我的802.1X连接

上海师范大学学生宿舍校园网用户手册2009.2上海师范大学信息化办公室Informatization Office of Shanghai Normal University目录一、寝室校园网的相关说明 (1)端口隔离 (1)用户限速 (1)授权使用 (1)网卡绑定 (1)二、校园网络认证用户简要操作指南 (1)（一）网络认证客户端软件的安装 (1)（二）认证软件的使用 (3)（三）网络服务到期时间问题 (7)（四）网上续费服务 (8)三、校园网用户常见问题整理 (9)问题1：网络电缆没有插好 (9)问题2：网卡被禁用 (10)问题3：开始进行身份验证，连接失败 (10)问题4：正在验证用户密码，连接失败 (11)问题5：安全检查代理服务器没有回应，即将强行下线 (12)问题6：V ISTA系统连接成功，可以上QQ但是打不开网页 (12)问题7：一个寝室多个人需要上网，但只有一个上网端口 (13)问题8：连续4个心跳报文没有响应，即将重新认证 (14)四、校园网网络应用介绍 (15)(一)病毒防护服务 (16)(二)校内W INDOWS操作系统软件更新服务 (16)(三)学生电子邮件(S MAIL)服务 (17)(四)校内网络视频服务 (19)(五)校园一卡通网上服务 (19)(六)网络打印服务 (20)(七)学生个人主页空间（SPDC）服务 (20)(八)无线网络服务和透明网关服务 (20)五、上网小技巧 (21)（一）如何查看网卡地址 (21)（二）不启用W INDOWS防火墙 (22)六、联系方式 (22)一、寝室校园网的相关说明端口隔离设置：每一个信息点独自使用一个交换机端口并通过二层VLAN方式相互隔离目的：杜绝由于各类病毒（如ARP欺骗）和私设DHCP服务器等对学生寝室网带来的影响，提高网络安全性。

用户限速设置：每位用户的上下行速度分别限制为下行速度为最高2Mb，上行速度最高为512kb，同时每个用户的TCP最大连接数限制为200个目的：防止网络资源被滥用，避免寝室网用户中毒后而对网络产生大面积攻击致使网络瘫痪的情况。

1、802.1x协议简介802.1x协议是基于Client/Server的访问控制和认证协议。

它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。

在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。

在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

802.1x认证包含三个角色：认证者--对接入的用户/设备进行认证的端口；请求者--被认证的用户/设备；认证服务器--根据认证者的信息，对请求访问网络资源的用户/设备进行实际认证功能的设备。

以太网的每个物理端口被分为受控和不受控的两个逻辑端口，物理端口收到的每个帧都被送到受控和不受控端口。

其中，不受控端口始终处于双向联通状态，主要用于传输认证信息。

而受控端口的联通或断开是由该端口的授权状态决定的。

受控端口与不受控端口的划分，分离了认证数据和业务数据，提高了系统的接入管理和接入服务提供的工作效率。

2、802.1x认证过程（1.客户端程序将发出请求认证的EAPoL-Start报文给交换机，开始启动一次认证过程。

（2.交换机收到请求认证的报文后，将发出一个EAP-Request/Identify报文要求用户的客户端程序将输入的用户信息送上来。

（3.客户端程序响应交换机发出的请求，将用户名信息通过EAP-Response/Identify报文送给交换机。

交换机通过Radius-Access-Request报文将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。

（4.认证服务器收到来自交换机的Radius-Access-Request报文，做如下几个操作：验证交换机的合法性：包括交换机的IP地址，以及RADIUS认证口令；验证RADIUS的ID字段中填入的账号是否有效；当上述两个条件满足的时候，给交换机应答此Radius-Access-Challenge报文。

问题一：提示信息：桌面右下角任务栏“本地连接”处显示“网络电缆没有插好”解决办法：首先，请检查电脑上网口指示灯是否闪烁，若闪烁，请按指示操作1.右键点击iNode主界面中的网络连接，默认名称为我的802.1连接，如果该连接正在连接网络中，请先将其断开。

