802.1X协议
802.1x协议的体系
IEEE 802.1x协议起源于802.11,其主要⽬的是为了解决⽆线局域⽤户的接⼊认证问题。
802.1x 协议⼜称为基于端⼝的访问控制协议,可提供对802.11⽆线局域和对有线以太络的验证的络访问权限。
802.1x协议仅仅关注端⼝的打开与关闭,对于合法⽤户接⼊时,打开端⼝;对于⾮法⽤户接⼊或没有⽤户接⼊时,则端⼝处于关闭状态。
IEEE 802.1x协议的体系结构主要包括三部分实体:客户端Supplicant System、认证系统Authenticator System、认证服务器Authentication Server System. (1)客户端:⼀般为⼀个⽤户终端系统,该终端系统通常要安装⼀个客户端软件,⽤户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。
(2)认证系统:通常为⽀持IEEE 802.1x协议的络设备。
该设备对应于不同⽤户的端⼝有两个逻辑端⼝:受控(controlled Port)端⼝和⾮受控端⼝(uncontrolled Port)。
第⼀个逻辑接⼊点(⾮受控端⼝),允许验证者和 LAN 上其它计算机之间交换数据,⽽⽆需考虑计算机的⾝份验证状态如何。
⾮受控端⼝始终处于双向连通状态(开放状态),主要⽤来传递EAPOL协议帧,可保证客户端始终可以发出或接受认证。
第⼆个逻辑接⼊点(受控端⼝),允许经验证的 LAN ⽤户和验证者之间交换数据。
受控端⼝平时处于关闭状态,只有在客户端认证通过时才打开,⽤于传递数据和提供服务。
受控端⼝可配置为双向受控、仅输⼊受控两种⽅式,以适应不同的应⽤程序。
如果⽤户未通过认证,则受控端⼝处于未认证(关闭)状态,则⽤户⽆法访问认证系统提供的服务。
(3)认证服务器:通常为RADIUS服务器,该服务器可以存储有关⽤户的信息,⽐如⽤户名和⼝令、⽤户所属的VLAN、优先级、⽤户的访问控制列表等。
当⽤户通过认证后,认证服务器会把⽤户的相关信息传递给认证系统,由认证系统构建动态的访问控制列表,⽤户的后续数据流就将接接受上述参数的监管。
dot1x认证原理
dot1x认证原理
dot1x(IEEE 802.1X)是一种网络认证协议,用于控制局域网(LAN)端口的访问权限。
它的原理如下:
1. 开机认证:当设备(如计算机)连接到局域网的交换机端口时,交换机会对该端口进行认证过程。
初始状态下,交换机的此端口为“未授权”状态。
2. 通信开始:设备尝试通过端口进行通信,发送一个EAPOL (EAP Over LAN)Start消息给交换机。
EAPOL Start消息用于指示设备准备就绪,请求进行认证。
3. 交换机发起认证:交换机收到EAPOL Start消息后,会发送一个EAPOL Request/Identity消息给设备,要求设备提供身份标识。
4. 设备认证:设备收到EAPOL Request/Identity消息后,会向交换机发送一个EAPOL Response/Identity消息,其中包含设备的身份标识。
5. 认证服务器验证:交换机将EAPOL Response/Identity消息转发到认证服务器,认证服务器接收到设备的身份标识后,会对其进行验证。
6. 认证结果:认证服务器验证设备的身份,并返回一个认证结果给交换机,该结果可以是“通过”或“拒绝”。
7. 端口授权:如果设备通过认证,交换机将该端口标记为“授权”状态,并允许设备进行正常通信。
否则,端口会继续保持
为“未授权”状态,拒绝设备的通信。
8. 会话维持:一旦设备通过认证,交换机会继续监听设备的网络活动,以便在会话超时或其他认证条件变化时重新进行认证。
通过以上的认证过程,dot1x能够有效地控制网络的访问权限,提供更安全的局域网环境。
802.1x协议详解
四、 802.1x报文结构
当EAPOL的Packet Type为EAP-Packet时Packet Body就是EAP数据包 code:EAP包的类型,有四种 request -1 response -2 success -3 failure -4 identifier:辅助进行response和request消息的匹配 length:eap包的长度,包括code、id、len、data data:内容格式由code决定
四、 802.1x报文结构
当code为success或者failure时data域没有,此时length的值为4
当code域的值为request或者是response类型时data域格式为:
type为eap的认证类型,eg: 1为请求id 4为challenge
四、 802.1x报文结构
1、部分报文抓包查看:
802.1x概览
达则兼济天下,穷则独善其身!
