802.1x是如何工作的

　　802.1x实施基于端口的访问控制。在WLAN中，端口就是访问点（AP）和工作站之间的连接。在802.1x中拥有两种类型的端口：非控制的和控制的。您现在正在使用的可能就是非控制端口：它允许设备连接到端口，与其他任何网络设备进行通讯。相反，控制端口限制了连接设备所能够通讯的网络地址。您可能已经能够了解到接下来是什么情况了：802.1x允许所有的客户端连接到控制端口，但是这些端口仅将流量发送给身份验证服务器。在客户端通过身份验证以后，才被允许开始使用非控制端口。802.1x的奥秘在于非控制和控制端口是并存于同一个物理网络端口上的逻辑设备。

　　针对身份验证，802.1x进一步为网络设备定义了两种角色：申请者（supplicant) 和认证者（authenticator）。申请者是一个请求访问网络资源的设备（例如配备了802.11b网卡的膝上型计算机）。认证者是对申请者进行身份验证的设备，由它来决定是否授予申请者访问权限。无线 AP 可以作为认证者；但是使用行业标准的远程身份验证拨入用户服务(RADIUS) 协议更灵活一些。这个协议包含在 Windows 2000 中；通过 RADIUS，AP 接收身份验证请求，并将请求转发给 RADIUS 服务器，由这台服务器来根据 Active Directory 对用户进行身份验证。

　　802.1x 在身份验证时并不使用有线等效隐私（Wired Equivalent Privacy，WEP）；作为替代，它使用行业标准的可扩展身份验证协议（Extensible Authentication Protocol，EAP）或更新的版本。在任何一种情况下，EAP/PEAP 都拥有其独特的优势：它们允许选择身份验证方法。在默认情况下，802.1x 使用EAP-TLS (EAP-传输层安全性)，此时所有EAP保护的流量都由TLS协议（非常类似于SSL）进行加密。整个身份验证的过程是这样的：

　　1.无线工作站尝试通过非控制端口连接到AP。（由于此时该工作站还没有通过身份验证，因此它无法使用控制端口）。该AP向工作站发送一个纯文本质询。

　　2.作为响应，工作站提供自己的身份证明。

　　3.AP 将来自工作站的身份信息通过有线 LAN 转发给使用 RADIUS 的认证者。