内容提示：作为管理员，你应当理解IEEE 802.1x标准是什么以及关注它的原因，这意味着理解三个独立的概念：PPP、EAP和802.1X自身。

多数人都熟悉PPP(点到点的协议)。该协议多用于拨号上网，它还被一些ISP以PPPoE的形式用于DSL和cable modem的认证。PPP是第二层隧道协议的一部分，它是微软的Windows 2000及以后的各个Windows版本的安全的远程访问解决方案的核心部分。

PPP的发展超过了其最初作为拨号访问方法的应用领域，现在已经被全面用于互联网中。PPP的一部分定义了一种身份验证机制。对于拨号访问，这种认证就是用户名和口令。PPP认证用于这种场合：在给与PPP用户访问权限之前，先对其进行确认。

多数企业都想做得更安全些，而不是仅仅靠用户名和口令进行访问控制，所以一种新的认证协议称为扩展认证协议(EAP)应运而生。EAP隶属于PPP的认证协议，它提供了几种不同认证方法的概括化的框架。EAP的目的是阻止私有的认证系统，并使得从口令到公钥基础架构证书的一切都能够顺畅运行。

借助于标准化的EAP，认证方法的协同性和兼容性就变得更为简单了。例如，在用户拨号访问一台远程访问服务器并使用EAP作为PPP连接的一部分时，远程访问服务器就没有必要了解用户认证系统的任何细节。唯一需要的是用户和认证服务器之间的协调。通过支持EAP认证，远程访问服务器将不再充当中间人，而是包装和重新包装数据包，并将其转交给RADIUS服务器，以执行实际的认证。

这又把我们带到了IEEE 802.X标准，这是一个可以在有线或无线局域网上传递EAP的标准。借助于802.1x，用户用以太网帧的形式对EAP消息进行打包，并不使用PPP。它用于认证而不是其它方面。在并不需要PPP的其余部分的情况下，这样做很值得的，在这里你使用的不是TCP/IP协议，或者说，使用PPP的成本和复杂性太高了。

802.1x使用三个重要的概念。需要验证的用户或客户端称为请求者。真正的服务器执行认证，这种服务器一般就是RADIUS服务器，称为认证服务器。而介于它们之间的设备，如一个无线接入点，称为认证者。如下图所示：

802.1x的一个关键点是认证者可以很简单，所有的“聪明才智”都得位于请求者和认证服务器中。这就使得802.1x适合于无线访问点AP，一般来说，无线AP的内存和处理能力都非常有限。

802.1x中的这个协议称为LAN上的EAP封装(EAPOL)。目前，它是为以太网之类的局域网而定义的，包括802.11无线网以及令牌环网等。EAPOL并不十分复杂。有很多操作模式，但最常使用的情况是如下的方式：

1、请求者向认证者发送一个“EAP-响应/身份”数据包，并由认证者传递给认证服务器(RADIUS)。

2、身份认证服务器向认证者返回一个挑战回应，例如，用一个令牌口令系统。认证者从IP中解开它，然后将它重新包装成EAPOL，并将其发送给请求者。EAP仅支持客户端的认证和强健的双向认证。通常认为只有强健的双向认证才适合于无线网络。

3、请求者通过认证者对挑战作出响应，并将响应传递给认证服务器。

4、如果请求者提供了正确的身份，认证服务器就用一个成功消息作出响应，然后再将消息传递给认证者。认证者准许其访问LAN，其根据就是由认证服务器返回的属性。例如，认证者有可能将请求者转交给一个特别的虚拟局域网(VLAN)中或者是安装一套防火墙规则。

许多无线局域网厂商都坚持采用802.1x标准，以有助于实施认证并且保障有线和无线网络的安全。