止。得到验证之后,用户可以被提供第2层交换机通常提供的服务以外的附加服务。这些服务包括第3层过滤、速率限制和第4层过滤,而不仅仅是简单的“开/关(on/off)”服务。
链路层验证方案的一个优点是,它只要求存在链路层连接,客户端(在802.1x中称为请求者)不需要分配供验证用的第3层地址,因而降低了风险。此外,链路层验证涉及了所有能够在链路上工作的协议,从而不必为每种协议提供网络层验证。802.1x还能够使执行点尽可能地接近网络边缘,因此可以针对连接设备的特定需求定制细粒度访问规则。
IEEE 802.1x的组成
IEEE 802.1x定义了下列逻辑单元:
网络访问端口:即网络上的连接点,它可能是物理端口,也可能是逻辑端口。
请求者:连接到网络、请求其服务的设备,通常是终端站。请求者是请求验证的设备,但也有可能是一种网络设备。
验证者:为验证服务提供便利的网络单元,验证者实际上并不提供验证服务,它充当请求者和验证服务器之间的代理,并且充当政策执行点。
端口访问实体:参与验证过程的固件。请求者和验证者都拥有端口访问实体(PAE)单元,请页码:[1] [2] [3] [4] [5] [6] 第2页、共6页 |