一、 802.1x 作用 二、 802.1x的认证体系结构 三、 802.1x 的认证过程
ቤተ መጻሕፍቲ ባይዱ目录
四、 802.1x报文结构
一、 802.1x 作用
802.1x 协议起源于 802.11 协议,802.11 协议是标准的无线局域网协议。 802.1x 协议的主要目的是为了解决无线局域网用户的接入认证问题。 802.1x 是 IEEE 为了解决基于端口的接入控制(Port-Based Access Control )而定义的 一个标准,实现用户级的接入控制。 802.1X 是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以 是一个就像 VLAN 一样的逻辑端口,对于无线局域网来说这个“端口”就是一条信道) 802.1X 的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成 功那么就 “打开” 这个端口, 允许所有的报文通过; 如果认证不成功就使这个端口 保持 “关闭” ,此时只允许 802.1X 的认证报文 EAPOL (Extensible Authentication Protocol over LAN) 通过。
802.1x重认证原理
802.1x重认证原理标题:802.1x重认证原理详解一、引言随着科技的发展和网络安全的日益重要,802.1x协议作为一种可扩展的身份验证协议,被广泛应用于无线网络接入控制。
它能有效防止未经授权的设备访问网络资源,保护网络的安全性。
本文将详细介绍802.1x重认证原理。
二、802.1x协议概述802.1x是一种基于端口的网络接入控制协议,由IEEE(电气电子工程师学会)制定。
它定义了用户接入网络时的身份认证过程,包括用户身份的鉴别、授权和计费等功能。
在802.1x协议中,主要涉及到三个角色:客户端、认证服务器和交换机。
三、802.1x重认证原理802.1x重认证是指当用户已经通过认证后,由于某些原因需要重新进行认证的过程。
这个过程中,客户端会发送一个EAP-Request/Identity给认证服务器,认证服务器接收到请求后,会发送一个EAP-Response/Identity给客户端,然后客户端根据接收到的信息判断是否需要重新认证。
重认证的主要原因是保持用户的在线状态,防止用户的非法使用。
例如,如果用户的账号密码发生了改变,或者用户的权限发生了变化,就需要重新进行认证。
此外,如果用户的设备更换或者移动到另一个位置,也需要重新进行认证。
四、802.1x重认证流程1. 客户端发起重认证请求:客户端向交换机发送一个EAP-Request/Identity消息,表示需要进行重认证。
2. 交换机转发请求:交换机接收到请求后,将其转发给认证服务器。
3. 认证服务器响应:认证服务器接收到请求后,会发送一个EAP-Response/Identity消息给交换机,表明接受重认证请求。
4. 交换机转发响应:交换机接收到响应后,将其转发给客户端。
5. 客户端进行重认证:客户端接收到响应后,会进行重新认证,包括输入新的账号密码等信息。
6. 认证服务器验证:认证服务器接收到客户端的新信息后,会进行验证。
7. 交换机控制端口状态:如果验证成功,交换机会打开相应的端口,允许客户端访问网络;如果验证失败,交换机会关闭相应的端口,阻止客户端访问网络。
802.1X集成Radius认证
802.1X集成Radius认证802.1X是一种网络访问控制协议,它提供了对网络中用户和设备的认证和授权。
Radius(远程身份验证拨号用户服务)是一种用于网络访问控制的认证和授权协议。
802.1X集成Radius认证意味着将这两种协议结合在一起使用,以增强网络的安全性和管理能力。
802.1X协议的主要目的是验证连接到LAN或WLAN的用户或设备的身份,并根据他们的认证状态控制他们的访问权限。
它是一种基于端口的认证方法,只有在用户或设备提供有效的凭证后,才能建立网络连接。
这可以防止未授权的用户或设备访问网络资源,保护网络的安全性。
Radius协议是一种用于网络认证和授权的协议,它通过对用户身份进行验证,并为其分配相应的权限和访问级别来控制网络访问。
Radius服务器负责处理用户认证请求,并与认证服务器进行通信进行身份验证和授权。
集成Radius认证意味着802.1X协议将使用Radius服务器来处理认证请求和授权决策。
802.1X集成Radius认证提供了许多优势。
