隨著網絡的普及和企業信息化的深入，企業內各種業務對網絡的依靠性越來越大。企業的各種信息都跑在企業網內部，一旦商業機密信息泄漏或者被不該看到的人看到，企業的正常運轉就會發生嚴重的后果。

大部分企業網選擇了以太網技術。以太網靈活性高，技術相對簡單，易于實現，但是以太網技術“連通和共享”的設計初衷使目前由以太網構成的網絡系統在解決內部身份識別的問題上存在很多先天不足。俗話說得好，“先天不足后天補”，802.1x技術恰好是彌補這個問題的一劑良藥。

當前各種身份認證技術的缺點

很多企業網采用用戶名/口令的方式實現身份驗證。對于遠程辦公，如員工撥號上網，異地分支機構網上辦公等，一般都采用在內部辦公網上安裝撥號服務器，異地分支機構、外出員工或合作伙伴使用計算機、Modem（調制解調器）等設備，通過電話線路與撥號服務器相連，實現對內部辦公網的訪問。而遠程辦公的身份認證和權限控制則與企業內部網絡相同。

上面的各種方式很大程度上解決了遠程辦公和溝通中常見的身份識別問題，但卻存在很大的隱患。

1．用戶名/口令方式易被破解。網上隨處可得的免費口令破解軟件，使普通人都能輕易變成黑客，極大地增加了口令破解的風險。

2．很多網絡安全設備自身的權限控制功能并不精確。如防火墻的權限控制只能精確到機器，而無法精確到人；服務器的權限控制則只能針對自身應用系統，而無法擴展。

3．撥號服務器為內部網絡增加了一條不安全通道和額外負擔。在內部網絡防火墻后面架設撥號服務器相當于在防火墻上開了一條“自由”通道，而這條通道的防護很少，將成為系統安全中最薄弱的環節。

傳統的企業網身份認證技術是采用PPPoE和Web/Portal認證方式。 PPPoE是從基于ATM的窄帶網引入到寬帶以太網的。由此可以看出，PPPoE并不是為寬帶以太網量身定做的認證技術，將其應用于寬帶以太網，必然會有一定的局限性。雖然它的實現方式比較靈活，在窄帶網中也有較豐富的應用經驗，但是，它的封裝方式也造成了寬帶以太網的種種問題。在PPPoE認證中，認證系統必須將每個包進行拆解才能判定和識別用戶是否合法，一旦用戶增多或者數據包增大，封裝速度必然跟不上，就會成為網絡的瓶頸。

Web/Portal認證是基于業務類型的認證，不需要安裝其他客戶端軟件，只需要瀏覽器就能完成，就用戶來說較為方便。但是由于Web認證遵從的是7層協議，從邏輯上來說為了達到網絡第二層的連接而跑到第七層做認證，這首先不符合網絡邏輯。其次由于認證走的是7層協議，對設備必然提出更高要求，增加了建網成本。第三，Web方式認證是在認證前就為用戶分配了ip地址，對目前網絡珍貴的IP地址來說造成了浪費，而且分配IP地址的DHCP（動態地址分配協議）對用戶而言是完全裸露的，輕易導致惡意攻擊，而企業網一旦受攻擊而癱瘓，整個網絡也就沒法認證了。為了解決易受攻擊問題，就必須加裝一個防火墻，這樣一來又大大增加了建網成本。

IEEE 802.1x協議正是在基于這樣的背景下被提出來的，因而成為解決局域網安全問題的一個有效手段。

802.1x的優勢

802.1x協議是由（美）電氣與電子工程師協會提出，剛剛完成標準化的一個符合IEEE 802協議集的局域網接入控制協議，其全稱為基于端口的訪問控制協議。它能夠在利用IEEE 802局域網優勢的基礎上提供一種對連接到局域網的用戶進行認證和授權的手段，達到了接受合法用戶接入，保護網絡安全的目的。

IEEE 802.1x是一種鏈路層驗證機制協議，控制著對網絡訪問端口即網絡連接點的訪問。通過控制網絡訪問，用戶可以在多層安全架構部署第一道防線。在連接設備得到驗證之前，網絡訪問權完全被禁止。得到驗證之后，用戶才可以被提供第二層交換機通常提供的服務以外的附加服務。這些服務包括第三層過濾、速率限制和第四層過濾，而不僅僅是簡單的“開/關”服務。

鏈路層驗證方案的一個優點是，它只要求存在鏈路層連接，客戶端（在802.1x中稱為請求者）不需要分配供驗證用的第三層地址，因而降低了風險。此外，鏈路層驗證涉及了所有能夠在鏈路上工作的協議，從而不必為每種協議提供網絡層驗證。802.1x還能夠使執行點盡可能地接近網絡邊緣，因此可以針對連接設備的特定需求定制細粒度訪問規則。

在802.1x協議中，只有具備了以下三個元素才能夠完成基于端口的訪問控制的用戶認證和授權。

1.客戶端：一般安裝在用戶的工作站上，當用戶有上網需求時，激活客戶端程序，輸入必要的用戶名和口令，客戶端程序將會送出連接請求。

2.認證系統：在以太網系統中指認證交換機，其主要作用是完成用戶認證信息的上傳、下達工作，并根據認證的結果打開或關閉端口。

3.認證服務器：通過檢驗客戶端發送來的身份標識（用戶名和口令）來判別用戶是否有權使用網絡系統提供的網絡服務，并根據認證結果向交換機發出打開或保持端口關閉的狀態。

802.1x驗證有效解決客戶端非法行為

1.防止客戶端代理

在企業網中，代理服務器可謂防不勝防，采用傳統的網關身份認證的方式很難對代理服務進行防范。在網絡中假如私自搭建了代理服務器，那么很多非授權終端就可以通過同一個代理服務器取得對網絡的訪問權。而在服務器端看來，這些訪問都來自正常的一個終端機器的訪問。802.1x客戶端由于部署在客戶終端上，它能在應用層識別代理行為，從而在終端客戶機上阻止代理行為的發生。假如一個終端上發生了代理行為，802.1x客戶端將拒絕此終端的入網身份認證請求（如圖1所示）。