8021x認(rèn)證技術(shù)分析及其應(yīng)用建議

802.1x認(rèn)證技術(shù)分析及其應(yīng)用建議C2004年8月23日13:28通信世界網(wǎng)中國(guó)電信集團(tuán)北京研究院毛擁華一、 技術(shù)背景以太網(wǎng)的高性價(jià)比和媒體獨(dú)立的特性使其逐漸成為家庭、企業(yè)局域網(wǎng)、電信級(jí)城域網(wǎng)的主導(dǎo)接入技術(shù)，而且隨著10G以太網(wǎng)技術(shù)的出現(xiàn)，以太網(wǎng)技術(shù)在廣域網(wǎng)范圍內(nèi)也將獲得一席之地。電信運(yùn)營(yíng)商和寬帶接入提供商也開始提供基于以太或者純以太的接入業(yè)務(wù)，但對(duì)于以太網(wǎng)絡(luò)中多數(shù)業(yè)務(wù)來說，運(yùn)營(yíng)商無法從物理上完全控制客戶端設(shè)備或者媒介。運(yùn)營(yíng)商要實(shí)現(xiàn)對(duì)寬帶業(yè)務(wù)的可運(yùn)營(yíng)、可管理，就必須從邏輯上對(duì)用戶或者用戶設(shè)備進(jìn)行控制。該控制過程主要通過對(duì)用戶和用戶設(shè)備的認(rèn)證和授權(quán)完成。一般來說，需要進(jìn)行認(rèn)證和授權(quán)的業(yè)務(wù)種類包括：提供給多用戶系統(tǒng)的以太城域網(wǎng)業(yè)務(wù)，這些業(yè)務(wù)包括典型的TLS業(yè)務(wù)，L2或者是L3的VPN，在該業(yè)務(wù)組網(wǎng)環(huán)境中，客戶前端交換機(jī)由同一建筑物內(nèi)的多個(gè)用戶共享；在以IEEE802.11a和IEEE802.11b提供無線以太接入的熱點(diǎn)地區(qū)，像機(jī)場(chǎng)、商場(chǎng)、學(xué)校和餐廳等，需要基于每個(gè)用戶設(shè)備或者用戶進(jìn)行接入認(rèn)證，防止非授權(quán)用戶接入；基于ATMRFC1483的xDSL業(yè)務(wù)和IP以太接入網(wǎng)；基于EFM(EthernetintheFirstMile，IEEE802.3ah)EPON接入和EoVDSL等業(yè)務(wù)；基于以太Cable的共享RF信道接入方式。二、 電信級(jí)IP寬帶網(wǎng)用戶接入認(rèn)證技術(shù)需求分析隨著基于以太業(yè)務(wù)應(yīng)用的日益廣泛，迫切需要一種能適應(yīng)以太網(wǎng)多業(yè)務(wù)承載需求，兼顧以太接入靈活性和擴(kuò)展性好的特點(diǎn)，并能確保以太接入安全性、支持運(yùn)營(yíng)商對(duì)接入用戶進(jìn)行控制和管理的接入認(rèn)證技術(shù)。以太技術(shù)和接入認(rèn)證技術(shù)的結(jié)合要求網(wǎng)絡(luò)接入控制完成以下功能。網(wǎng)絡(luò)的接入控制與網(wǎng)絡(luò)提供的業(yè)務(wù)類型無關(guān)，即無論是有線接入業(yè)務(wù)或者是無線接入業(yè)務(wù)，或者其它形式的公眾以太接入業(yè)務(wù)，都采用一個(gè)通用的接入認(rèn)證解決方案；電信級(jí)IP接入網(wǎng)絡(luò)要求對(duì)用戶進(jìn)行嚴(yán)格的控制和管理，包括控制用戶對(duì)網(wǎng)絡(luò)的訪問、用戶身份識(shí)別對(duì)于用戶來說，只需要面對(duì)單一的認(rèn)證界面，用戶可以實(shí)現(xiàn)在多種網(wǎng)絡(luò)接入業(yè)務(wù)間漫游;對(duì)于新興業(yè)務(wù)的支持也是選擇認(rèn)證技術(shù)時(shí)要考慮的一個(gè)重要因素，認(rèn)證技術(shù)必須保證在現(xiàn)有的認(rèn)證體系下對(duì)新興業(yè)務(wù)的支持；對(duì)于運(yùn)營(yíng)商而言，通用的認(rèn)證解決方案可以簡(jiǎn)化遠(yuǎn)程接入VPN的安全管理，將用戶認(rèn)證的范疇延伸到LAN范圍內(nèi)；適應(yīng)電信級(jí)IP寬帶網(wǎng)接入控制需求的認(rèn)證技術(shù)將簡(jiǎn)化運(yùn)營(yíng)商網(wǎng)絡(luò)認(rèn)證的體系結(jié)構(gòu)，降低運(yùn)營(yíng)商用于培訓(xùn)和維護(hù)的費(fèi)用，減少運(yùn)營(yíng)成本。