如下图2.选择属性一栏，弹出一下界面，在“选择网卡”一项中选择有本地连接名称一致的网卡驱动。

如下图附：查看本地连接名称的方法：win7系统：1.右键点击右下角网络连接图标，在弹出项中选择打开网络和共享中心。

2.在弹出的界面中选择左侧“更改适配器设置”一项。

是蓝牙设备等等，请找到本地连接，右键点击它，并选择“属性”一项。

4.在接下来弹出的界面中，“连接时使用”下方的英文序列便是本地连接的名字。

winxp系统下方法与win7系统大致相似，xp系统是右键点击桌面网络邻居，选择属性进入网络连接界面。

问题二：提示信息：客户端里提示网卡被禁用。

解决办法：1.检查“Inode客户端”里的连接中的网卡是否为本地连接对应的网卡，如果是，请查看本地连接是否被禁用，如果以上方法还不行，请重装网卡驱动。

（重装网卡驱动方法见文件夹中文件）问题三：提示信息：静态IP地址绑定检查失败与MAC地址绑定检查失败解决办法：请带上账号到学员公寓网络通信运维中心（东D352）解除绑定。

问题四：提示信息：用户密码错误，加入黑名单解决办法：请带上账号到学员公寓网络通信运维中心（东D352）修改密码。

问题五：提示信息：用户不存在或者用户没有申请该服务解决方法：1.双击iNode客户端，选择属性→用户→取消高级认证，并检查用户名（学号）。

2.删除我的802.1x连接，新建一个我的802.1x连接。

3.如果1,2都无法解决，请到学员公寓网络通信运维中心（东D352）保修。

问题六；提示信息：未收到服务器回应，您的计算机可能只能访问隔离区的网络资源，请检查终端能否正常访问网络或者与管理员联系解决办法：1.检查IP地址，默认网关，子网掩码是否都已配置正确。

校园网使用指南欢迎使用校园网。

为了使同学们能够更加方便的使用校园网服务，现将校园网及校园卡使用过程中的常见问题整理如下：（我们强烈建议您将此文档以word或脱机文件的形式备份到电脑，以便上网过程中出现问题可以及时自助解决。

）一、校园网业务1. 校园网提供哪些服务？答：校园网由学校网络服务中心承担建设和日常运行维护的任务，向广大师生提供教育网、互联网的接入服务，校内网络资源的访问，WWW服务，FTP服务，域名申请，电子邮件，虚拟主机，服务器托管和网络安全防范等服务。

2. 如何访问网络自助服务平台？答：网络自助服务平台的地址是：http://192.168.1.10提供用户自助修改密码，查看上网时长，缴费记录等。

3. 如何申请开户？答：在校学生申请开通校园网，需要携带身份证或学生证到学生区5号楼101室网络服务中心办理。

学生用户开户时，需将本人详细的宿舍地址等信息如实告知网管操作员。

用户完成开户后，需对个人账户进行预充值，充值金额自定。

4. 学生区校园网的计费策略是什么?答：校园网账户采用预付费方式，包月用户开户费为100元，以后资费为每月50元，计时用户为10元20小时。

余额为0的账户，连续180天未登录网络，自动销户。

5. 系统如何计费？答：校园网认证系统会在每次用户登录时生成账单。

余额不足，停止网络服务。

用户超过180天不登录网络，在余额为0的情况下，自动销户。

6. 申请的校园网账号和密码是什么？答：校园网认证账户的用户名是个人姓名拼音首字母+宿舍号，初始密码是“0 00”。

请用户开户后及时登录“Cams自助服务平台”（http://192.168.1.10）核对个人信息，并修改密码。

注：登录“Cams自助服务平台”必须使用本人的计算机和本人的IP地址。

7．如何网费充值？答：可以到5号楼网络服务中心101进行网费充值。

请避开月底月初高峰期。

8. 使用校园网前，需要做好哪些准备工作？答：连接校园网络需要自备两端带水晶头的网线连接网络适配器和网络端口。

第22章802.1X配置本章主要讲述了迈普系列路由交换机支持的802.1X功能以及详细的配置信息。

章节主要内容：●802.1X介绍●802.1X配置●802.1X应用举例●监控与维护22.1802.1X介绍22.1.1802.1X简介802.1X是IEEE在2001年6月提出的宽带接入认证方案，它定义了基于物理端口的网络接入控制协议（Port-Based Network Access Control）。

