华为802.1X技术白皮书

华为智简园区交换机 MACsec技术白皮书前言摘要MACsec（802.1AE）提供同一个局域网内，设备端口MAC 层之间的安全通信服务，主要包含以下方面：数据机密性、数据完整性、数据来源真实性以及重放保护。

关键词MACsec 802.1AE目录前言 (ii)1概述 (4)2MACsec 技术原理 (5)2.1 MACsec 典型组网模式 (5)2.1.1面向主机点到点模式 (5)2.1.2面向设备点到点模式 (6)2.2 MACsec 基本概念 (6)2.3 MACsec 运行机制 (8)2.4 MACsec 密钥体系 (10)2.4.1密钥体系结构 (10)2.4.2密钥派生关系 (11)2.5 MKA 密钥协商交互流程 (12)2.6 MACsec 数据加解密转发 (13)3典型组网应用 (15)3.1 局域网MACsec 典型组网 (15)3.2 中间有传输设备MACsec 典型组网 (15)4 附录 (17)1 概述MACsec（Media Access Control Security）定义了基于IEEE 802 局域网络的数据安全通信的方法。

MACsec 可为用户提供安全的MAC 层数据发送和接收服务，包括用户数据加密（C o n fid e n tia l ity）、数据帧完整性检查（D a ta in te g rit y）、数据源真实性校验（D a t a o rigin a u th e n tic it y）及重放保护（Re p l ay p r o te c tio n）。

MACsec 主要涉及IEEE802.1AE 和802.1X 两个协议规范：IEEE802.1AE-2006 定义了数据封装、加密和认证的帧格式；802.1X-2010 中的MKA（MACsec Key Agreement）定义了密钥管理协议，提供了Peer-to-Peer 方式或Group 方式的密钥建立机制，使用MKA 协议协商生成的密钥对已认证的用户数据进行加密和完整性检查，可以避免端口处理未认证设备的报文或者未认证设备篡改的报文。

华为全系列数据通信产品白皮书第一部分：引言（200字）数据通信产品在现代社会中扮演着至关重要的角色，它们是连接世界的桥梁，促进了信息的传递和交流。

华为作为全球领先的通信技术解决方案提供商，为满足客户需求，推出了一系列高质量的数据通信产品。

本白皮书旨在介绍华为全系列数据通信产品的技术特点、应用场景和优势，帮助用户更好地了解和选择适合自己的产品。

第二部分：产品概述（200字）华为全系列数据通信产品包括路由器、交换机、光纤传输设备等多个种类。

这些产品具备高度的稳定性、可靠性和安全性，能够保证数据传输的质量和效率。

华为路由器是业界领先的产品之一，支持高速连接，稳定运行和智能优化。

交换机则提供灵活的网络管理和控制功能，适用于各种不同规模和需求的环境。

光纤传输设备则可以实现高容量和长距离的数据传送，特别适用于电信、金融和大型企业等行业。

第三部分：技术特点（300字）华为全系列数据通信产品具备一系列重要的技术特点。

首先，这些产品都采用了先进的硬件和软件技术，能够实现高效的数据处理和传输。

其次，华为产品支持灵活的网络配置和管理，可以根据实际需求进行定制和扩展。

同时，华为产品还具备高度的安全性，采用了先进的加密和认证技术，保障了数据的机密性和完整性。

此外，华为产品还支持智能化的运维和管理，通过数据分析和优化，提高了网络的性能和稳定性。

第四部分：应用场景（300字）华为全系列数据通信产品广泛应用于各个领域。

它们可以满足不同规模和需求的数据通信需求，适用于运营商、企业和个人用户等不同类型的客户。

在运营商领域，华为产品可以构建高速、稳定和安全的通信网络，支撑运营商的业务和服务。

在企业领域，华为产品可以实现灵活的网络管理和控制，提供高效的数据传输和存储解决方案。

对于个人用户来说，华为产品可以提供高速的网络连接和智能的家庭网络管理，满足各种娱乐和生活需求。

第五部分：产品优势（200字）华为全系列数据通信产品具备多个优势。

首先，它们拥有领先的技术和创新能力，能够满足不断变化的市场需求。

802.1X简介IEEE 802.1X标准（以下简称802.1X）是一种基于接口的网络接入控制（Port Based Network Access Control）协议。

