802.1X 身份验证有线访问概述
适用对象:Windows Vista, Windows XP, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
本文档提供了关于电子电气工程学会 (IEEE) 802.1X 对 IEEE 802.3 有线以太网连接的身份验证访问。 另外,还提供了资源链接。这些资源包含了与 802.1X 身份验证有线访问密切相关或者与有线访问相关的技术信息。
是否就是…
TechNet 上 Windows Server 2008 R2 和 Windows Server 2008 技术库中的有线局域网 (LAN) Netsh 命令。
TechNet 上 Windows Server 2008 R2 和 Windows Server 2008 技术库中的 802.1X 身份验证有线访问。
功能描述
IEEE 802.1X 身份验证为你的内部网提供额外的安全屏障。你可以用它来防止身份验证失败的来宾、未授权或不受管理的计算机连接到你的内部网。
出于管理员为 IEEE 802.11 无线网络部署 IEEE 802.1X 身份验证的同样原因—加强安全—网络管理员希望实施 IEEE 802.1X 标准,以协助保护他们的有线网络连接。 在获得允许向内部网发送无线帧之前,经过身份验证的无线客户端必须提交一组凭据进行验证。同样,IEEE 802.1X 有线客户端在它的交换端口发送流量之前也必须进行身份验证。
重要术语和技术概述
以下是一些概述,可以帮助你理解部署 802.1X 身份验证有线访问所需要的各种技术。
备注
在本文档中,802.1X 身份验证有线访问简称为有线访问。
IEEE 802.1X
IEEE 802.1X 标准定义了用于为以太网提供身份验证有线访问的基于端口的网络访问控制。 这个基于端口的网络访问控制利用了交换式局域网 (LAN) 基础结构的特性来对连接到 LAN 端口的设备进行身份验证。 如果身份验证过程失败,对端口的访问可能会被拒绝。 虽然这个标准是为有线以太网设计的,但是已经对其进行了改编,使其适用于 802.11 无线 LAN。
支持 IEEE 802.1X 的有线以太网交换机
要部署 802.1X 有线访问,你必须在你的网络中安装和配置一个或多个支持 802.1X 的以太网交换机。 这些交换机必须兼容远程身份验证拨入用户服务 (RADIUS) 协议。
在 RADIUS 基础架构中将符合 802.1X 和 RADIUS 要求的交换机与 RADIUS 服务器(如 NPS 服务器)一起部署时,这些交换机被称为 RADIUS 客户端。
IEEE 802.3 以太网
IEEE 802.3 是一系列的标准,定义了有线以太网的第 1 层(物理层)和第 2 层(数据链路层媒体访问控制 (MAC))。 802.3 以太网通常部署在 LAN 上或者某些广域网 (WAN) 应用中。
网络策略服务器
网络策略服务器 (NPS) 让你可以通过使用以下三种组件来集中地配置和管理网络策略:RADIUS 服务器、RADIUS 代理、和网络访问保护 (NAP) 代理服务器。 要部署 802.1X 有线访问,需要使用 NPS。
服务器证书
有线访问部署对执行 802.1X 身份验证的每台 NPS 服务器都要求具有服务器证书。
服务器证书是一种数字文件,通常用于身份验证和协助保护开放网络中的信息。 证书将公钥与持有相应私钥的实体牢固地绑定在一起。 证书由证书发证机构 (CA) 通过数字方式签署,可以颁发给用户、计算机或服务。
CA 是负责对属于主体(通常是用户或计算机)或其他 CA 的公钥的真实性进行建立和复核。 CA 的活动可能包括通过签署的证书将公共密钥绑定至可分辨名称、管理证书序列号以及调用证书。
Active Directory 证书服务 (AD CS) 是一种Windows Server 2012服务器角色,作为网络 CA 颁发证书。 AD CS 证书基础结构也称为公钥基础结构 (PKI),为企业提供颁发和管理证书的自定义服务。
EAP
可扩展身份验证协议 (EAP) 通过启用额外的身份验证方法,对点对点协议 (PPP) 进行扩展。这些额外的身份验证方法使用任意长度的凭据和信息交换。 利用 EAP 身份验证,网络访问客户端和身份验证器(如 NPS 服务器)必须支持同一种 EAP 类型才能成功验证身份。
新功能和更改的功能
在Windows Server 2012,有线访问只包括对 Windows Server 2008 R2 中提供的有线访问解决方案的最低限度更改。 这些更改综述如下:
特性/功能 |
旧版操作系统 |
新版操作系统 |
|---|---|---|
将 EAP 隧道传输层安全性 (EAP-TTLS) 添加到默认包含的网络身份验证方法列表 |
未包括 |
默认包括 |
另请参阅
以下是与 802.1X 身份验证有线访问相关的资源表。
内容类型 |
参考 |
|---|---|
产品评估 |
IEEE 802.1X 身份验证有线访问 – 线缆工文章 | |
规划 |
Windows Server 2008 802.1X 身份验证有线访问设计指南 | |
部署 |
Windows Server 2008802.1X A身份验证有线访问部署指南 | Windows Server 2008 R2核心网Companion 指南:部署基于密码的 802.1X 身份验证无线访问 |
操作 |
Windows Server 2008 R2 有线局域网 (LAN) Netsh 命令 | |
疑难解答 |
Windows Server 2008 R2 网络诊断框架 (NDF) 和网络跟踪 | |
安全 |
不适用 |
工具和设置 |
内容不可用 |
社区资源 |
内容不可用 |
相关技术 |
Windows Server 2008 R2 802.1X 身份验证无线访问 | Windows Server 2008 R2 网络策略和访问服务 |