802.1X利用IEEE 802架构局域网的物理访问特性，提供了一套对以点对点方式（point-to-point）连接到局域网端口（Port）上的设备进行认证、授权的方法。

802.1X具有如下特点：1.方案简洁。

802.1X 仅仅关注端口的打开与关闭。

对于合法用户（根据帐号和密码）接入时该端口打开，而对于非法用户接入或没有用户接入时，则该端口处于关闭状态。

认证的结果在于端口状态的改变，是各种认证技术中最简化的实现方案。

2.802.1X所使用的EAP协议只定义了认证消息的通信方式（the means of communicationauthentication information），而没有定义具体的认证机制（authentication mechanism）。

因此可以灵活地选择认证机制，(包括：Smart Card、Kerberos、Public Key Encryption、One Time Password等)。

3.IEEE 802.1X协议为二层协议，不需要到达三层。

也就是说，客户端系统在认证中，不需IP地址。

认证开始时的EAPOL帧使用01-80-c2-00-00-03作为目的MAC地址，使用发送者的MAC 地址作为源MAC地址。

4.采用纯以太网技术，通过认证之后的数据包不存在封装与解封装的问题，因而效率高，消除了网络瓶颈。

5.用户通过认证后，业务流和认证流实现分离，对后续的数据包处理没有特殊要求，业务可以很灵活，尤其在开展宽带组播等方面的业务有很大的优势，所有业务都不受认证方式限制。

无线802.1x认证标准无线802.1x协议交互逻辑无线PEAP认证分为几个阶段，802.11无线关联阶段、PEAP认证阶段、无线Key 配置阶段、客户端IP地址获取阶段、正常网络访问阶段以及最后的下线阶段，接下来我们就依照下图对认证过程中的各个阶段进行详细描述。

一、802.11无线关联阶段STA(WorkStation，通常指个人PC)上的认证客户端（Supplicant）通过无线开放模式和无线设备之间建立连接。

1）第一对交互过程用于客户端请求希望关联的SSID，无线设备进行请求应答。

2）接下来的一对交互过程使用开放模式进行认证，真正的身份校验放到了PEAP阶段完成。

3）最后一对交互过程是在进行无线关联，通过该对话可以协商出双方所支持的通讯速率、无线数据传输时的密钥传递、管理和加密方式。

客户端和无线设备完成上述交互过程后，无线关联过程也就完成了。

二、PEAP认证阶段A、802.1X认证起始阶段1）客户端向无线设备发送一个EAPoL-Start报文，开始802.1X认证；2）无线设备向客户端发送EAP-Request/ID报文，要求客户端将用户信息送上来；3）客户端回应EAP-Response/ID给无线设备，该报文中包含用户标识，通常为认证用户ID（由于PEAP的TLS安全通道内依然使用EAP协议进行认证，而EAP 认证过程中会再请求一次用户ID，那么方案设计者可以通过本次的Response/ID 来隐藏真实的用户ID，而在TLS安全通道内的EAP交互中携带真实的用户ID，这样可以增强用户认证凭证的保密性）；4）无线设备以EAP Over Radius的形式将EAP-Response/ID传送给Radius服务器。

