问RADIUS和802.1X端口认证有什么区别？

EN

这是很多问题，所以让我们一个接一个。

802.1X端口认证到底是什么？

来自维基百科：

IEEE802.1X是基于端口的网络访问控制(PNAC)的IEEE标准.它是IEEE 802.1网络协议组的一部分。它向希望连接到LAN或WLAN的设备提供身份验证机制。

换句话说，它是(大部分)交换机和无线接入点中使用的一种机制--允许或阻止设备访问网络(或粒度允许访问网络的部分)。

例如，如果您在会议室中有一个网络端口，您可以在交换机端口上启用802.1x，并将其配置为当员工连接到整个网络时，但如果客人连接(使用临时密码)，他只能访问Internet，如果路过的人想试试运气，他根本无法访问任何东西。

不是也使用RADIUS作为它的底层身份验证机制吗？

是和否。802.1x使用可扩展认证协议(EAP)，维基百科关于802.1x的文章中有这幅漂亮的画，它显示了对于有线802.1x：

• EAPoL (EAPoL)在供应方(笔记本电脑上的软件)和身份验证者(交换机)之间使用。
• 然后，EAP通常在身份验证器和身份验证服务器之间通过Radius进行隧道化，但它也可以通过直径 (Radius的后续程序)完成。

对于无线，它类似于在请求者和验证者之间也没有半径，只在认证者和auth服务器之间(用于隧道EAP)。

现在，在EAP的名字中的可扩展是非常正确的，有几十个EAP协议，您可以从中选择，一些将使用密码，其他证书或两者兼而有之。

他们有什么不同？

这有点像比较苹果和橘子。Dot1x实际上不是一个协议，而是一个使用EAPoL和Radius等协议的框架。

简化(也许过于简化？)你可以说：

• Radius通常用作“简单”身份验证方法，用于控制谁可以登录到路由器(或其他设备)，或者谁可以使用VPN客户端进行连接。有时也用于授权，例如，在登录到路由器时确定权限级别，或者为vpn用户推送动态访问列表。
• Dot1x通常用于控制对交换机和wifi的访问。

，如果我们能以某种方式比较它们，哪一个更安全？

我不相信(但请任何人纠正我)，在某些情况下，你可以在其中一种或另一种选择。在某种程度上比较Radius和EAP可能更有意义。

有些事情需要考虑：

• EAP是端到端的，而Radius只在身份验证器和身份验证服务器之间使用，因此您需要确保客户端和身份验证器之间的部分也是安全的；例如，使用SSH而不是telnet登录到路由器。
• 类似地，一些(但不是所有) EAP方法可以用于相互身份验证(在请求方和身份验证服务器之间！)，在Radius情况下，它再次依赖于客户机和身份验证者之间使用的协议。
• EAP与您选择的EAP方法一样安全(例如，LEAP或EAP-MD5是弱的)

RADIUS是远程认证拨号用户服务的缩写，用于认证、授权和帐户(AAA) Dail-In用户。如今，它经常被用作各种网络设备的管理接口的集中式身份验证服务器。另一个常见的用途是802.1X，802.1X是用于有线和无线局域网的IEEE标准，用于对客户端进行身份验证。

您将拥有一个客户机(称为请求者)、一个身份验证器(一个交换机或接入点)和一个身份验证服务器，它是一个RADIUS服务器。