按照Internet網(wǎng)絡(luò)分層模型，在協(xié)議每一層都可以針對(duì)用戶或者設(shè)備進(jìn)行網(wǎng)絡(luò)接入的認(rèn)證、鑒權(quán)。無論從對(duì)現(xiàn)有設(shè)備的改動(dòng)、多協(xié)議的支持、網(wǎng)絡(luò)安全還是網(wǎng)絡(luò)控制能力來看，鏈路層認(rèn)證的優(yōu)勢(shì)突出，快速、簡(jiǎn)單和成本低廉也是它的優(yōu)勢(shì)。多數(shù)的鏈路層協(xié)議像PPP和IEEE802都可以支持基于鏈路層的認(rèn)證技術(shù)。客戶在認(rèn)證之前不需要進(jìn)行服務(wù)器的定位，不需要獲得IP地址。網(wǎng)絡(luò)接入設(shè)備只需要有限的3層功能，可以輕易實(shí)現(xiàn)和AAA的結(jié)合，從而提供豐富、靈活的認(rèn)證方式和計(jì)費(fèi)手段。在多協(xié)議網(wǎng)絡(luò)環(huán)境中，基于鏈路層的認(rèn)證可以實(shí)現(xiàn)對(duì)上層應(yīng)用的完全透明，也就是說可以實(shí)現(xiàn)和新的網(wǎng)絡(luò)層協(xié)議（比如IPv6）的兼容。鏈路層認(rèn)證處理減小了認(rèn)證包處理的延時(shí)，保證了關(guān)鍵性應(yīng)用的服務(wù)質(zhì)量。三、IEEE802.1X協(xié)議技術(shù)分析意識(shí)到PPPoE在用于純以太網(wǎng)絡(luò)環(huán)境接入控制中的種種缺陷，IEEE在2001正式頒布了IEEE802.1X標(biāo)準(zhǔn)，用于基于以太的局域網(wǎng)、城域網(wǎng)和各種寬帶接入手段的用戶/設(shè)備接入認(rèn)證。該協(xié)議最初假定的應(yīng)用環(huán)境是交換式以太網(wǎng)中，但是在標(biāo)準(zhǔn)化過程中也考慮到了像801.11b和Cable接入等共享式以太網(wǎng)絡(luò)應(yīng)用環(huán)境對(duì)認(rèn)證的要求。802.1X認(rèn)證采用基于以太網(wǎng)端口的用戶訪問控制技術(shù)，可以克服PPPoE方式帶來的諸多問題，并避免引入集中式寬帶接入服務(wù)器所帶來的巨大投資。在傳統(tǒng)以太網(wǎng)設(shè)備基礎(chǔ)上，基于端口的網(wǎng)絡(luò)訪問控制技術(shù)采用IEEE802.1X協(xié)議，提供了對(duì)基于以太網(wǎng)的點(diǎn)到點(diǎn)連接的端口用戶進(jìn)行認(rèn)證和授權(quán)的能力，從而使以太網(wǎng)設(shè)備達(dá)到電信運(yùn)營(yíng)要求。用戶側(cè)的以太網(wǎng)交換機(jī)上放置一個(gè)擴(kuò)展認(rèn)證協(xié)議（EAP）代理，用戶PC機(jī)運(yùn)行EAPoL（EAPoverLAN）的客戶端軟件與交換機(jī)通信?；诙丝诘木W(wǎng)絡(luò)訪問技術(shù)的基本思想是網(wǎng)絡(luò)系統(tǒng)可以控制面向最終用戶的以太網(wǎng)端口，使得只有網(wǎng)絡(luò)系統(tǒng)允許并授權(quán)的用戶可以訪問網(wǎng)絡(luò)系統(tǒng)的各種業(yè)務(wù)（如以太網(wǎng)連接，網(wǎng)絡(luò)層路由，Internet接入等業(yè)務(wù)）。