B、协商PEAP认证并建立TLS安全通道5）Radius服务器收到EAP-Response/ID后根据配置确定使用PEAP认证，并向无线设备发送Radius Access-Challenge报文，报文中包含Radius服务器发送给客户端的PEAP-Start报文，表示希望使用PEAP方法进行接下来的认证；6）无线设备将EAP-Request/PEAP-Start发送给认证客户端；7）客户端收到EAP-Request/PEAP-Start报文后，生成客户端随机数、客户端支持的加密算法列表、TLS协议版本、会话ID等信息，并将这些信息封装到PEAP-Client Hello报文中发送给无线设备；8）无线设备以EAP Over Radius的形式将PEAP-Client Hello发送给Radius服务器；9）Radius服务器收到客户端发来的PEAP-Client Hello报文后，会从PEAP-Client Hello报文的加密算法列表中选择自己支持的一组加密算法并同Radius服务器产生的随机数、Radius服务器证书、证书请求信息、Server_Hello_Done属性形成一个Server Hello报文封装在Access-Challenge报文中，发送给客户端；10）无线设备提取Radius报文中的EAP属性，将其封装成EAP-Request报文并最终发送给客户端；11) 客户端收到来自服务器的EAP-Request报文后，验证Radius服务器的证书是否合法。

为什么要实现IEEE802.1x？随着宽带以太网建设规模的迅速扩大，网络上原有的认证系统已经不能很好地适应用户数量急剧增加和宽带业务多样性的要求。

IEEE802.1x协议具有完备的用户认证、管理功能，可以很好地支撑宽带网络的计费、安全、运营和管理要求，对宽带IP城域网等电信级网络的运营和管理具有极大的优势。

IEEE802.1x协议对认证方式和认证体系结构上进行了优化，解决了传统PPPOE和WEB/PORTAL认证方式带来的问题，更加适合在宽带以太网中的使用。

IEEE802.1x是IEEE2001年6月通过的基于端口访问控制的接入管理协议标准。

IEEE802系列LAN标准是目前居于主导地位的局域网络标准，传统的IEEE802协议定义的局域网不提供接入认证，只要用户能接入局域网控制设备，如传统的LanSwitch，用户就可以访问局域网中的设备或资源，这是一个安全隐患。

对于移动办公，驻地网运营等应用，设备提供者希望能对用户的接入进行控制和配置，此外还存在计费的需求。

IEEE802.1x是一种基于端口的网络接入控制技术，在 LAN 设备的物理接入级对接入设备进行认证和控制，此处的物理接入级指的是 LanSwitch设备的端口。

连接在该类端口上的用户设备如果能通过认证，就可以访问 LAN 内的资源；如果不能通过认证，则无法访问LAN 内的资源，相当于物理上断开连接。

下面首先让我们了解一下IEEE802.1x端口访问控制协议的体系结构。

1．IEEE802.1x体系介绍虽然IEEE802.1x定义了基于端口的网络接入控制协议，但是需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式，其中端口可以是物理端口，也可以是逻辑端口。

典型的应用方式有：LanSwitch 的一个物理端口仅连接一个 End Station，这是基于物理端口的； IEEE 802.11定义的无线 LAN 接入方式是基于逻辑端口的。

802.1x简介：802.1x协议起源于802.11协议，802.11是IEEE的无线局域网协议，制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。

IEEE802 LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制设备(如LAN Switch)，就可以访问局域网中的设备或资源。

这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。

随着移动办公及驻地网运营等应用的大规模发展，服务提供者需要对用户的接入进行控制和配置。

尤其是WLAN的应用和LAN接入在电信网上大规模开展，有必要对端口加以控制以实现用户级的接入控制，802.lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。

二、802.1x认证体系802.1x是一种基于端口的认证协议，是一种对用户进行认证的方法和策略。

端口可以是一个物理端口，也可以是一个逻辑端口(如VLAN)。

对于无线局域网来说，一个端口就是一个信道。

802.1x认证的最终目的就是确定一个端口是否可用。

对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，即只允许802.1x的认证协议报文通过。

实验所需要的用到设备：认证设备：cisco 3550 交换机一台认证服务器：Cisco ACS 4.0认证客户端环境：Windows xp sp3实验拓扑：实验拓扑简单描述：在cisco 3550上配置802.1X认证，认证请求通过AAA server,AAA server IP地址为：172.16.0.103，认证客户端为一台windows xp ,当接入到3550交换机上实施802.1X认证，只有认证通过之后方可以进入网络，获得IP地址。