“基于接口的网络接入控制”是指在局域网接入控制设备的接口对接入的设备进行认证和控制。

用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。

802.1X系统为典型的Client/Server体系结构，包括三个实体：•Supplicant（客户端）客户端一般为用户终端设备，由设备端对其进行认证。

客户端需要安装802.1X的客户端软件，如Windows自带的802.1X客户端。

客户端必须支持局域网上的可扩展认证协议EAPoL（Extensible Authentication Protocol over LAN）。

•Authenticator（设备端）设备端通常为支持802.1X协议的网络设备，它为客户端提供接入局域网的接口。

•Authentication Server（认证服务器）认证服务器是为设备端提供认证服务的实体。

认证服务器用于实现对用户进行认证、授权和计费，通常为RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）服务器。

说明：在没有外部认证服务器的情况下，USG可以同时作为本地认证服务器和设备端。

USG的本地认证服务配置请参见配置本地认证。

在有外部认证服务器的情况下，USG作为设备端。

USG上对接RADIUS的配置请参见配置RADIUS认证。

认证实体的信息交换关系如图1所示。

设备端与认证服务器之间通过EAP帧交换信息。

客户端与设备端之间通过IEEE 802.1X所定义的EAPoL帧交换信息。

图1 802.1X认证系统的体系结构当客户端发起认证请求时，设备端作为中继与客户端和认证服务器交互，经过一系列的认证过程后，如果认证成功，设备的接口成为授权状态，允许客户端通过授权接口访问网络。

白皮书华为Wi-Fi 6(802.11ax)技术白皮书文档版本1.0目录1.Wi-Fi发展简介 (4)2.什么是Wi-Fi 6(802.11ax) (6)2.1Wi-Fi 6速度有多快？ (6)2.2Wi-Fi 6核心技术 (9)2.2.1OFDMA频分复用技术 (9)2.2.2DL/UL MU-MIMO技术 (13)2.2.3更高阶的调制技术(1024-QAM) (15)2.2.4空分复用技术（SR）& BSS Coloring着色机制 (16)2.2.5扩展覆盖范围(ER) (19)2.3其他Wi-Fi 6（802.11ax）新特性 (19)2.3.1支持2.4GHz频段 (19)2.3.2目标唤醒时间（TWT） (20)3.为什么要Wi-Fi 6(802.11ax) (22)4.5G与Wi-Fi 6(802.11ax)的共存关系 (23)5.华为对Wi-Fi 6(802.11ax)产业发展的贡献 (26)6.华为Wi-Fi 6(802.11ax)产品和特性 (28)6.1业界首款商用Wi-Fi 6 AP (28)6.2华为第三代智能天线 (28)6.3三射频& 双5G设计 (29)6.4SmartRadio技术-智能射频调优 (30)6.5SmartRadio技术-智能EDCA调度 (32)6.6SmartRadio技术-智能无损漫游 (33)7.总结 (36)1.Wi-Fi发展简介Wi-Fi已成为当今世界无处不在的技术，为数十亿设备提供连接，也是越来越多的用户上网接入的首选方式，并且有逐步取代有线接入的趋势。

为适应新的业务应用和减小与有线网络带宽的差距，每一代802.11的标准都在大幅度的提升其速率。

1997年IEEE制定出第一个无线局域网标准802.11，数据传输速率仅有2Mbps，但这个标准的诞生改变了用户的接入方式，使人们从线缆的束缚中解脱出来，。

随着人们对网络传输速率的要求不断提升，在1999年IEEE发布了802.11b标准。

华为智简园区有线无线深度融合技术白皮书摘要有线无线深度融合是华为公司推出的智简园区解决方案的一个子方案，指在敏捷交换机上融合WLAN AC功能后，有线和无线用户可以在敏捷交换机统一进行管理、认证和策略控制，流量集中易于管控，管理极致简化，实现了全新的接入体验。

目录摘要 (i)1 概述 (3)1.1 产生背景 (3)1.2 解决思路 (4)2 方案原理 (7)2.1 实现原理 (7)2.2 有线无线用户在敏捷交换机集中统一认证 (11)2.3 无线用户在敏捷交换机控制下实现漫游切换 (11)3 典型组网应用 (13)3.1 无线AP从ENP板卡接入 (13)3.1.1 中小型二层组网部署 (13)3.1.2 大型二层组网部署 (15)3.1.3 三层组网之核心点融合 (16)3.2 无线AP从ASIC板卡接入 (17)3.2.1 无线业务接入点多而分散 (17)3.2.2 旧有线网络增加无线业务 (19)A 缩略语 (20)1概述1.1 产生背景传统的有线无线园区网络分为有线无线完全分离和有线无线一体化两个阶段：●有线无线分离阶段：即独立AC旁挂式，AP通过接入交换机接入网络，AC多为单独的WLAN设备，一般旁挂在网关交换机上。