首先,它增强了网络的安全性。
通过要求用户或设备提供有效的凭证,并通过Radius服务器进行身份验证,可以防止未经授权的用户或设备访问网络资源。
这可以减少网络攻击的风险,保护敏感数据和资源的安全性。
其次,802.1X集成Radius认证提供了更好的管理能力。
通过使用Radius服务器,网络管理员可以更轻松地管理和控制用户对网络资源的访问。
他们可以根据用户的身份和权限,对其进行精确的访问控制。
此外,管理员还可以跟踪和审计用户的网络活动,以确保他们的行为符合网络策略和合规要求。
另外,802.1X集成Radius认证还可以支持灵活的网络配置和部署。
由于Radius协议的灵活性,网络管理员可以根据实际需求和网络拓扑来配置和部署认证和授权策略。
他们可以定义不同的认证方法、访问权限和策略,并将其应用到不同的网络设备和用户上。
最后,802.1X集成Radius认证还提供了互操作性。
802.1x协议介绍
13
EAPOL封装
14
Radius概述
RADIUS定义 RADIUS 是Remote Authentication Dial In User Service (远程认证拨号用户服务)的简称。它是一种分布式的 c/s系统,能提供AAA功能。RADIUS技术可以保护网络不 受未授权访问的干扰,常被用在既要求较高性能,又要求 维持远程用户访问的各种网络环境中。 RADIUS使用的协议 RADIUS基于标准RFC2865,2866协议在UDP/IP层定义 了其帧格式及消息传输机制,并定义1812为认证端口, 1813为计费端口。
客 户 端 PAE EAPOL EAPOL-Start EAP-Request/Identity EAP-Response/Identity EAP-Request/MD5 Challenge EAP-Response/MD5 Challenge RADIUS Access-Request (CHAP-Response/MD5 Challenge) RADIUS Access-Accept (CHAP-Success) 端口被授权 握手请求报文 [EAP-Request/Identity] 握手应答报文 [EAP-Response/Identity] ...... EAPOL-Logoff 端口非授权 握手定时器超时 设 备 端 PAE RADIUS RADIUS服 务 器
PAE Ethernet Type: 888e Protocol Version: 1 Packet Type: 0 EAP-Packet 1 EAPOL-Start 2 EAPOL-Logoff 3 EAPOL-Key Packet Body Length: EAP 数据帧长度 Packet Body: EAP数据帧 内容,当Packet Type为 EAPOL-Start或EAPOLLogoff时,Packet Body部分 无特定内容,用全“0”填充。
IEEE801.X
IEEE802.1x是IEEE2001年6月通过的基于端口访问控制的接入管理协议标准。
IEEE802系列LAN标准是目前居于主导地位的局域网络标准,传统的IEEE802协议定义的局域网不提供接入认证,只要用户能接入局域网控制设备,如传统的LanSwitch,用户就可以访问局域网中的设备或资源,这是一个安全隐患。
对于移动办公,驻地网运营等应用,设备提供者希望能对用户的接入进行控制和配置,此外还存在计费的需求。
IEEE802.1x是一种基于端口的网络接入控制技术,在LAN 设备的物理接入级对接入设备进行认证和控制,此处的物理接入级指的是LanSwitch设备的端口。
连接在该类端口上的用户设备如果能通过认证,就可以访问LAN 内的资源;如果不能通过认证,则无法访问LAN 内的资源,相当于物理上断开连接。
下面首先让我们了解一下IEEE802.1x端口访问控制协议的体系结构。
1.IEEE802.1x体系介绍虽然IEEE802.1x定义了基于端口的网络接入控制协议,但是需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。
典型的应用方式有:LanSwitch 的一个物理端口仅连接一个End Station,这是基于物理端口的;IEEE 802.11定义的无线LAN 接入方式是基于逻辑端口的。
