第一篇：CA認證及其應用實驗報告 李隴萬 網絡082 21號

CA認證及其應用

李隴萬 網絡082 21號

1.實驗目的：

掌握獨立根證書、企業證書的制作與頒發；掌握證書服務操作也web站點申請證書；掌握ssl應用與web安全連接.2.證書組件的安裝：

點擊開始-——設置——控制面板——添加和刪除程序——添加和刪除windows組件——證書服務——獨立根ca，然后點擊下一步，根據提示分別填入ca的名稱和有限期，進入證書數據庫設置，分別選擇證書數據庫、證書數據庫日志、共享文件夾的路徑，點擊下一步完成證書組件的安裝。

證書組件的檢驗：點擊開始——程序——管理工具，找到證書頒發機構，證明ca安裝完成.3.申請ca證書：

打開證書服務主頁“http://CA主機的IP地址CertSrv”選擇“申請一個證書”項，在接下來的頁面選擇“Web瀏覽器證書”項（即該證書用于獲得SSL協議的Web頁面的訪問權），在打開的頁面填寫完有關用戶的身份信息后點擊“提交”按鈕。在ＣＡ服務器響應會顯示出CA服務器已經收到證書申請，在此已經完成證書申請，等待根ＣＡ發布該證書。

*打開證書服務主頁

*選擇用戶證書申請

*填寫有關用戶信

*證明證書申請已經完成4.證書的頒發：

在根CA所在的計算機上單擊開始——程序——管理工具——證書頒發機構——掛起的申請，然后在證書上單擊右鍵，選擇所有任務——頒發進行證書頒發。

第二篇：網絡銀行CA認證

課題序號授課課時授課章節名稱使用教具 4

授課班級授課形式項目教學

網絡銀行 CA 認證黑板、幻燈機、電腦

教學目的數字證書的概念與作用掌握個人網上銀行的注冊過程數字證書的申請及安裝數字證書的導入及導出個人網上銀行注冊、使用

教學重點

數字證書的概念與作用

教學難點更新、補充、刪節內容課外作業

個人網上銀行注冊、使用

真實的辦一張網上銀行卡

教學后記

授課主要內容或板書設計

項目十網絡銀行 CA 認證 10.1 數字證書，數字簽名數字證書的含義數字證書的申請數字簽名、加密電子郵件 10.2 個人網銀的開通 10.3 CA 認證

課堂教學安排

教學過程導入 10 分鐘主要教學內容及步驟

1.1 數字證書的含義

由于 Internet 網電子商務系統技術使在網上購物的顧客能夠極其方便輕松地獲得商家和企業的信息,但同時也增加了對某些敏感或有價值的數據被濫用的風險.為了保證互聯網上電子交易及支付的安全性,保密性等，防范交易及支付過程中的欺詐行為，必須在網上建立一種信任機制。這就要求參加電子商務的買方和賣方都必須擁有合法的身份，并且在網上能夠有效無誤的被進行驗證。數字證書是一種權威性的電子文檔。它提供了一種在 Internet 上驗證您身份的方式，其作用類似于司機的駕駛執照或日常生活中的身份證。它是由一個由權威機構----CA 證書授權(Certificate Authority)中心發行的，人們可以在互聯網交往中用它來識別對方的身份。當然在數字證書認證的過程中，證書認證中心（CA）作為權威的、公正的、可信賴的第三方，其作用是至關重要的。數字證書也必須具有唯一性和可靠性。為了達到這一目的，需要采用很多技術來實現。通常，數字證書采用公鑰體制，即利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設定一把特定的僅為本人所有的私有密鑰（私鑰），用它進行解密和簽名；同時設定一把公共密鑰（公鑰）并由本人公開，為一組用戶所共享，用于加密和驗證簽名。當發送一份保密文件時，發送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了。通過數字的手段保證加密過程是一個不可逆過程，即只有用私有密鑰才能解密。公開密鑰技術解決了密鑰發布的管理問題，用戶可以公開其公開密鑰，而保留其私有密鑰。數字證書頒發過程一般為：用戶首先產生自己的密鑰對，并將公共密鑰及部分個人身份信息傳送給認證中心。認證中心在核實身份后，將執行一些必要的步驟，以確信請求確實由用戶發送而來...，然后，認證中心將發給用戶一個數字證書，該證書內包含用戶的個人信息和他的公鑰信息，同時還附有認證中心的簽名信息。用戶就可以使用自己的數字證書進行相關的各種活動。數字證書由獨立的證書發行機構發布。數字證書各不相同，每種證書可提供不同級別的可信度。可以從證書發行機構獲得您自己的數字證書。