有线和无线网络管理、数据转发完全分离。

●有线无线一体化阶段：即插卡式AC，AP通过接入交换机接入网络，AC作为网关交换机的一块插卡，称为插卡式AC。

在这种组网下，虽然AC作为一块板卡融入了网关交换机，但无线AC和有线网关交换机还是独立的管理单元，有线无线数据转发，仍然是完全分开进行处理。

无论是独立AC或插卡式AC，有线和无线流量转发完全分离，分别是在交换机和AC设备完成。

这将导致有线用户和无线用户的流量转发、网络管理和排障、认证以及访问策略的设置和控制实施都是分开在有线网络和无线网络中独立维护的，这种传统的无线网络和有线网络不能统一管理和深度融合带来排障、管控的工作量增加等问题。

华为Wi-Fi 6 (802.11ax)技术白皮书华为技术有限公司目录1.Wi-Fi发展简介 (4)2.什么是Wi-Fi 6(802.11ax) (6)2.1Wi-Fi 6速度有多快？ (6)2.2Wi-Fi 6核心技术 (9)2.2.1OFDMA频分复用技术 (9)2.2.2DL/UL MU-MIMO技术 (13)2.2.3更高阶的调制技术(1024-QAM) (15)2.2.4空分复用技术（SR）& BSS Coloring着色机制 (16)2.2.5扩展覆盖范围(ER) (19)2.3其他Wi-Fi 6（802.11ax）新特性 (19)2.3.1支持2.4GHz频段 (19)2.3.2目标唤醒时间（TWT） (20)3.为什么要Wi-Fi 6(802.11ax) (22)4.5G与Wi-Fi 6(802.11ax)的共存关系 (23)5.华为对Wi-Fi 6(802.11ax)产业发展的贡献 (26)6.华为Wi-Fi 6(802.11ax)产品和特性 (28)6.1业界首款商用Wi-Fi 6 AP (28)6.2华为自适应阵列天线 (28)6.3三射频& 双5G设计 (29)6.4SmartRadio技术-智能射频调优 (30)6.5SmartRadio技术-智能EDCA调度 (32)6.6SmartRadio技术-智能无损漫游 (33)7.总结 (35)1.Wi-Fi发展简介Wi-Fi已成为当今世界无处不在的技术，为数十亿设备提供连接，也是越来越多的用户上网接入的首选方式，并且有逐步取代有线接入的趋势。

为适应新的业务应用和减小与有线网络带宽的差距，每一代802.11的标准都在大幅度的提升其速率。

1997年IEEE制定出第一个无线局域网标准802.11，数据传输速率仅有2Mbps，但这个标准的诞生改变了用户的接入方式，使人们从线缆的束缚中解脱出来，。

随着人们对网络传输速率的要求不断提升，在1999年IEEE发布了802.11b标准。

华为交换机802.1X配置1 功能需求及组网说明『配置环境参数』 1. 交换机 vlan10 包含端口E0/1-E0/10 接口地址 10.10.1.1/24 2. 交换机 vlan20 包含端口E0/11-E0/20 接口地址 10.10.2.1/24 3. 交换机 vlan100 包含端口 G1/1 接口地址 192.168.0.1/24 4. RADIUS server 地址为 19『配置环境参数』1.交换机vlan10包含端口E0/1-E0/10接口地址10.10.1.1/242.交换机vlan20包含端口E0/11-E0/20接口地址10.10.2.1/243.交换机vlan100包含端口G1/1接口地址192.168.0.1/244.RADIUS server地址为192.168.0.100/245.本例中交换机为三层交换机『组网需求』1.PC1和PC2能够通过交换机本地认证上网2.PC1和PC2能够通过RADIUS认证上网2数据配置步骤『802.1X本地认证流程』用户输入用户名和密码，报文送达交换机端口，此时交换机相应端口对于此用户来说是非授权状态，报文打上相应端口的PVID，然后根据用户名所带域名送到相应域中进行认证，如果没有带域名就送到缺省域中进行认证，如果存在相应的用户名和密码，就返回认证成功消息，此时端口对此用户变为授权状态，如果用户名不存在或者密码错误等，就返回认证不成功消息，端口仍然为非授权状态。

