现在，网络通信技术越来越发达，从华为的山寨到完全技术自主和我国联通的国际化CDMA标准可以看出，我国的网络技术已逐步走向成熟。在我们感到欣喜的同时，另一个隐患也引起了人们的注意，那就是，计算机网络的安全性。现在的计算机网络木马病毒层出不穷，其更新速度和危害性让人望而生畏。因此，网络如何实现网络安全已经成为一个普遍关注话题，越来越得到人们的重视。
   
    由于技术上和资金上的原因，网络安全在广域网上实现起来比较困难，因此，局域网的安全防护便成了网络管理的一个重要环节。其中802.1x协议体系就是一个重要和目前比较常用的局域网网络安全机制。

　　802.1x为IEEE Std 802.1x-2001基于端口的访问控制协议，可以克服PPPoE方式带来的诸多问题，并避免引入宽带接入服务器所带来的巨大投资。802.1x协议限制未经授权的用户/设备通过接入端口访问LAN/WAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户进行认证。在认证通过之前，802.1x只允许EAPOL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口。认证通过以后，正常的数据可以顺利地通过以太网端口。

　　802.1x协议体系结构包括三个重要的部分：Supplicant System客户端、Authenticator System认证系统、Authentication Server System认证服务器。

　　客户端系统一般为一个用户终端系统，该终端系统通常要安装一个客户端软件，用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。为支持基于端口的接入控制，客户端系统需支持EAPOL协议。Windows XP操作系统中已经包含了802.1x认证的客户端软件。

　　认证系统通常为支持802.1x协议的网络设备，如802.1x交换机。该设备对应于不同用户的端口(可以是物理端口，也可以是用户设备的MAC地址、VLAN、IP等)。

　　认证服务器通常为radius服务器，该服务器可以存储有关用户的信息，比如用户所属的VLAN、CAR参数、优先级、用户的访问控制列表等。当用户通过认证后，认证服务器会把用户的相关信息传递给认证系统，由认证系统构建动态的访问控制列表，用户的后续流量就将接受上述参数的监管。认证服务器和radius服务器之间通过EAP协议进行通信。

　　现在大部分厂商的接入交换机都支持802.1x协议，有的还支持本地认证，这就使抛开radius服务器，在接入交换机上进行用户认证成为可能。

　　下面以华为的Quidway S3026为例，介绍利用内置radius server来实现接入交换机上的用户认证。

　　在S3026的出厂设置中已经配置了本地的认证服务器和域：

　　radius scheme system

　　server-type huawei

　　primary authentication 127.0.0.1 1645

　　primary accounting 127.0.0.1 1646

　　user-name-format without-domain

　　domain system

　　radius-scheme system

　　access-limit disable

　　state active

　　vlan-assignment-mode integer

　　idle-cut disable

　　self-service-url disable

　　messenger time disable

　　domain default enable system

　　local-server nas-ip 127.0