802.1X協(xié)議是基于Client/Server的訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問LAN/MANo在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前，802.1x對(duì)連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過之前，802.1X只允許EAPoL（基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議）數(shù)據(jù)通過設(shè)備連接的交換機(jī)端口；認(rèn)證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。網(wǎng)絡(luò)訪問技術(shù)的核心部分是PAE(端口訪問實(shí)體)。在訪問控制流程中，端口訪問實(shí)體包含3部分:認(rèn)證者一對(duì)接入的用戶/設(shè)備進(jìn)行認(rèn)證的端口；請(qǐng)求者一被認(rèn)證的用戶/設(shè)備；認(rèn)證服務(wù)器一根據(jù)認(rèn)證者的信息，對(duì)請(qǐng)求訪問網(wǎng)絡(luò)資源的用戶/設(shè)備進(jìn)行實(shí)際認(rèn)證功能的設(shè)備。以太網(wǎng)的每個(gè)物理端口被分為受控和不受控的兩個(gè)邏輯端口，物理端口收到的每個(gè)幀都被送到受控和不受控端口。對(duì)受控端口的訪問，受限于受控端口的授權(quán)狀態(tài)。認(rèn)證者的PAE根據(jù)認(rèn)證服務(wù)器認(rèn)證過程的結(jié)果，控制"受控端口”的授權(quán)/未授權(quán)狀態(tài)。處在未授權(quán)狀態(tài)的控制端口將拒絕用戶/設(shè)備的訪問。1.802.1x認(rèn)證特點(diǎn)基于以太網(wǎng)端口認(rèn)證的802.1x協(xié)議有如下特點(diǎn)：IEEE802.1X協(xié)議為二層協(xié)議，不需要到達(dá)三層，對(duì)設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本；借用了在RAS系統(tǒng)中常用的EAP(擴(kuò)展認(rèn)證協(xié)議)，可以提供良好的擴(kuò)展性和適應(yīng)性，實(shí)現(xiàn)對(duì)傳統(tǒng)PPP認(rèn)證架構(gòu)的兼容；802.1x的認(rèn)證體系結(jié)構(gòu)中采用了''可控端口”和"不可控端口''的邏輯功能，從而可以實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證的分離，由RADIUS和交換機(jī)利用不可控的邏輯端口共同完成對(duì)用戶的認(rèn)證與控制，業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上通過可控端口進(jìn)行交換，通過認(rèn)證之后的數(shù)據(jù)包是無需封裝的純數(shù)據(jù)包；可以使用現(xiàn)有的后臺(tái)認(rèn)證系統(tǒng)降低部署的成本，并有豐富的業(yè)務(wù)支持；可以映射不同的用戶認(rèn)證等級(jí)到不同的VLAN；可以使交換端口和無線LAN具有安全的認(rèn)證接入功能。2.802.1X應(yīng)用環(huán)境特點(diǎn)交換式以太網(wǎng)絡(luò)環(huán)境對(duì)于交換式以太網(wǎng)絡(luò)中，用戶和網(wǎng)絡(luò)之間采用點(diǎn)到點(diǎn)的物理連接，用戶彼此之間通過VLAN隔離，此網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)管理控制的關(guān)鍵是用戶接入控制，802.1x不需要提供過多的安全機(jī)制。