【SwitchA相关配置】1.创建（进入）vlan10[SwitchA]vlan 102.将E0/1-E0/10加入到vlan10[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/103.创建（进入）vlan10的虚接口[SwitchA]interface Vlan-interface 104.给vlan10的虚接口配置IP地址[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.05.创建（进入）vlan20[SwitchA-vlan10]vlan 206.将E0/11-E0/20加入到vlan20[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/207.创建（进入）vlan20虚接口[SwitchA]interface Vlan-interface 208.给vlan20虚接口配置IP地址[SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.09.创建（进入）vlan100[SwitchA]vlan 10010.将G1/1加入到vlan100[SwitchA-vlan100]port GigabitEthernet 1/111.创建进入vlan100虚接口[SwitchA]interface Vlan-interface 10012.给vlan100虚接口配置IP地址[SwitchA-Vlan-interface100]ip address 192.168.0.1 255.255.255.0 【802.1X本地认证缺省域相关配置】1.在系统视图下开启802.1X功能，默认为基于MAC的认证方式[SwitchA]dot1x2.在E0/1-E0/10端口上开启802.1X功能，如果dot1x interface后面不加具体的端口，就是指所有的端口都开启802.1X [SwitchA]dot1x interface eth 0/1 to eth 0/103.这里采用缺省域system，并且缺省域引用缺省radius方案system。

IEEE 802.1x技术白皮书目录1.协议的开发背景 (4)2.几个名词的定义 (5)2.1.Supplicant 客户端 (5)2.2.Authenticator认证系统 (5)2.3.Authentication Server 认证服务器 (5)work Access Port 网络访问端口 (5)2.5.Port Access Entity (PAE) 端口访问实体 (6)2.6.System 系统 (6)3.工作机制 (6)3.1.各组成部分的功能 (7)3.1.1.系统（Systems）、端口（Ports） (7)3.1.2.端口访问实体（PAE, Port Access Entity） (8)3.2.受控和非受控的访问（Controlled and uncontrolled access） (8)3.2.1.端口的类型 (9)3.2.2.端口控制方式 (10)3.3.IEEE 802.1x协议的体系结构 (12)3.4.IEEE 802.1x协议的工作机制 (14)3.4.1.认证发起 (15)3.4.2.退出已认证态 (16)3.4.3.重新认证（根据时间） (17)3.4.4.认证报文丢失重传 (17)3.4.5.与不支持802.1x 的设备的兼容 (18)3.4.6.EAP 帧的中继转发（Relay） (18)3.4.7.加密EAPOL 认证报文的传送 (19)3.5.协议实现内容 (19)3.5.1.EAP协议 (20)3.5.2.EAPOL协议 (21)3.6.基本的认证过程 (23)3.7.几个注意的问题 (24)4.几种认证方式的比较 (25)4.1.PPPOE认证 (25)4.1.1.简介 (25)4.1.2.特点 (26)4.2.WEB认证 (27)4.2.1.简介 (27)4.2.2.特点 (28)4.3.802.1x认证 (28)4.4.小结几种认证方式的比较 (30)5.IEEE 802.1x解决方案 (31)5.1.端口控制模式 (31)5.2.802.1x解决方案之一 (32)5.2.1.方案实现 (32)5.2.2.方案特点 (33)5.3.802.1x解决方案之二 (34)5.3.1.方案实现 (34)5.3.2.方案特点 (34)6.IEEE 802.1x应用方案 (35)6.1.802.1x认证应用在新建小区 (35)6.1.1.方案 (36)6.1.2.802.1x认证实现过程 (36)6.2.802.1x认证应用在旧小区 (37)6.2.1.旧小区HUB的改造 (37)6.2.2.旧小区L2的兼容性 (38)6.2.3.旧小区L3的兼容性 (38)7.港湾802.1x认证计费系统介绍 (39)7.1.计费管理系统功能 (40)7.2.港湾计费管理系统解决方案 (41)i Radius的功能特点 (42)i Radius系统构成及功能描述 (43)8.港湾802.1x认证应用案例 (45)第一部分IEEE 802.1x协议介绍1.协议的开发背景在IEEE 802 LAN 所定义的局域网环境中，只要存在物理的连接口，未经授权的网络设备就可以接入局域网，或者是未经授权的用户可以通过连接到局域网的设备进入网络。