正文申請數字證書 1 課時

1.2 數字證書的申請

以申請中國數字認證網（http://）免費證書為例。

為了建立數字證書的申請人與 CA 認證中心的信任關系，保證申請證書時信息傳輸的安全性，在申請數字證書前，需要下載并安裝根 CA 證書。瀏覽器的 Internet 安全選項一定要設置成默

認的中級或以下安全級別如下圖所示；停止客戶端的防火墻等工具中對 ActiveX 下載安裝的攔截。

→

1、下載并安裝根 CA 證書、進入中國數字認證網（http://）。訪問中國數字認證網首頁時，如果客戶端沒有安裝根證書，系統會提示用戶自動安裝。在安裝過程中會顯示“安全警告”和“潛在腳本沖突” 提示框，對于上述提示一定要選擇“是”。根證書是 CA 認證中心給自己頒發的證書,是信任鏈的起始點。安裝根證書意味著對這個 CA 認證中心的信任。

如果不能自動安裝根證書可以采取以下方法手動安裝。在中國數字認證網首頁“免費證書”欄中單擊“根 CA 證書”，然后選擇“在文件的當前位置打開”。選擇 “安裝證書” 按向導提示安裝，“根證書存儲”。在窗口選擇 “是”。

→

2、查看證書、根證書成功安裝后成為“受信任的根證書頒發機構”。從瀏覽器的菜單中選擇“工具/Internet 選項”，打開“Internet 選項”對話框。在對話框中選擇“內容”選項卡，單擊“證書”，選擇“受信任的根證書頒發機構” 選項卡，列表中應該有相應的根證書，如下圖所示，單擊“查看”可以進一步查看證書的詳細信息。

→

3、申請個人證書、在首頁“免費證書”欄中單擊“用表格申請證書”，打開如下圖所示窗口，填寫相應內容，在證書用途中選擇“電子郵件保證證書”，填寫完成后單擊“提交”。

如上圖所示，單擊“提交”，證書申請成功后系統將會返回你的“證書序列號”，如下圖所示，單擊“直接安裝證書”，方法同“根 CA 證書” 安裝。

查看證書。從瀏覽器的菜單中選擇“工具/Internet 選項”對話框。在對話框中選擇“內容”選項卡，單擊“證書”，選擇“個人證書”選項卡，列表中有相應的個人證書信息，單擊“查看”可以進一步查看證書詳細信息。→

4、導出證書、從瀏覽器...的菜單中選擇“工具/Internet 選項”，打開“Internet 選項”

對話框。在對話框中選擇“內容”選項卡，單擊“證書”，選擇“個人證書”選項卡，在列表中選擇所要導出的證書，如下圖所示，單擊“導出”。

“私鑰”為用戶個人所有，不能泄露給其他人，否則其他人可以用它冒充你的名義簽名。如果是為了保留證書備份而復制證書，選擇“是，導出私鑰”，如下圖所示，如果為了發送加密郵件或其他用途，不要導出私鑰。如果在申請證書時沒有選擇“標記密鑰為可導出”，則不能導出私鑰。輸入私鑰保護密碼，如果在申請證書時沒有選擇“啟用來格密鑰保護”，沒有密碼提示。指定要導出的文件名。單擊“瀏覽”可選擇存儲目標磁盤和目錄，如下圖所示，單擊“下一步”后按提示進行操作。