实验目的：通过本实验，你可以掌握在cisco 交换机如何来配置AAA（认证，授权，授权）,以及如何配置802.1X,掌握 cisco ACS的调试，以及如何在windows xp 启用认证，如何在cisco 三层交换机上配置DHCP等。

802.1xeap认证流程下载温馨提示:该文档是我店铺精心编制而成，希望大家下载以后，能够帮助大家解决实际的问题。

文档下载后可定制随意修改，请根据实际需要进行相应的调整和使用，谢谢!并且，本店铺为大家提供各种各样类型的实用资料，如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等，如想了解不同资料格式和写法，敬请关注!Download tips: This document is carefully compiled by theeditor. I hope that after you download them,they can help yousolve practical problems. The document can be customized andmodified after downloading,please adjust and use it according toactual needs, thank you!In addition, our shop provides you with various types ofpractical materials,such as educational essays, diaryappreciation,sentence excerpts,ancient poems,classic articles,topic composition,work summary,word parsing,copy excerpts,other materials and so on,want to know different data formats andwriting methods,please pay attention!802.1X EAP 认证流程是一种用于网络访问控制的认证协议，它基于 IEEE 802.1X 标准，使用可扩展身份验证协议（EAP）进行身份验证。

802.1x典型配置举例关键词：802.1x，AAA摘?要：本文主要介绍以太网交换机的802.1x功能在具体组网中的应用配置，对所涉及到的802.1x客户端、交换机、AAA服务器等角色，分别给出了详细的配置步骤。

缩略语：AAA（Authentication，AuthorizationandAccounting，认证、授权和计费）第1章?802.1x功能介绍✍?说明：本章中的802.1x功能适用于H3CS3600、H3CS5600、H3CS3100、H3CS5100、H3CS3100-52P、E352&E328、E126和E152这一系列以太网交换机。

1.1?802.1x简介IEEE802协议定义的局域网不提供接入认证，一般来说，只要用户接入局域网就可以访问网络上的设备或资源。

但是对于如电信接入、写字楼、局域网以及移动办公等应用场合，网络管理者希望能对用户设备的接入进行控制和配置，为此产生了基于端口或用户的网络接入控制需求。

802.1x协议是一种基于端口的网络接入控制（PortBasedNetworkAccessControl）协议。

802.1x作为一种基于端口的用户访问控制机制，由于其低成本、良好的业务连续性和扩充性以及较高的安全性和灵活性，受到了设备制造商、各大网络运营商和最终用户的广泛支持和肯定。

1.2?产品特性支持情况1.2.1?全局配置✍?????????????开启全局的802.1x特性✍?????????????设置时间参数✍?????????????设置认证请求帧的最大可重复发送次数✍?????????????打开静默定时器功能✍?????????????打开设备重启用户再认证功能1.2.2?端口视图下的配置✍?????????????开启端口dot1x✍?????????????配置GuestVLAN功能✍?????????????配置端口允许的最大用户数✍?????????????端口接入控制方式(基于端口或基于MAC)✍?????????????端口接入控制模式（强制授权、非强制授权、自动）✍?????????????客户端版本检测✍?????????????代理检测1.2.3?注意事项✍?????????????只有全局开启dot1x特性后，dot1x的配置才会生效。

802.1X 无线客户端设置
802.1X 无线客户端设置
802.1X 无线客户端设置
802.1X 无线客户端设置
802.1X 无线客户端设置
Windows XP
经过以上设置之后，在笔记本的无线网络连接里面会看到一个经过WPA加密的SSID，点击连接时，会出现无法找到证书的错误，这是因为windowsXP的默认设置不符合要求。

打开无线网络连接的属性—》无线网络配置，选择正确的SSID，点击属性
网络验证选择WPA，数据加密TKIP
点击“验证”选项卡，选择EAP类型为“受保护的EAP（PEAP），点击属性
勾掉“验证服务器证书“选项，选择”安全密码（EAP-MSCHAP v2），点击配置
勾掉“自动使用windows登录名和密码”
完成以上配置之后，就可以正常连接到IAS服务器，提示输入用户名密码
如果客户端是域成员，可以通过组策略完成以上客户端的配置。