1 功能需求及组网说明ht-em-et『配置环境参数』1.交换机 vian10 包含端口 E0/1-E0/10 接口地址 10.10.1.1/24 2.交换机 vian20 包含端口 E0/11-E0/20 接口地址 10.1021/24 3.交换机 vlan 100 包含端口 G1/1 接口地址 192.168.0.1/24 4.RADIUS server 地址为 192.168.0.100/24 5.本例中交换机为三层交换机 『组网需求』1.PC1和PC2能够通过交换机本地认证上网 2.PC1和PC2能够通过 RADIUS 认证上网 2 数据配置步骤 『802.1X 本地认证流程』用户输入用户名和密码， 报文送达交换机端口，此时交换机相应端口对于此用户来说是非授权状态, 报文打上相应端口的 PVID ，然后根据用户名所带域名送到相应域中进行认证，如果没有带域名就 送到缺省域中进行认证，如果存在相应的用户名和密码，就返回认证成功消息，此时端口对此用户 变为授权状态，如果用户名不存在或者密码错误等，就返回认证不成功消息，端口仍然为非授权状 ^态。

【SwitchA 相关配置】1. 创建（进入）vlan10[SwitchA]vlan 102. 将 E0/1-E0/10 加入到 vlan10[SwitchA-vla n10]port Ethernet 0/1 to Ethernet 0/103. 创建（进入）vlan10的虚接口[SwitchA]i nteface Vla n-in terface 104.给vlan10的虚接口配置IP 地址 [SwitchA-Vla n-in terface10]ip address 10.10.1.1 255.255.255.0 5.创建（进入）vlan20 [SwitchA-vla n10]vlan 206. 将 E0/11-E0/20 加入到 vlan20 [SwitchA-vla n20]port Ethernet 0/11 to Ethernet 0/20162.100.0.100X24PC2SwitchAVI 讯 1Q Radius seiver Vi an -100 102/15S 0.1/247. 创建（进入） vlan20 虚接口[SwitchA]interface Vlan-interface 208. 给 vlan20 虚接口配置 IP 地址[SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.09. 创建（进入） vlan100[SwitchA]vlan 10010. 将 G1/1 加入到 vlan100[SwitchA-vlan100]port GigabitEthernet 1/111. 创建进入 vlan100 虚接口[SwitchA]interface Vlan-interface 10012. 给 vlan100 虚接口配置 IP 地址 [SwitchA-Vlan-interface100]ip address 192.168.0.1 255.255.255.0【802.1X 本地认证缺省域相关配置】[SwitchA]dot1x interface eth 0/1 to eth 0/103.设置认证方式为 radius [SwitchA]radius scheme radius1 4. 设置主认证服务器为本地，端口号 1645[SwitchA-radius-radius1]primary authentication 127.0.0.1 16455. 设置主计费服务器为本地，端口号 1646[SwitchA-radius-radius1]primary accounting 127.0.0.1 16466.这里本地用户认证采用自建域 huawei [SwitchA]domain Huawei 7.在域中引用认证方案 radius1 [SwitchA-isp-huawei]radius-scheme radius1 8.设置本地用户名 test@huawei [SwitchA]local-user test@huawei 9. 设置用户密码（明文） [SwitchA-user-test@huawei]password simple test10. 设置用户接入类型为 802.1X [SwitchA-user-test@huawei]service-type lan-access11. 激活该用户 [SwitchA-user-test@huawei]state active『802.1X RADIUS 认证流程』 用户输入用户名和密码， 报文送达交换机端口， 此时交换机相应端口对于此1. 在系统视图下开启 802.1X 功能，默认为基于[SwitchA]dot1x2. 在 E0/1-E0/10 端口上开启 802.1X 功能，如果有的端口都开启 802.1XMAC 的认证方式 dot1x interface 后面不加具体的端口，就是指所[SwitchA]dot1x interface eth 0/1 to eth 0/103. 这里采用缺省域system ，并且缺省域引用缺省 [SwitchA]local-user test4. 设置该用户密码（明文） [SwitchA-user-test]password simple test5. 设置该用户接入类型为 802.1X[SwitchA-user-test]service-type lan-access6. 激活该用户[SwitchA-user-test]state active【802.1X 本地认证自建域相关配置】1. 在系统视图下开启 802.1X 功能，默认为基于[SwitchA]dot1x2. 在 E0/1-E0/10 端口上开启 802.1X 功能，如果radius 方案 system 。

