802.1x协议的体系

IEEE 802.1x协议起源于802.11，其主要⽬的是为了解决⽆线局域⽤户的接⼊认证问题。

802.1x 协议⼜称为基于端⼝的访问控制协议，可提供对802.11⽆线局域和对有线以太络的验证的络访问权限。

802.1x协议仅仅关注端⼝的打开与关闭，对于合法⽤户接⼊时，打开端⼝；对于⾮法⽤户接⼊或没有⽤户接⼊时，则端⼝处于关闭状态。

IEEE 802.1x协议的体系结构主要包括三部分实体：客户端Supplicant System、认证系统Authenticator System、认证服务器Authentication Server System.
（1）客户端：⼀般为⼀个⽤户终端系统，该终端系统通常要安装⼀个客户端软件，⽤户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。

（2）认证系统：通常为⽀持IEEE 802.1x协议的络设备。

该设备对应于不同⽤户的端⼝有两个逻辑端⼝：受控（controlled Port）端⼝和⾮受控端⼝（uncontrolled Port）。

第⼀个逻辑接⼊点（⾮受控端⼝），允许验证者和 LAN 上其它计算机之间交换数据，⽽⽆需考虑计算机的⾝份验证状态如何。

⾮受控端⼝始终处于双向连通状态（开放状态），主要⽤来传递EAPOL协议帧，可保证客户端始终可以发出或接受认证。

第⼆个逻辑接⼊点（受控端⼝），允许经验证的 LAN ⽤户和验证者之间交换数据。

受控端⼝平时处于关闭状态，只有在客户端认证通过时才打开，⽤于传递数据和提供服务。

受控端⼝可配置为双向受控、仅输⼊受控两种⽅式，以适应不同的应⽤程序。

如果⽤户未通过认证，则受控端⼝处于未认证（关闭）状态，则⽤户⽆法访问认证系统提供的服务。

（3）认证服务器：通常为RADIUS服务器，该服务器可以存储有关⽤户的信息，⽐如⽤户名和⼝令、⽤户所属的VLAN、优先级、⽤户的访问控制列表等。

当⽤户通过认证后，认证服务器会把⽤户的相关信息传递给认证系统，由认证系统构建动态的访问控制列表，⽤户的后续数据流就将接接受上述参数的监管。