3、802.1x的認(rèn)證體系

Figure6-5Authenticator,Supplicant and Authentication Server roles
從上圖中我們可以看到，這個(gè)體系單有三個(gè)實(shí)體，一個(gè)是supplicant system即客戶端，比如PC；一個(gè)是Authenticator System即認(rèn)證系統(tǒng)，比如交換機(jī)；一個(gè)是Authentication Server System即認(rèn)證服務(wù)器，比如RADIUS服務(wù)器。
其中，交換機(jī)是一個(gè)代理角色，也就是說PC不可以直接跟認(rèn)證服器通訊，只能由交換機(jī)代轉(zhuǎn)。主要是因?yàn)閰f(xié)議的不同造成的，一方面，在沒有通過認(rèn)證之前，除EAPOL數(shù)據(jù)幀可通過交換機(jī)端口，其他數(shù)據(jù)全都會被阻擋，而EAPOL是二層的，不具可路由的特性，不方便以RADIUS服務(wù)器通訊，因此，認(rèn)證過程將由交換機(jī)代理。就像上面一開始所說的由警衛(wèi)代為認(rèn)證一樣。所以呢，三者之間使用不同的協(xié)議，從PC到交換機(jī)，是 EAPOL，而從交換機(jī)到RADIUS服務(wù)器，剛會被封裝成高層協(xié)議，這樣無論你服務(wù)器放在什么位，基本上都可以正確驗(yàn)證。

返回目錄 理論結(jié)合實(shí)踐透徹學(xué)習(xí)802.1X

[1]  [2]  [3]