→

5、導入數字證書、特別提示：中國數字認證網提供四種類型的數字證書： “測試證書”、“免費證書”、“標準證書”和“企業證書”，使用不同的證書需要安裝相應的根證書，設置“受信任的根證書頒發機構”的實質就是安裝根證書。使用數字證書 1 課時

1.3 數字簽名、加密電子郵件

實訓內容：王華欲向張星訂購 2 臺電腦，張星將報價單及配置說明以數字簽名電子郵件方式發送給王華；王華收到郵件后，將訂單以加密郵件的方式發送給張星。說明：張星給王華發送簽名郵件，要求張星已申請數字證書，并已正確安裝了自己的“電子郵件保護證書”并用證書發送簽名郵件（注：要使用的電子郵件地址必須與申請證書時填寫的電子郵件地址一致）。

→

1、OutLook Express 發送數字簽名電子郵件、從OutLook Express 主菜單中選擇“工具/帳戶”，單擊“郵件”選項卡后選擇賬戶，單擊“屬性”，如下圖所示。

選擇“安全”選項卡，單擊“簽署證書”中的“選擇”，如下圖所示，單擊“確定”。

發送郵件時，在“新郵件”窗口選擇主菜單“工具/數字簽名”，收件人地址欄后面出現“簽名”標志，如下圖所示

輸入收件人（王華）的電子郵件地址、內容并插入附件，發送郵件。閱讀帶數字簽名的郵件。當

收件人（王華）收到郵件后，首次打開或預覽帶數字簽名或加密的郵件時，OutLook Express 會顯示幫助屏幕。如果接收有問題的安全郵件（如郵件已被篡改或發件人的數字標識已過期），則在被允許閱讀郵件內容前，會看到一條安全警告，它詳細說明了問題所在。根據警告中的信息，可以決定是否查看郵件。單擊“數字簽名標志”，可進一步查看數字簽名詳細信息。→

2、OutLook Express 發送加密郵件、說明：王華給...張星發送加密郵件，發送加密郵件前必須正確安裝了對方（張星）的“電子郵件保護證書”，只要請對方用他的“電子郵件保護證書”給你發送一個數字簽名郵件，或在相應數字認證網下載（前提是對方證書允許查詢），證書會自動安裝并與對方 E-mail 地址綁定。如果未能自動安裝“電子郵件保護證書”，需要手工安裝對方“電子郵件保護證書” 從OutLook Express 主菜單中選擇。“工具/選項” 選擇，“安全”選項卡，單擊“數字標識”，打開“證書”窗口，如下圖：

導入數字證書。單擊“導入”，打開“證書導入向導”對話框，單擊 “瀏覽”指定要導入的文件（選擇對方“張星”證書的文件名）。單擊“下

一步”。單擊“瀏覽”，選擇“其他人”，如下圖所示，單擊“下一步”，安裝對方數字證書。其他人

發送郵件時，在“新郵件”窗口選擇菜單“工具/加密”，收件人地址欄后面出現“加密”標志。輸入對方（張星）郵件地址、郵件內容并插入附件，發送郵件。對方（張星）收到加密郵件后，顯示正在閱讀保護內容，“確定” 單擊，顯示“安全幫助”及相關的安全信息。網上銀行的使用 1 課時

1.4 網上銀行的注冊

以中國工商銀行網上銀行為例，中國工商銀行網上銀行可以到營業網點辦理注冊，也可以在網上銀行自助注冊，下是網上銀行自助注冊過程。步驟一進入工商銀行網上銀行首頁（http://.cn）如下圖所示