共享式網(wǎng)絡(luò)環(huán)境當(dāng)802.1x應(yīng)用于共享式的網(wǎng)絡(luò)環(huán)境時(shí)，為了防止在共享式的網(wǎng)絡(luò)環(huán)境中出現(xiàn)類似“搭載”的問題，有必要將PAE實(shí)體由物理端口進(jìn)一步擴(kuò)展為多個(gè)互相獨(dú)立的邏輯端口。邏輯端口和用戶/設(shè)備形成一一對(duì)應(yīng)關(guān)系，并且各邏輯端口之間的認(rèn)證過程和結(jié)果相互獨(dú)立。在共享式網(wǎng)絡(luò)中，用戶之間共享接入物理媒介，接入網(wǎng)絡(luò)的管理控制必須兼顧用戶接入控制和用戶數(shù)據(jù)安全，可以采用的安全措施是對(duì)EAPoL和用戶的其它數(shù)據(jù)進(jìn)行加密封裝。在實(shí)際網(wǎng)絡(luò)環(huán)境中，可以通過加速WEP密鑰重分配周期，彌補(bǔ)WEP靜態(tài)分配秘鑰導(dǎo)致的安全性的缺陷。3.802.1x認(rèn)證的安全性分析802.1x協(xié)議中，有關(guān)安全性的問題一直是802.1x反對(duì)者攻擊的焦點(diǎn)。實(shí)際上，這個(gè)問題的確困擾了802.1X技術(shù)很長(zhǎng)一段時(shí)間，甚至限制了802.1X技術(shù)的應(yīng)用。但技術(shù)的發(fā)展為這個(gè)問題給出了答案:802.1X結(jié)合EAP，可以提供靈活、多樣的認(rèn)證解決方案。IEEE802.1X和PPP一樣采用了EAP協(xié)議作為認(rèn)證信息交互機(jī)制，EAP消息封裝在EAPOL分組中。EAP作為一種認(rèn)證消息承載機(jī)制可以允許認(rèn)證者和請(qǐng)求者之間采用靈活的方案進(jìn)行認(rèn)證，并且對(duì)將來出現(xiàn)的更先進(jìn)合理的認(rèn)證技術(shù)具有很好的兼容性°EAP的這些特性主要通過擴(kuò)展EAP中廠家定義的“EAP類型”域?qū)崿F(xiàn)，“EAP類型”域中定義的認(rèn)證類型，可以滿足不同層次認(rèn)證的安全需要。目前可以采用的EAP類型包括：LEAP、PEAP、EAP-MD5、EAP-TTLS。具體的EAP不同層次認(rèn)證如圖1所示。4.802.1X認(rèn)證的優(yōu)勢(shì)綜合IEEE802.1X的技術(shù)特點(diǎn)，其具有的優(yōu)勢(shì)可以總結(jié)為以下幾點(diǎn)。簡(jiǎn)潔高效：純以太網(wǎng)技術(shù)內(nèi)核，保持了IP網(wǎng)絡(luò)無連接特性，不需要進(jìn)行協(xié)議間的多層封裝，去除了不必要的開銷和冗余；消除網(wǎng)絡(luò)認(rèn)證計(jì)費(fèi)瓶頸和單點(diǎn)故障，易于支持多業(yè)務(wù)和新興流媒體業(yè)務(wù)。容易實(shí)現(xiàn)：可在普通L3、L2、IPDSLAM上實(shí)現(xiàn)，網(wǎng)絡(luò)綜合造價(jià)成本低，保留了傳統(tǒng)AAA認(rèn)證的網(wǎng)絡(luò)架構(gòu)，可以利用現(xiàn)有的RADIUS設(shè)備。安全可靠：在二層網(wǎng)絡(luò)上實(shí)現(xiàn)用戶認(rèn)證，結(jié)合MAC、端口、賬戶、VLAN和密碼等；綁定技術(shù)具有很高的安全性，在無線局域網(wǎng)網(wǎng)絡(luò)環(huán)境中802.1x結(jié)合EAP-TLS，EAP-TTLS，可以實(shí)現(xiàn)對(duì)WEP證書密鑰的動(dòng)態(tài)分配，克服無線局域網(wǎng)接入中的安全漏洞。行業(yè)標(biāo)準(zhǔn)：IEEE標(biāo)準(zhǔn)，和以太網(wǎng)標(biāo)準(zhǔn)同源，可以實(shí)現(xiàn)和以太網(wǎng)技術(shù)的無縫融合，幾乎所有的主流數(shù)據(jù)設(shè)備廠商在其設(shè)備，包括路由器、交換機(jī)和無線AP上都提供對(duì)該協(xié)議的支持。在客戶端方面微軟WindowsXP操作系統(tǒng)內(nèi)置支持，Linux也提供了對(duì)該協(xié)議的支持。