Windows 7
打开网络连接，选择管理无线网络
删除已有的无线网络
然后添加一个无线网络，安全类型选择WPA2+企业，加密类型AES
点击下一步，然后选择更改连接设置
选择安全，点击高级设置
选择指定身份验证模式，下拉框选中用户身份验证，然后点击确定
去掉每当登录时记住此连接的凭据:做实验时方便
然后点击设置
去掉图中的两个勾，然后点击配置
去掉图中的勾
到此设置完成，可以去连接了，然后就可以输入用户名和密码了。

iNode客户端使用手册一、客户端安装：1、下载后，双击安装文件：2、在下面窗口中，单击“下一步”按钮：3、在下面窗口中，选择“我同意许可证协议中的条款”，然后单击“下一步”按钮：4、在下面窗口中，单击“下一步”按钮：5、在下面窗口中，单击“安装”按钮：显现下面窗口后，等待几秒，显现以下窗口，请储存好您当前的工作（如文档编辑等），然后重新启动运算机。

二、创建802.1x连接；1、双击iNode智能客户端快捷方式图标：2、在下面窗口中，单击“创建一个新的连接”3、在下面的窗口中，单击“下一步”按钮：4、在下面的窗口中，选择“802.1x协议”，然后单击“下一步”按钮：5、在下面的窗口中，选择“一般连接”，然后单击“下一步”按钮：6、在下面的窗口中，输入您的“用户名”和密码，注意：如果您正在使用的不是您的个人运算机（例如在图书馆的公共运算机），那么请不要选择“储存用户密码”（默认是选择储存的）。

7、如果您的运算机有多块网卡，那么请选择您所使用的网卡。

然后单击“完成”按钮：8、按照您的使用适应，在下列窗口中，选择是否在桌面创建连接的快捷方式。

然后单击“创建”按钮：9、在下面窗口中，双击“我的802.1x连接”10、在一下窗口中，输入您的“用户名”和“密码”，然后单击“连接”按钮：11、在下面窗口中，如显现以下认证信息，表明您差不多通过认证，连接成功：三、创建portal连接。

1、双击iNode智能客户端快捷方式图标：2、在下面窗口中，单击“创建一个新的连接”3、在下面的窗口中，单击“下一步”按钮：4、在下面的窗口中，选择“Portal协议”，然后单击“下一步”按钮：5、在下面的窗口中，选择“一般连接”，然后单击“下一步”按钮：6、在下面的窗口中，输入您的“用户名”和密码，服务类型请选择“p ortal认证计费服务”，如果服务类型不可选择，请返回上一步重试，如果重试不成功，那也许是您不在portal认证区域。

Windows7系统802.1X客户端配置索利通网络系统上海有限公司2011年1月一、启用802.1x服务默认情况下win7系统的802.1x服务是禁用，必须通过本机服务来启用它，右击桌面计算机管理选项，如下图所示：点击管理后会弹出如下窗口，选择服务选项，在右边窗口中找到Wired AutoConfig选项，双击该选项可以看到，默认情况下身份验证是没有启用的, 把启动类型改为自动，点击服务状态为启动，最后应用确定即可，这样802.1x服务就启用完成了，在本地连接属性就可以看到身份验证了。

以下图片是没有启用802.1x时的网卡属性状态以下图片是启用了802.1x时的网卡属性状态二、EAP认证在默认状态下身份验证是EAP状态，如上图所示，接下来设置EAP认证，点击设置会弹出如下窗口：把验证服务器证书勾选掉点击配置按钮，会弹出如下窗口，勾选掉以下选项，确定即可设置好身份验证后任务栏的网卡图标会弹出认证提示窗口，单击此窗口单击认证窗口后会弹出验证的凭据对话框，需要输入EPS提供的正确用户名和密码，点击确定即可认证成功后就可以就可以接入内部网络了，win7系统不会像winxp一样弹出认证成功的窗口，可以通过ping来确认可否访问内部网络。