步驟二單擊“個人網上銀行登錄”欄目下的“注冊”，顯示“網上自助注冊須知”，閱讀后單擊“注冊個人網上銀行”，如下圖所示

步驟三顯示“中國工商銀行電子銀行個人客戶服務協議”，仔細閱讀后單擊“接受此協議”，輸入要注冊的銀行卡卡號，單擊“提交”。按要求填寫資料，單擊“提交”正確填寫資料。步驟四網上銀行登錄。在工商銀行首頁，“個人網上銀行登錄” 單擊窗口，按提示輸入信息，登錄成功后進入“個人網上銀行”首頁，顯示所有可進行的操作。特別提示：進入網上銀行要直接輸入網址，不要使用搜索引擎。特別提示：進入網上銀行要直接輸入網址，不要使用搜索引擎。虛擬使用 1 課時

1.5 使用網上銀行

進入中國工商銀行首頁，在“用戶登錄”欄目下，使用“演示”功能，體驗網上銀行的各項功能。另外，還可以進入中國建設銀行首頁，“演使用示”功能。...

第三篇：電子商務實驗報告之CA認證

實驗項目名稱

CA認證

一、實驗目的：

了解CA認證的基本作用，如何安裝，如何使用。

二、實驗要求： 通過親身實踐，掌握國內外數字認證的申請和使用。

三、實踐內容和步驟

1.美國Verisign公司 http://www.tmdps.cn/cscfree/ ? 申請一個安全電子郵件認證。? 使用這個認證，發送一封郵件給朋友。

3.進入中國數字認證網，www.tmdps.cn/cscfree/、中國數字認證網www.tmdps.cn）申請了數字證書，不過有些操作還是不甚了解，不過我相信自己以后能夠把它應用好的！

證書如下：天威誠信和中國數字認證網（證書序列號： 21C6F991433429AF）

第四篇：電子商務實驗報告之CA認證

實驗項目名稱

CA認證

一、實驗目的：

了解CA認證的基本作用，如何安裝，如何使用。

二、實驗要求： 通過親身實踐，掌握國內外數字認證的申請和使用。

三、實踐內容和步驟

1.美國Verisign公司 http://www.tmdps.cn/cscfree/ ? 申請一個安全電子郵件認證。? 使用這個認證，發送一封郵件給朋友。

3.進入中國數字認證網，www.tmdps.cn/cscfree/、中國數字認證網www.tmdps.cn）申請了數字證書，不過有些操作還是不甚了解，不過我相信自己以后能夠把它應用好的！