應(yīng)用靈活：可以靈活控制認(rèn)證的顆粒度，用于對(duì)單個(gè)用戶連接、用戶ID或者是對(duì)接入設(shè)備進(jìn)行認(rèn)證，認(rèn)證的層次可以進(jìn)行靈活的組合，滿足特定的接入技術(shù)或者是業(yè)務(wù)的需要。易于運(yùn)營(yíng)：控制流和業(yè)務(wù)流完全分離，易于實(shí)現(xiàn)跨平臺(tái)多業(yè)務(wù)運(yùn)營(yíng)，少量改造傳統(tǒng)包月制等單一收費(fèi)制網(wǎng)絡(luò)即可升級(jí)成運(yùn)營(yíng)級(jí)網(wǎng)絡(luò)，而且網(wǎng)絡(luò)的運(yùn)營(yíng)成本也有望降低。四、802.1x在電信級(jí)IP寬帶網(wǎng)絡(luò)中的應(yīng)用建議-城域匯聚交換機(jī)-城域匯聚交換機(jī)-WLANAP@2802.1xU證在電信嫁寬帶網(wǎng)結(jié)中應(yīng)用的總體架構(gòu)圖2為802.1x認(rèn)證在電信級(jí)寬帶網(wǎng)絡(luò)中應(yīng)用的總體架構(gòu)。根據(jù)上文對(duì)802.1x技術(shù)特點(diǎn)及技術(shù)優(yōu)勢(shì)的分析，筆者認(rèn)為電信級(jí)網(wǎng)絡(luò)中應(yīng)用802.1x可以采用以下策略：以WLAN為應(yīng)用突破口802.1x認(rèn)證技術(shù)在電信級(jí)寬帶網(wǎng)中的應(yīng)用以WLAN為突破口。802.1x技術(shù)從一開始就對(duì)基于WLAN提供認(rèn)證的技術(shù)進(jìn)行了大量的研究和探索；WLAN設(shè)備大量應(yīng)用的時(shí)間段和802.1x協(xié)議標(biāo)準(zhǔn)產(chǎn)生基本同步，目前多數(shù)廠商的WLANAP設(shè)備都可以支持802.1x認(rèn)證；從技術(shù)上考慮，WLAN是一種共享式的以太接入網(wǎng)絡(luò)，其面臨的安全性問題的解決和用戶控制都要比基于有線的以太接入方式難解決；基于WLAN和3G移動(dòng)網(wǎng)絡(luò)的新型業(yè)務(wù)和應(yīng)用層出不窮，尤其是基于組播技術(shù)的各種應(yīng)用，原有的PPPoE認(rèn)證在支持這些新業(yè)務(wù)時(shí)有明顯缺陷，迫切需要一種新性認(rèn)證技術(shù)，滿足業(yè)務(wù)發(fā)展的需求；WLAN作為寬帶網(wǎng)上的新應(yīng)用，運(yùn)營(yíng)商沒有什么歷史包袱，在網(wǎng)絡(luò)減少和設(shè)備選型時(shí)不受現(xiàn)有網(wǎng)絡(luò)條件的牽制。以上種種原因決定了WLAN是802.1x技術(shù)應(yīng)用的排頭兵。認(rèn)證邊緣化、分布化認(rèn)證邊緣化充分發(fā)揮了802.1x基于端口認(rèn)證的優(yōu)勢(shì)。所謂認(rèn)證邊緣化是指將認(rèn)證設(shè)備的網(wǎng)絡(luò)中的位置設(shè)置為直接和用戶設(shè)備/網(wǎng)絡(luò)接口，邊緣化的認(rèn)證設(shè)備可以感知、監(jiān)控認(rèn)證設(shè)備和用戶設(shè)備之間鏈路連接狀態(tài)，根據(jù)鏈路狀態(tài)變化，認(rèn)證設(shè)備可以采取相應(yīng)的策略，主動(dòng)要求用戶/設(shè)備發(fā)起認(rèn)證。