图1 IEEE802.1x的体系结构IEEE802.1x的体系结构中包括三个部分:Supplicant System,用户接入设备;Authenticator System,接入控制单元;Authentication Sever System,认证服务器。
在用户接入层设备(如LanSwitch)实现IEEE802.1x的认证系统部分,即Authenticator;IEEE802.1x的客户端一般安装在用户PC中,典型的为Windows XP操作系统自带的客户端;IEEE802.1x的认证服务器系统一般驻留在运营商的AAA中心。
802.1X认证原理
802.1X认证原理802.1X(dot1x) 技术简介802.1X认证,又称为EAPOE(Extensible Authentication Protocol Over Ethernet)认证,主要目的是为了解决局域网用户接入认证问题。
802.1X认证时采用了RADIUS协议的一种认证方式,典型的C/S结构,包括终端、RADIUS客户端和RADIUS服务器。
802.1x简介:IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802. 1X协议。
后来,802.1X协议作为局域网接口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。
802.1X协议是一种基于接口的网络接入控制协议。
“基于接口的网络接入控制”是指,在局域网接入设备的接口这一级,接入设备通过认证来控制用户对网络资源的访问。
802.1X认证的特点:o安全性高,认证控制点可部署在网络接入层或汇聚层。
o需要使用802.1x认证客户端或操作系统自带的802.1X客户端。
使用AnyOffice 时可以根据终端检查结果规格隔离于和后域。
o技术成熟,被广泛应用于各类型园区网员工接入。
802.1X认证应用场景:o有线接入层:安全性最高,设备管理复杂。
o有线汇聚层:安全性中高,设备少,管理方便。
o无线接入:安全性高,设备少,管理方便。
802.1X系统架构:802.1X系统为典型的Client/Server结构,包括三个实体:客户端、接入设备和认证服务器。
o客户端是位于局域网段一端的一个实体,由该链路另一端的接入设备对其进行认证。
客户端一般为一个用户终端设备,用户可以通过启动客户端软件发起802.1X认证。
客户端必须支持局域网上的可扩展认证协议EAPOL(Extensible Authentication Protocol over LAN)。
o接入设备是位于局域网段一端的另一个实体,对所连接的客户端进行认证。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第一章802.1X协议简介近来,随着802.1x协议的标准化,一些L2/L3厂家开始推广802.1x认证,又称EAPOE认证。
这种认证技术能否广泛应用于宽带IP城域网,是许多同行普遍关注的问题。
本文从802.1x认证技术的起源、适用场合和局限性等方面对该项技术进行全面和客观的探讨。
一、802.1x认证技术的起源802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。
有线局域网通过固定线路连接组建,计算机终端通过网线接入固定位置物理端口,实现局域网接入,这些固定位置的物理端口构成有线局域网的封闭物理空间。
但是,由于无线局域网的网络空间具有开放性和终端可移动性,因此很难通过网络物理空间来界定终端是否属于该网络,因此,如何通过端口认证来防止其他公司的计算机接入本公司无线网络就成为一项非常现实的问题,802.1x正是基于这一需求而出现的一种认证技术。
也就是说,对于有线局域网,该项认证没有存在的意义。
由此可以看出,802.1x协议并不是为宽带IP城域网量身定做的认证技术,将其应用于宽带IP城域网,必然会有其局限性,下面将详细说明该认证技术的特点,并与PPPOE认证、VLAN+WEB认证进行比较,并分析其在宽带IP 城域网中的应用。
一、802.1x认证技术的特点802.1x协议仅仅关注端口的打开与关闭,对于合法用户(根据帐号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则该端口处于关闭状态。
认证的结果在于端口状态的改变,而不涉及通常认证技术必须考虑的IP地址协商和分配问题,是各种认证技术中最简化的实现方案。
802.1x认证技术的操作粒度为端口,合法用户接入端口之后,端口处于打开状态,因此其它用户(合法或非法)通过该端口时,不需认证即可接入网络。