集中认证+本地转发技术白皮书文档版本01发布日期2012-10-31版权所有 © 华为技术有限公司 2012。

保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：客户服务邮箱：ChinaEnterprise_TAC@客户服务电话：4008229999技术白皮书前言前言修订记录修改记录累积了每次文档更新的说明。

最新版本的文档包含以前所有文档版本的更新内容。

文档版本 01 (2012-10-31)第一次正式发布。

技术白皮书目录目录前言 (ii)1 介绍 (1)2 原理描述 (2)2.1 认证方式 (4)2.1.1 802.1X认证 (4)2.1.2 Portal认证 (4)2.2 数据转发方式 (5)2.3 集中认证、本地转发 (6)3 应用 (10)3.1 集中认证、本地转发应用实例 (11)技术白皮书 1 介绍1介绍定义集中认证、本地转发是指STA认证报文通过隧道转发到AC，STA业务报文不通过隧道，经网关直接转发，实现在AC上对无线用户的集中接入控制功能，同时节约AP上行的广域网或Internet的出口带宽。

目的大容量AC集中部署的场景，AC全部位于网络核心层，通过Internet与各分支互联。

集中认证、本地转发主要实现在三层组网中能采用802.1X认证或Portal认证，具体可以针对性的解决以下场景存在的问题：1.对于AC和AP之间是三层网络，直接转发的场景，802.1X或Portal等接入控制点无法部署在AC上。

802.1x认证技术介绍目录1.背景 (1)2.IEEE 802.1x协议技术分析 (1)2.1802.1x认证特点 (2)2.2802.1x应用环境 (2)2.2.1交换式以太网络环境 (2)2.2.2共享式网络环境 (2)2.3802.1x认证的安全性分析 (3)2.4802.1x认证的优势 (4)3.802.1x在电信级IP宽带网络中的应用建议 (4)3.1以WLAN为应用突破口 (4)3.2认证边缘化、分布化 (4)3.3用户管理集中化 (5)3.4多业务接入，兼顾网络技术特点 (5)3.5逐步取代PPPoE (5)4.结论 (5)1. 背景以太网的高性价比和媒体的特性使其逐渐成为家庭、企业局域网、电信级城域网的主导接入技术，而且随着10 Gbit/s以太网技术的出现，以太网技术在广域网范围内也将获得一席之地，电信运营商和宽带接入提供商开始提供基于以太或纯以太的接入业务。

对于以太网络中多数业务来说，运营商无法从物理上完全控制客户端设备或者媒介。

运营商要实现对宽带业务的可运营、可管理，就必须从逻辑上对用户或者用户设备进行控制。

该控制过程主要通过对用户和用户设备的认证和授权来实施。

一般来说，需要进行认证和授权的业务种类包括：(1)提供给多用户系统的以太城域网业务。

这些业务包括典型的TLS业务、L2或者L3的VPN业务。

在该业务组网环境中，客户前端交换机由同一建筑物内的多个用户共享。

(2)在以IEEE 802.11a和IEEE 802.1b提供无线以太接入的热点地区(如机场、商场、学校和餐厅等)，需要基于每个用户设备或者用户进行接入认证.以防止非授权用户接入。