對(duì)鏈路狀態(tài)的感知能力也是運(yùn)營(yíng)商進(jìn)行網(wǎng)絡(luò)故障檢測(cè)和網(wǎng)絡(luò)運(yùn)行維護(hù)工作順利開展的基礎(chǔ)，可以說實(shí)現(xiàn)了認(rèn)證的邊緣化也就解決了寬帶接入網(wǎng)絡(luò)中線路維護(hù)和故障診斷困難的難題。用戶可以在本地接入網(wǎng)段實(shí)現(xiàn)隔離，不需要像集中認(rèn)證方式那樣，在用戶到接入認(rèn)證服務(wù)器之間的二層網(wǎng)絡(luò)都進(jìn)行用戶隔離，減少了交換機(jī)運(yùn)行VLAN的復(fù)雜度，也使網(wǎng)絡(luò)的流量的規(guī)劃、管理、控制更加容易。認(rèn)證邊緣化意味著認(rèn)證設(shè)備的分布化，可以避免采用集中式的PPPoE認(rèn)證帶來的網(wǎng)絡(luò)性能和網(wǎng)絡(luò)可靠性的瓶頸。用戶管理集中化雖然802.1x采用分布式的認(rèn)證，但是在用戶管理時(shí)建議仍采用集中方式。集中式的用戶管理的范圍包括有線接入用戶和無線接入用戶。集中認(rèn)證一方面易于管理維護(hù)，保證了單個(gè)管理域內(nèi)用戶信息的一致性；另一方面，集中統(tǒng)一的用戶管理為不同接入手段的用戶賬戶之間進(jìn)行漫游提供了前提條件，而且用戶在不同網(wǎng)絡(luò)或者接入類型之間切換時(shí)面對(duì)的是統(tǒng)一的界面。PPPoE認(rèn)證中也采用的是集中式的用戶管理，802.1x通過對(duì)現(xiàn)有的RADIUS設(shè)備進(jìn)行升級(jí)，可以完整的繼承PPPoE的認(rèn)證體系，避免了對(duì)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行大規(guī)模調(diào)整，工程易實(shí)現(xiàn)。多業(yè)務(wù)接入，兼顧網(wǎng)絡(luò)技術(shù)特點(diǎn)802.1x是IEEE以太協(xié)議族中的一個(gè)組成部分，應(yīng)用范圍涵蓋WLAN、xDSL、5類線、Cable和EPON等等純以太或者基于以太的多業(yè)務(wù)接入方式。以xDSL技術(shù)為例，一方面EoVDSL等純以太的xDSL接入手段出現(xiàn)；另一方面，在基于ATM的xDSL技術(shù)中，IPDSLAM的出現(xiàn)及其三層路由功能需求，使802.1x成為滿足需求的最佳選擇。值得注意的是，交換式以太網(wǎng)絡(luò)和共享式以太網(wǎng)絡(luò)有不同的網(wǎng)絡(luò)技術(shù)特點(diǎn)，在應(yīng)用802.1x時(shí)要兼顧。逐步取代PPPoE802.1x技術(shù)代表了電信級(jí)寬帶網(wǎng)絡(luò)發(fā)展的趨勢(shì)，即認(rèn)證、業(yè)務(wù)分離和支持多業(yè)務(wù)。PPPoE的缺陷注定了其過渡者的角色，事實(shí)上當(dāng)初PPPoE也是作為一種權(quán)宜之計(jì)應(yīng)用到寬帶網(wǎng)絡(luò)接入認(rèn)證中的。但是802.1x取代PPPoE是一個(gè)漸進(jìn)的過程，網(wǎng)絡(luò)現(xiàn)狀是我們不得不考慮的問題，其中最主要的問題是樓道交換機(jī)功能簡(jiǎn)單，不支持802.1x。解決這個(gè)問題可以考慮采用如下途徑：方案一，對(duì)樓道交換機(jī)進(jìn)行軟件升級(jí)，使其支持802.1x；方案二，對(duì)802.1x協(xié)議進(jìn)行改進(jìn)，使EAP可以承載在VLAN上，在匯聚層交換機(jī)進(jìn)行802.1x認(rèn)證，下游二層交換機(jī)采用VLAN進(jìn)行用戶隔離，最終，認(rèn)證邊緣化要求面向用戶的接入設(shè)備可以直接實(shí)現(xiàn)對(duì)用戶接入的管理和控制。方案二可以作為實(shí)現(xiàn)目