證書如下：天威誠信和中國數字認證網（證書序列號： 21C6F991433429AF）

第五篇：網絡管理—基于端口的認證管理配置 實驗報告

網絡管理實驗報告

—基于端口的認證管理配置

學院：計算機學院

班級：

姓名：

學號：

實驗二

基于端口的認證管理配置

【實驗目的】

1、熟練掌握IEEE802.1X的工作原理

2、熟悉AAA身份認證機制

3、掌握RADIUS服務器的配置

【預備知識】

1、AAA概念和基本原理

2、IEEE802.1X

3、配置交換機與RADIUS SERVER之間通訊

【實現功能】

實現LAN接入的安全身份認證。

【實驗拓撲】

PC1 192.168.0.44/24

RG-S2126G

192.168.0.2/24

RG-SAM Server

192.168.0.185/24

【實驗原理】

無線局域網技術標準自1997年公布以來，使人們能更方便、靈活、快捷地訪問網絡資源，擺脫了傳統有線網絡的線纜束縛，隨時隨地的訪問使用Internet網絡。手機、筆記本電腦等個人無線接入終端設備和無線組網設備因為價格不斷下降的大規模普及，越來越多的單位和家庭使用無線局域網進行組網，導致無線網絡安全問題日益凸顯。早期的無線局域網安全防范僅靠WEP協議[1]，即有線等效加密（Wired Equivalent Privacy）保護網絡的安全。由于無線電的開放性，以及WEP技術本身的缺陷導致它特別容易被竊聽和破解。根據資料顯示在一個繁忙的WEP無線網通過嗅探工具可以在短短的數分鐘內破解，并且現在大量的破解工具流傳于網絡并有相關專用設備出售，嚴重危害無線網絡的安全。因此WEP標準在2003年被 Wi-Fi Protected Access(WPA)淘汰，又在2004年由完整的 IEEE 802.11i 標準（又稱為 WPA2）所取代[2]。無線局域網802.11i標準中使用802.1x認證和密鑰管理方式保障無線網絡的安全性。盡管802.11i支持預WPA和WPA2加密下的共享密碼，但如果只使用預共享密碼保障校園網安全，可能面臨密碼外泄后，知道密碼的非授權用戶也能使用校園網絡的安全隱患。

所以校園無線網建設過程中建立一套安全可靠高效的用戶認證機制顯得尤為迫切。本文就在Windows系統平臺下使用免費Radius軟件TekRadius構建基于PEAP技術的Radius認證服務器，保護校園無線局域網的安全進行探討。802.1X概述

IEEE802.1X[3]是IEEE制定關于用戶接入網絡的認證標準，全稱是“基于端口的網絡接入控制”協議，早期802.1x標準僅為有線網設計，并廣泛應用于有線以太網中。最新版802.1X協議針對無線局域網的特點進行修訂，針對無線局域網的認證方式和認證體系結構進行了相關技術優化。IEEE 802.1X協議在用戶接入網絡之前運行，運行于網絡中的數據鏈路層，EAP協議RADIUS協議。

無線局域網中802.1X協議的體系結構包括三個重要的部分：客戶端系統、認證系統和認證服務器，無線局域網中802.1X的拓撲結構如圖1所示。

客戶端系統(Supplicant System)通常是一個用戶終端系統，在無線局域網中即為支持WiFi的筆記本電腦、手機等終端系統，該系統通常無需安裝第三方客戶軟件，windows XP系統內置了相關模塊，能夠發起并完成802.1x協議的認證過程。

認證系統(Authenticator System)即認證者，在無線局域網中就是無線接入點AP(Access Point)或路由器，在認證過程中起“轉發”作用。認證系統只是把客戶端發起的認證信息轉發到認證服務器完成相關認證。

認證服務器(Authentication Server System)通常為RADIUS服務器，在該服務器上存儲用戶名和密碼、訪問控制列表等相關用戶信息。在客戶端發起認證時，由認證服務器對客戶端用戶信息與儲存資料進行鑒別驗證，該申請者是否為授權用戶。PEAP協議

EAP可擴展認證機制(Extensible Authentication Protocol)是一個普遍使用的認證機制，它常被用于無線網絡或點到點的連接中。EAP不僅可以用于無線局域網，而且可以用于有線局域網，但它在無線局域網中使用的更頻繁。

PEAP受保護的可擴展身份驗證協議是由CISCO、微軟和RSA Security聯合提出的開放標準，是WPA2標準[4]中被正式采納的7類認證機制之一。并已被廣泛的運用在各種產品中，為網絡提供安全保障。它在設計上和EAP-TLS相似，但只需要通過服務器端的證書來建立一個安全的傳輸層安全通道（TLS）以保護用戶認證信息的安全。它分兩個階段進行：第一階段建立單項服務器認證的TLS隧道；第二階段在該隧道保護下，對客戶端進行EAP-MS-CHAPv2等基于EAP的方式認證。與EAP-TLS采用的雙向證書驗證方式相比，PEAP較好的在保障無線網絡安全性和認證系統的布署難度之間找到一個平衡點。在校園無線網絡訪問控制中應用基于PEAP技術認證802.1X，可以為無線局域網提供安全可靠的授權訪問控制解決方案。TekRadius系統安裝與配置

