
(2)共享式網路環境
當802.1x應用於共享式的網路環境時,為了防止在共享式的網路環境中出現類似「搭載」的問題,有必要將PAE實體由物理埠進一步擴展為多個互相獨立的邏輯埠。邏輯埠和用戶/設備形成一一對應關系,並且各邏輯埠之間的認證過程和結果相互獨立。在共享式網路中,用戶之間共享接入物理媒介,接入網路的管理控制必須兼顧用戶接入控制和用戶數據安全,可以採用的安全措施是對EAPoL和用戶的其它數據進行加密封裝。在實際網路環境中,可以通過加速WEP密鑰重分配周期,彌補WEP靜態分配秘鑰導致的安全性的缺陷。
3.802.1x認證的安全性分析
802.1x協議中,有關安全性的問題一直是802.1x反對者攻擊的焦點。實際上,這個問題的確困擾了802.1x技術很長一段時間,甚至限制了802.1x技術的應用。但技術的發展為這個問題給出了答案:802.1x結合EAP,可以提供靈活、多樣的認證解決方案。
4.802.1x認證的優勢
綜合IEEE802.1x的技術特點,其具有的優勢可以總結為以下幾點。
簡潔高效:純乙太網技術內核,保持了IP網路無連接特性,不需要進行協議間的多層封裝,去除了不必要的開銷和冗餘;消除網路認證計費瓶頸和單點故障,易於支持多業務和新興流媒體業務。
容易實現:可在普通L3、L2、IPDSLAM上實現,網路綜合造價成本低,保留了傳統AAA認證的網路架構,可以利用現有的RADIUS設備。
安全可靠:在二層網路上實現用戶認證,結合MAC、埠、賬戶、VLAN和密碼等;綁定技術具有很高的安全性,在無線區域網網路環境中802.1x結合EAP-TLS,EAP-TTLS,可以實現對WEP證書密鑰的動態分配,克服無線區域網接入中的安全漏洞。
行業標准:IEEE標准,和乙太網標准同源,可以實現和乙太網技術的無縫融合,幾乎所有的主流數據設備廠商在其設備,包括路由器、交換機和無線AP上都提供對該協議的支持。在客戶端方面微軟WindowsXP操作系統內置支持,Linux也提供了對該協議的支持。
應用靈活:可以靈活控制認證的顆粒度,用於對單個用戶連接、用戶ID或者是對接入設備進行認證,認證的層次可以進行靈活的組合,滿足特定的接入技術或者是業務的需要。
易於運營:控制流和業務流完全分離,易於實現跨平台多業務運營,少量改造傳統包月制等單一收費制網路即可升級成運營級網路,而且網路的運營成本也有望降低。
參考資料:http://ke.baidu.com/view/310804.htm
6、在計算機網路體系結構中,要採用分層結構的理由?
在計算機網路技術中,網路的體系結構指的是通信系統的整體設計,它的目的是為網路硬體、軟體、協議、存取控制和拓撲提供標准。現在廣泛採用的是開放系統互連OSI(Open System Interconnection)的參考模型,它是用物理層、數據鏈路層、網路層、傳送層、對話層、表示層和應用層七個層次描述網路的結構。你應該注意的是,網路體系結構的優劣將直接影響匯流排、介面和網路的性能。而網路體系結構的關鍵要素恰恰就是協議和拓撲。目前最常見的網路體系結構有FDDI、乙太網、令牌環網和快速乙太網等。採用分層次的結構原因:各層功能相對獨立,各層因技術進步而做的改動不會影響到其他層,從而保持體 系結構的穩定性
7、internet採用的體系結構是什麼?
最新的構架是,Broadwell
8、在802.1x實現中使用什麼設備作為認證伺服器
802.1x認證過程與本質802.1x協議實質上是基於埠對接入的合法性進行認證,進而決定允許或拒絕資源接入網路。在802.1x的認證體系結構中,引入了「受控埠」與「不受控埠」概念,將一個物理LAN埠定義為「受控埠」與「不受控埠」兩類邏輯LAN接入點。不受控埠只能傳送認證的協議報文,受控埠傳送業務報文。 表1 目前業界有幾種認證方式:pppoe、web和802.1x,以下做一個比較:
認證方式web/portalpppoe802.1x標准程度廠家私有rfc2516ieee標准封裝開銷小較大小接入控制方式設備埠用戶用戶ip地址認證前分配認證後分配認證後分配多播支持好差好vlan數目要求多無無支持多isp較差好好客戶端軟體不需要需要需要設備支持廠家私有業界設備業界設備用戶連接性差好好對設備的要求高(全程vlan)較高(bas)低802.1x認證體系通常由提請認證的客戶端系統(Supplicant System)、認證系統(Authenticator System)及認證伺服器系統(Authentication Server System)等三部分組成。 圖1其中,客戶端系統一般為安裝有客戶端軟體的用戶終端系統,用戶通過客戶端軟體發起802.1x協議認證過程,認證通過後可以發起IP地址請求。 認證系統通常為支持802.1x協議的網路設備,該設備對應於不同用戶的受控與不受控兩個邏輯埠。不受控埠始終處於雙向連通狀態,主要用來傳遞 EAPOL協議幀,可保證客戶端始終可以發出或接受認證。受控埠只有在認證通過的狀態下才打開,用於傳遞網路資源和服務。受控埠可配置為雙向受控、僅輸入受控兩種方式,以適應不同的應用環境。
9、osi參考模型採用了什麼體系結構
OSI(Open System Interconnect),即開放式系統互聯。 一般都叫OSI參考模型,是ISO(國際標准化組織)組織在1985年研究的網路互聯模型。該體系結構標準定義了網路互連的七層框架(物理層、數據鏈路層、網路層、傳輸層、會話層、表示層和應用層),即ISO開放系統互連參考模型。在這一框架下進一步詳細規定了每一層的功能,以實現開放系統環境中的互連性、互操作性和應用的可移植性。
ISO為了更好的使網路應用更為普及,就推出了OSI參考模型。其含義就是推薦所有公司使用這個規范來控制網路。這樣所有公司都有相同的規范,就能互聯了。提供各種網路服務功能的計算機網路系統是非常復雜的。根據分而治之的原則,ISO將整個通信功能劃分為七個層次。
劃分原則是:
(1)網路中各節點都有相同的層次;
(2)不同節點的同等層具有相同的功能;
(3)同一節點內相鄰層之間通過介面通信;
(4)每一層使用下層提供的服務,並向其上層提供服務;
(5)不同節點的同等層按照協議實現對等層之間的通信。