对于无线局域网接入而言,认证之后建立起来的信道(端口)被独占,不存在其它用户再次使用的问题,但是,如果802.1x认证技术用于宽带IP城域网的认证,就存在端口打开之后,其它用户(合法或非法)可自由接入和无法控制的问题。
接入认证通过之后,IP数据包在二层普通MAC帧上传送,认证后的数据流和没有认证的数据流完全一样,这是由于认证行为仅在用户接入的时刻进行,认证通过后不再进行合法性检查。
表1和表2分别罗列出802.1x协议与PPPOE、VLAN+WEB的性能比较。
表1:802.1x与PPPOE认证的技术比较表2:802.1x与VLAN+WEB认证的技术比较三、宽带IP城域网中的认证技术分析宽带IP城域网建设越来越强调网络的可运营性和可管理性,具体包括:对用户的认证、计费,IP地址分配、全方位安全机制,对业务的支持能力和运营能力等方面。
其中用户认证技术是可运营、可管理网络的关键。
从严格意义上讲,认证功能包括:识别和鉴权,对用户的准确有效识别,对用户权限的下发、确认和控制,这些构成了用户计费和各种安全机制实施的前提以及多业务支持和发展的基础。
因此,宽带IP城域网中认证技术的采用必须遵循网络的可运营、可管理要求。
实践证明,PPPOE认证技术、VLAN+WEB认证技术均可很好地支撑宽带网络的计费、安全、运营和管理要求。
对于802.1x认证技术,根据其定位和特点,在宽带城域网中实现用户认证远远达不到可运营、可管理要求,加之应用又少,为了完备用户的认证、管理功能,还需要进行大量协议之外的工作,目前仅有少数几个二/三层交换机厂家在宽带IP城域网中推广此项方式,将802.1x技术附着在L2/L3产品上,使L2/L3产品具备BAS用户认证和管理功能。
如上所述,这种认证方式仅仅能够基于端口的认证,而且不是全程认证,与其它BAS功能(计费、安全机制、多业务支持)难以融合,因而不能称为电信级认证解决方案。
在城域网建设初期,大家对可运营、可管理性的认识还不是很一致,802.1x认证技术可能会有一定的市场空间,随着宽带IP城域网建设的逐步成熟和对可管理的关注,基于端口开关状态的802.1x认证技术不会成为主流。
802.1X体系介绍802.1X是IEEE2001年6月通过的基于端口访问控制的接入管理协议标准。
IEEE 802 LAN 协议定义的局域网不提供接入认证,只要用户能接入局域网控制设备,如传统的LanSwitch,用户就可以访问局域网中的设备或资源,这是一个安全隐患。
对于移动办公,驻地网运营等应用,设备提供者希望能对用户的接入进行控制和配置,此外还存在计费的需求。
IEEE 802.1X是一种基于端口的网络接入控制技术,在 LAN 设备的物理接入级对接入设备进行认证和控制,此处的物理接入级指的是 LANSWITCH设备的端口。
连接在该类端口上的用户设备如果能通过认证,就可以访问 LAN 内的资源;如果不能通过认证,则无法访问 LAN 内的资源,相当于物理上断开连接。
IEEE 802.1X定义了基于端口的网络接入控制协议,需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。
典型的应用方式有:LanSwitch 的一个物理端口仅连接一个 End Station(基于物理端口); IEEE 802.11定义的无线 LAN 接入方式(基于逻辑端口)。
802.1X的体系结构如下图:IEEE 802.1X的体系结构中包括三个部分:Supplicant System,用户接入设备;Authenticator System,接入控制单元;Authentication Sever System,认证服务器。
在用户接入层设备(如LANSWITCH)实现 802.1X的认证系统部分,即Authenticator;802.1X的客户端一般安装在用户PC中,典型为Windows XP操作系统自带的客户端;802.1X的认证服务器系统一般驻留在运营商的AAA中心。
Supplicant与Authenticator间运行 IEEE 802.1X定义的EAPOL协议;Authenticator 与 Authentication Sever 间同样运行 EAP 协议,EAP 帧中封装了认证数据,将该协议承载在其他高层次协议中,如 Radius,以便穿越复杂的网络到达认证服务器(EAP Relay)。