三、证书认证证书认证首先要确认EPS下载的证书已在本地计算机，如下图所示双击证书开始安装点击下一步输入正确的证书密码，其它选项默认，点击下一步选项为默认，点击下一步证书安装完毕，点击完成此时会提示一个安全性警告窗口，点击是即可，至此证书安装完毕设置证书认证选项，请选择智能卡或其他证书，其他选项为默认，如下图点击设置，会弹出如下窗口，勾掉所有的选项如下图所示，勾掉使用简单证书和验证服务器证书点击确定后，任务栏网卡图标会弹出认证提示，单击它接下来会弹出证书选项，如果您电脑有多个证书，请选择正确的证书用户名选择正确的用户名后，点击确定，可以通过ping内网来确定，是否已认证成功。

目录1 802.1x配置1.1 802.1x简介1.1.1 802.1x的体系结构1.1.2 802.1x的基本概念1.1.3 EAPOL消息的封装1.1.4 EAP属性的封装1.1.5 802.1x的认证触发方式1.1.6 802.1x的认证过程1.1.7 802.1x的定时器1.1.8 802.1x在设备中的实现1.1.9 和802.1x配合使用的特性1.2 配置802.1x1.2.1 配置准备1.2.2 配置全局802.1x1.2.3 配置端口的802.1x1.3 配置802.1x的Guest VLAN1.3.1 配置准备1.3.2 配置Guest VLAN1.4 802.1x显示和维护1.5 802.1x典型配置举例1.6 Guest VLAN、VLAN下发典型配置举例1 802.1x配置1.1 802.1x简介IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1x协议。

后来，802.1x协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。

802.1x协议是一种基于端口的网络接入控制协议（port based network access control protocol）。

“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。

连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。

1.1.1 802.1x的体系结构802.1x系统为典型的Client/Server结构，如图1-1所示，包括三个实体：客户端（Client）、设备端（Device）和认证服务器（Server）。

图1-1 802.1x认证系统的体系结构●客户端是位于局域网段一端的一个实体，由该链路另一端的设备端对其进行认证。

客户端一般为一个用户终端设备，用户可以通过启动客户端软件发起802.1x认证。

清华大学无线校园网802.1x认证登录客户端配置说明信息化技术中心2018年9月目录一、注册802.1x密码 (3)二、配置用户端设备 (4)2.1Windows10操作系统下配置802.1x的方法 (4)2.2Windows 7系统下的配置802.1x的方法 (9)2.3Android系统下的配置802.1x的方法 (12)2.4iPhone、iPad下的配置802.1x的方法 (13)2.5macOS下的配置802.1x的方法 (14)2.6Linux系统下配置802.1x的配置方法 (16)三、用户服务 (19)清华无线校园网802.1x认证系统正式开通啦！无线信号名称是“Tsinghua-Secure”，用户只需通过校园网账号登录自服务系统（）注册802.1x认证系统的密码，一次性配置用户终端设备（手机、PAD、电脑等），以后无需再做任何登录认证操作，直接可以上网。

无线校园网802.1x认证系统将于2018年9月于部分办公区域逐步开通，预计在2018年年底学校无线覆盖区域全部开通。

使用802.1x认证系统需要进行以下两个操作步骤：1.注册802.1x的密码；2.配置用户端的设备。

详细操作说明如下。

一、注册802.1x密码1.登录自服务系统: ，选择“802.1x功能”下的“自注册及修改口令”，如下图所示。

在密码及确认密码的区域输入密码后，点击“确定”按钮后，即注册802.1x密码成功。

如下图所示:2. 注意事项：为确保校园网账号安全，请勿将802.1x密码设置为校园网账号密码。

若以后需更改该密码，可登录到自服务系统中按照上述步骤进行。

二、配置用户端设备用户终端设备需按不同的操作系统进行配置，Windows/Android/iOS/macOS等不同系统下的配置方法如下。

2.1Windows10操作系统下配置802.1x的方法1.确认终端在信号覆盖范围内：查找是否能找到802.1X SSID“Tsinghua-Secure”如果能找到则可以进行下一步。