(3)基于ATM RFC 1483的DSL业务和IP以太接入网。

(4)基于EFM(Ethernet in the First Mile，IEEE 802.3ah)EPON接入和EoVDSL等业务。

(5)基于以太的cahle的共享RF信道接入方式。

华为802.1X技术白皮书华为802.1X技术白皮书目录1概述 (1)2802.1X的基本原理 (1)2.1 体系结构 (1)2.1.1端口P AE (2)2.1.2受控端口 (2)2.1.3受控方向 (2)2.2 工作机制 (2)2.3 认证流程 (3)3华为802.1X的特点 (3)3.1 基于MAC的用户特征识别 (3)3.2 用户特征绑定 (4)3.3 认证触发方式 (4)3.3.1标准EAP触发方式 (4)3.3.2DHCP触发方式 (4)3.3.3华为专有触发方式 (4)3.4 T RUNK端口认证 (4)3.5 用户业务下发 (5)3.5.1VLAN业务 (5)3.5.2CAR业务 (5)3.6 P ROXY检测 (5)3.6.1Proxy典型应用方式 (5)3.6.2Proxy检测机制 (5)3.6.3Proxy检测结果处理 (6)3.7 IP地址管理 (6)3.7.1IP获取 (6)3.7.2IP释放 (6)3.7.3IP上传 (7)3.8 基于端口的用户容量限制 (7)3.9 支持多种认证方法 (7)3.9.1P AP方法 (7)3.9.2CHAP方法 (8)3.9.3EAP方法 (8)3.10 独特的握手机制 (8)3.11 对认证服务器的兼容 (8)3.11.1EAP终结方式 (8)3.11.2EAP中继方式 (9)3.12 内置认证服务器 (9)3.13 基于802.1X的受控组播 (9)3.14 完善的整体解决方案 (10)4典型组网 (10)4.1 集中认证方案 (10)4.2 边缘分布认证方案 (10)4.3 内置服务器认证方案 (11)5结论与展望 (11)摘要802.1X作为一种基于端口的用户访问控制安全机制，由于其低成本、良好的业务连续性和扩充性以及较高的安全性和灵活性，自从2001年6月正式成为IEEE 802系列标准开始，便迅速受到了包括华为在内的设备制造商、各大网络运营商和最终用户在内的广泛支持和肯定。

第一章802.1X简介 (2)概述： (2)体系结构 (3)端口PAE (3)受控端口 (3)受控方向 (4)工作机制 (4)第二章802.1X中的EAPOL封装 (5)EAPOL帧格式 (5)各字段的含义 (5)第三章802.1X的认证过程 (6)认证过程 (6)第四章802.1X中的主要状态机 (8)设备端PAE状态机： (8)后台认证状态机： (11)客户端PAE状态机： (13)摘要：802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。

现在已经开始被应用于一般的有线LAN的接入（微软的Windows XP，以及cisco，锐捷网络，北电等厂商的设备已经开始支持802.1X协议）。

IEEE 802 LAN 中，用户只要能接到网络设备上，不需要经过认证和授权即可直接使用。

这样，一个未经授权的用户，他可以没有任何阻碍地通过连接到局域网的设备进入网络。

随着局域网技术的广泛应用，特别是在运营网络的出现，对网络的安全认证的需求已经提到了议事日程上。

如何在以太网技术简单、廉价的组网特点的基础上，提供用户对网络或设备访问合法性认证的手段，已经成为业界关注的焦点。

IEEE 802.1x 协议正是在这样的背景下提出的。

关键词：authenticatorauthentication server:network access port:port access entity (PAE):supplicant:systemEAPOL第一章802.1X简介概述：IEEE802.1x（Port-Based Network Access Control）是一个基于端口的网络存取控制标准，为LAN接入提供点对点式的安全接入。

这是IEEE标准委员会针对以太网的安全缺陷而专门制定的标准，能够在利用IEEE 802 LAN的优势基础上，提供一种对连接到局域网设备或用户进行认证的手段。

认证技术白皮书目录1前言 (2)2为什么使用认证 (2)3认证相关技术 (3)PPP OE接入认证原理 (4)WEB 接入认证原理 (8)802.1X 接入认证原理 (14)绑定认证原理 (18)各种认证方式比较 (18)4华为认证方案特点 .................................................................................错误！不决义书签。

华为企业认证解决方案特点.........................................................错误！不决义书签。

5华为认证技术解决方案 (19)PPP OE接入认证典型组网方式 (20)WEB 接入认证典型组网方式 (22)802.1X 接入认证典型组网方式 (24)绑定认证典型组网方式 (26)多种认证自由组合 (26)1前言在数据网络中，包括企业网、INTERNET 网络等等，追求的是网络简单、开放，所有人能够自由接入和使用。

而在电信数据网络中，运营商(比方网络服务供应商NSP、业务供应商ISP等 )关心的是网络可运营和可管理，要管理每个用户的接入、业务使用、花销等等。

在可运营、可管理网络中，引入了针对用户管理的AAA 技术，包括认证（ Authentication ）、授权（ Authorization ）、计费（ Accounting ）三个技术：认证，是在用户开始使用系统时对其身份进行的确认动作。

授权，是在网络安全中，授权某用户以特定的方式与某网络系统通讯。

计费，是记录并供应关于经济活动的确切清单或数据。

认证是鉴别用户身份的过程，而授权是依照认证鉴别后的用户情况授予对应的网络使用权限（ QoS、带宽容制、接见权限、用户策略），而计费也是依照认证后的用户身份采用对应的计费策略并记录、供应计费信息（时长、流量、地址等等），三个技术亲密联系但又相互独立的。