802.1X与Cisco基于身份的网络服务（IBNS）

Cisco基于身份的网络服务（Identity-Based Networking Services，IBNS）是一种以IEEE802.1X标准为基础的安全架构，具有认证、用户策略、访问控制等多种功能，能提供一套完善的安全解决方案。它对设备的MAC地址、IP地址和身份凭证进行验证，确保只有合法用户才能接入网络。
802.1X由IEEE802.1X工作组制定，它是一种基于端口的访问控制与认证协议，工作在数据链路层。

Cisco IBNS部署模式

802.1X的构成
    • 请求方（Supplicant）：要求访问网络资源的客户设备，如终端打印机或者IP电话。
    • 认证方（Authenticator）：允许或许拒绝请求方访问网络资源的设备，位于请求方与认证服务器之间，如交换机或接入点。
    • 认证服务器（Authentication Server）：对请求方提供的身份凭证进行验证并将认证结果通知认证方的实体，如Radius服务器。（Cisco 的ACS就是常见的认证服务器）。
    
802.1X相关认识：
    (1) 在请求方没有通过认证之前，认证方端口只允许EAPOL、CDP和STP流量通过
    (2) 802.1X使用的是可扩展认证协议（Extensible Authentication Protocol，EAP）
    (3) EAP是一种工作在PPP上的通用认证架构，更新后在链路层加入对IEEE802的支持，EAP的IEEE802封装和PPP无关，802.1X无法进行数据链路层或者网络层的协商，采用隧道协议，802.1X才可以使用PAP和CHAP等非EAP认证机制的协商，其本身不具备
    (4) EAP不在数据链路层阶段制定所用的认证机制，在认证阶段进行
    (5) 请求方和认证方之间可以通过基于局域网的可扩展认证协议（EAP over LAN，EAPOL）相互通信，EAPOL可以支持Ethernet、令牌环、FDDI、WLAN等多种介质，局域网MAC可以直接处理经过EAPOL封装的EAP数据包
    (6) EAPOL帧的目标MAC地址始终包含PAE组地址（01:80:C2:00:00:03）
    (7) 仅当数据包类型字段为EAP-Packet、EAPOL-Key或者EAPOL-Encapsulated-ASF-Alert时，数据包体才存在
    
EAP和EAPOL的帧数据包和报文：

1、EAP帧的数据包格式：

2、EAP代码：Request（1）、Response（2）、Success（3）、Failure（4）

3、EAPOL帧的数据包格式：

4、EAPOL数据包类型：EAP-Packet、EAPOL-Start、EAPOL-Logoff、EAPOL-Key、EAPOL-Encapsulated-ASF-Alert