TekRADIUS是一個windows下使用的功能強大并免費的RADIUS 服務器軟件，使用微軟SQL數據庫作為支撐數據庫，支持EAP-MD5, EAP-MS-CHAP v2, PEAP(PEAPv0-EAP-MS-CHAP v2)等多種接入認證方式。安裝平臺

1)安裝SQL數據庫設置sa賬戶；Radius默認情況下以sa用戶訪問使用SQL數據庫。

2)安裝TekRadius軟件：從www.tmdps.cn=Servername /K:1024 /V:365 /S:1 /P:443”產生并獲取系統所需數字證書[6]，至此Radius服務器的配置完成。無線AP配置步驟

無線AP配置：登錄Dlink-615無線路由器，依次點擊“安裝→無線安裝→手動無線因特網安裝→設置無線模式為AccessPoint，SSID為WlanTest 安全模式設置為WPA2，密碼類型選擇AES，設置為EAP模式，802.1X中填寫服務器地址、認證端口及通信密碼（與Radius服務器相同）”。PC客戶端配置

在筆記本上打開無線網卡Atheros客戶端程序[7]點擊“配置文件管理→新建，填寫配置文件名，SSID為Wlan（與AP中相同）→點擊安全，設置安全項802.1X，類型設為PEAP（EAP-MSCHAPv2），然后點擊配置，選擇使用用戶名和密碼進行連接，設置用于登錄的用戶名和密碼，再點設置設置服務器域名和用戶名”，確定完成設置并啟用設置文件，筆記本通過驗證正常介入并訪問使用因特網。討論

經過上述的配置服務器數據庫中的合法用戶就可以在連接到無線網絡時，在WPA2保護的無線網絡中通過PEAP方式進行身份驗證，訪問使用Internet網絡。由于SQL數據庫的使用，可以方便的用戶數據管理備份等工作提高了管理效率，并解決了WEP保護下的無線網絡存在WEP密碼被暴力破解帶來的安全問題和使用預共享密碼接入網絡存在的共享密碼泄露可能帶來的網絡安全風險。

較好地解決了校園無線局域網的安全性問題，使得授權用戶訪問Internet網絡應用擺脫線纜的束縛更加方便并阻止非法用戶的入侵。由于應用的PEAP認證方式在服務器安裝數字證書大大的提高了無線局域網的安全性。

【實驗步驟】

1、交換機配置

第一步：查看交換機版本信息 驗證測試：

查看交換機版本信息：

Switch>show version System description

: Red-Giant Gigabit Intelligent Switch(S2126G)By

Ruijie Network System uptime

: 0d:0h:8m:40s System hardware version : 3.3 System software version : 1.5(1)Build Mar 3 2005 Temp System BOOT version

: RG-S2126G-BOOT 03-02-02 System CTRL version

: RG-S2126G-CTRL 03-05-02 Running Switching Image : Layer2 Switch> 第二步：初始化交換機配置

所有的交換機在開始進行配置前，必需先進行初始化，清除原有的一切配置，命令如下： Switch> Switch>enable Switch#delete flash:config.text Switch#reload …..!刪除配置

Switch#configure terminal!進入配置層 Switch(config)#

驗證測試：

使用命令show running-config命令查看配置信息，刪除原始配置信息后該命令的打印結果如下：

Switch#show running-config Building configuration...Current configuration : 318 bytes!version 1.0!hostname Switch vlan 1!end Switch# 第三步：

Switch#configure terminal Enter configuration commands, one per line.End with CNTL/Z.Switch(config)#ip default-gateway 192.168.0.1！!設置交換機默認網關，實現跨網段管理交換機

Switch(config)#interface vlan 1 Switch(config-if)#ip address 192.168.0.2 255.255.255.0 Switch(config)#exit Switch(config)#radius-server host 192.168.0.185 auth-port 1812！!指定RADIUS服務器的地址及UDP認證端口