Authenticator每个物理端口内部有受控端口(Controlled Port)和非受控端口(unControlled Port)。
非受控端口始终处于双向连通状态,主要用来传递 EAPOL 协议帧,可保证随时接收 Supplicant发出的认证EAPoL报文。
受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。
受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用环境。
输入受控方式应用在需要桌面管理的场合,例如管理员远程唤醒一台计算机(supplicant)。
1.1.1.12. 802.1X认证过程简介图2 802.1X的认证过程802.1X 通过 EAP 承载认证信息,共定义了如下 EAP 包类型:1)EAP-Packet,认证信息帧,用于承载认证信息;2)EAPOL-Start,认证发起帧,Supplicant 和 Authenticator 均可以发起;3)EAPOL-Logoff,退出请求帧,可主动终止已认证状态;4)EAPOL-Key,密钥信息帧,支持对 EAP 报文的加密;5)EAPOL-Encapsulated-ASF-Alert,用于支持 Alert Standard Forum (ASF)的 Alerting 消息;其中 EAPOL-Start,EAPOL-Logoff 和 EAPOL-Key 仅在 Supplicant 和 Authenticator 间存在,在交换机和认证服务器间,EAP-Packet报文重新封装承载于Radius协议之上,以便穿越复杂的网络到达认证服务器。
EAPOL-Encapsulated-ASF-Alert 封装与网管相关信息,例如各种告警信息,由 Authenticator 终结。
3. 802.1X的特点认证协议承载于二层网络上,不需要到达三层通过接入认证,控制用户进入网络和获得服务需要客户端支持(类似于PPPoE)业务报文直接承载在正常的二层报文上,对后续的网络处理没有特殊要求802.1X在移动办公中的应用图 3 802.1X应用于移动办公环境移动办公为企业网用户带来了灵活方便的使用环境。
但同时也带来了相应的安全和管理问题。
802.1X协议的出现有效地解决了上述问题。
如上图,移动办公环境中的接入层交换机Quidway S3026和Quidway AccessPoint位于在企业网的最边缘,所有接入PC的的端口被配置为802.1X Authenticator管理,这些端口在初始化时处于阻塞状态,除了802.1X的控制协议报文,所有其他报文在端口处都将被丢弃。
用户的PC机充当802.1X的supplicant客户端,典型的802.1X客户端是Windows XP 自带的身份认证系统。
用户的用户名和口令信息(或者证书)被送到认证服务器。
在认证服务器认证通过后,服务器将认证结果和相关附属配置下发到边缘交换机,边缘交换机根据认证结果报文打开或继续关闭边缘端口,配置端口属性,例如,此端口(用户)的VLAN-ID,缺省802.1p优先级,ACL访问控制列表,802.11WLAN用户40bit/128bit 动态密钥等。
其中VLAN配置可以通过动态VLAN协议自动扩散到企业LAN的其他交换机,通过这种方式,一个用户可以搬迁、漫游到企业网的不同工作位置,不需要管理人员参与任何配置工作就能迅速地接入工作网络,同时又保证了用户群组的安全隔离,例如,工作核心人员的便携机即使漫游到开放的休息室也能接入到特定VLAN。
网络管理员通过管理集中的认证服务器数据库可以实现对整个企业网用户的有效管理。
Authentication Sever可以采用标准的Radius认证服务器,也可以选用业务交换机来实现,后者主要用在网络规模不大的(300用户左右)情况中,华为的Quidway 3500系列以上交换机在新的软件版本中,都提供内嵌Authentication Sever(认证服务器)的功能,通过华为内部集群通讯协议高效完成对用户的认证配置功能。
802.1X通过对Radius的支持,还能提供计费功能,通过监控边缘用户接入端口的会话时间和流量,向计费服务器发出计费报文,从而方便的实现对流量、时间计费等运营需求。
四、总结802.1x协议仅仅提供了一种用户接入认证的手段,并简单地通过控制接入端口的开/关状态来实现,这种简化适用于无线局域网的接入认证、点对点物理或逻辑端口的接入认证,而在可运营、可管理的宽带IP城域网中作为一种认证方式具有极大的局限性。