Switch(config)#aaa accounting server 192.168.0.185！!指定記賬服務器的地址

Switch(config)#aaa accounting acc-port 1813

！!指定記賬服務器的UDP端口

Switch(config)#aaa authentication dot1x

！!開啟AAA功能中的802.1x認證功能 Switch(config)#aaa accounting

！!開啟AAA功能中的記賬功能 Switch(config)#radius-server key star

！!設置RADIUS服務器認證字 Switch(config)#snmp-server community public rw

！!為通過簡單網絡管理協議訪問交換機設置認證名（public為缺省認證名）并分配讀寫權限

Switch(config)#interface fastEthernet 0/！!實驗中將在4號接口啟動802.1x的認證 Switch(config-if)#dot1x port-control auto

！!設置該接口參與802.1x認證 Switch(config-if)#exit Switch(config)#exit Switch#write Building configuration...[OK] Switch#

2、交換機配置的截圖

2、安裝SQL server

3、使用軟件TekRADIUS進行用戶名和密碼管理

Radius Server維護了所有用戶的信息：用戶名、密碼、該用戶的授權信息以及該用戶的記帳信息。所有的用戶集中于 Radius Server管理，而不必分散于每臺交換機，便于管理員對用戶的集中管理。

Radius Server端：要注冊一個Radius Client。注冊時要告知Radius Server交換機的IP、認證的UDP端口若記帳還要添記帳的UDP端口）、交換機與Radius Server通訊的約定密碼，還要選上對該Client支持EAP擴展認證方式）。

交換機端：設置Radius Server的IP地址，認證（記帳）的UDP端口，與服務器通訊的約定密碼。

【實驗體會】

相比上次實驗，這次實驗更加復雜。盡管是在小組的互動與合作下，本次實驗還是沒有成功。原因是實驗要求的環境較多，對 TekRADIUS軟件的使用不是很熟悉短時間內無法完全掌握它的原理及應用，導致在使用軟件TekRADIUS進行配置時，創建數據庫和表時不成功，最后的4步驟“設置服務參數、配置用戶組和用戶、增加Client客戶端、安裝證書”無法完成，而且實驗時間也到了，電腦也自動關機了，無法再進行下去了，我們就這樣結束了實驗。從課程的內容來看，本次實驗十分重要，獨立完成實驗內容是對我們很好的一次鍛煉，沒有全面完成它，但是課后我對802.1X配置的相關知識做了一次更深的了解。

一、802.1x協議起源于802.11協議，后者是標準的無線局域網協議，802.1x協議的主要目的是為了解決無線局域網用戶的接入認證問題。現在已經開始被應用于一般的有線LAN的接入。為了對端口加以控制，以實現用戶級的接入控制。802.1x就是IEEE為了解決基于端口的接入控制（Port-Based Access Control）而定義的一個標準。1、802.1X首先是一個認證協議，是一種對用戶進行認證的方法和策略。2、802.1X是基于端口的認證策略（這里的端口可以是一個實實在在的物理端口也可以是一個就像VLAN一樣的邏輯端口，對于無線局域網來說個“端口”就是一條信道）3、802.1X的認證的最終目的就是確定一個端口是否可用。對于一個端口，如果認證成功那么就“打開”這個端口，允許文所有的報文通過；如果認證不成功就使這個端口保持“關閉”，此時只允許802.1X的認證報文EAPOL（Extensible Authentication Protocol over LAN）通過。

二、802.1X的認證體系分為三部分結構：

Supplicant System，客戶端(PC/網絡設備)Authenticator System，認證系統

Authentication Server System，認證服務器

三、認證過程

1、認證通過前，通道的狀態為unauthorized，此時只能通過EAPOL的802.1X認證報文；

2、認證通過時，通道的狀態切換為authorized，此時從遠端認證服務器可以傳遞來用戶的信息，比如VLAN、CAR參數、優先級、用戶的訪問控制列表等等；

3、認證通過后，用戶的流量就將接受上述參數的監管，此時該通道可以通過任何報文，注意只有認證通過后才有DHCP等過程。