在IEEE 802.1X-2001與802.1X-2004的標準定義中，說明了提供以端口為主（portbased）的安全驗證機制，而這一項安全保護機制便是針對企業(yè)中的有線與無線網(wǎng)絡(luò)的聯(lián)機而來。在一個802.1X部署架構(gòu)中主要由三個組件所構(gòu)成，如圖1所示分別說明如下：

1.聯(lián)機要求客戶端

當有客戶端在受保護的網(wǎng)絡(luò)環(huán)境中需要聯(lián)機存取時，此計算機便需要以802.1X的支持聯(lián)機方式先行聯(lián)機到通行驗證器。

2.通行驗證器

這里所謂的通行驗證器，指的便是以有線方式連接的網(wǎng)絡(luò)交換器，或是以無線聯(lián)機方式的無線基地臺（AP），無論如何兩者都必須支持802.1x的組態(tài)配置功能。

3.驗證服務(wù)器

當欲聯(lián)機存取網(wǎng)絡(luò)的客戶端剛連接到通行驗證器時，通行驗證器必須與一部驗證服務(wù)器來確認此客戶端計算機是否合法，而這一部驗證服務(wù)器一般所指的就是RADIUS主機（Remote Authentication Dial-In User Service），而 它 門 之間的通訊方式便是透過延伸的驗證協(xié)議（EAP，Extensible Authentication Protocol）， 無論驗證結(jié)果如何RADIUS主機都會將訊息回報給通行驗證器，再由通行驗證器決定是否給予完成基本的聯(lián)機。

圖1 802.1x運作組件

針對802.1X的驗證處理方式，是藉由EAP over LAN（EAPoL）的組件來負責處理通行驗證器與聯(lián)機要求客戶端之間的通訊內(nèi)容。

在802.1x的隔離驗證控管的網(wǎng)絡(luò)架構(gòu)中，無論是Windows Server 2012還 是Windows Server 2008所提供的網(wǎng)絡(luò)原則服務(wù)器角色（NPS，Network Policy Server），皆取代了原有在Windows Server 2003中的網(wǎng)際網(wǎng)絡(luò)驗證服務(wù)（IAS，Internet Authentication Service），透過此角色來同樣提供網(wǎng)絡(luò)交換器或無線基地臺RADIUS聯(lián)機的驗證服務(wù)，讓不合法的客戶端聯(lián)機自動被隔離到另一個特定的VLAN網(wǎng)絡(luò)中，或是透過IP篩選器（IP Filter）封鎖掉所能夠存取的網(wǎng)絡(luò)資源，或是直接斷除實體的網(wǎng)絡(luò)聯(lián)機，直到客戶端計算機下一次重新插上網(wǎng)絡(luò)線時再進行健康原則的檢查與比對。

在接下來的NAP與801.x網(wǎng)絡(luò)交換器設(shè)備整合部署實作中，筆者將以一個Cisco 3560G型號的設(shè)備來作為范例解說。在這個測試的架構(gòu)規(guī)劃中，在服務(wù)器部份您可以準備兩部Windows Server 2008服務(wù)器，一部擔任網(wǎng)絡(luò)原則服務(wù)器（NPS），一部則擔任域控制器（DC）、DNS服務(wù)器、CA憑證服務(wù)器以及DHCP服務(wù)器，當然啦！在測試環(huán)境中您也可以將這一些服務(wù)器角色全部都塞在同一部Windows Server 2008服務(wù)器上。

在測試的NAP客戶端規(guī)劃部分，建議您可以準備一部Windows 7(或Vista)以及一部Windows XP Professional SP3計算機，并且都登入到相同的網(wǎng)域環(huán)境中。至于CISCO的網(wǎng)絡(luò)組態(tài)配置部分，基本上可以規(guī)劃出三個虛擬區(qū)域網(wǎng)絡(luò)（VLAN）來進行這項測試計劃，分別說明如下：

VLAN1：預 設(shè)NAP客戶端連接的網(wǎng)絡(luò)（例如：192.168.2.0）。

VLAN2：當NAP客戶端被偵測到不符合安全規(guī)定，所會被丟到的網(wǎng)絡(luò)隔離區(qū)段（例如 ：192.168.3.0）。

VLAN3：當NAP客戶端被偵測到完全符合安全規(guī)定，所會被移動到的合法網(wǎng)絡(luò)區(qū)段（例如：192.168.4.0），來存取所有可被聯(lián)機存取的網(wǎng)絡(luò)資源，因此所有公司合法的網(wǎng)絡(luò)資源可以都置放在這個網(wǎng)絡(luò)區(qū)段中，例如：檔案服務(wù)器、企業(yè)入口網(wǎng)站、電子郵件服務(wù)器、ERP系統(tǒng)等等。

在VLAN的規(guī)劃上在此還要進一步說明，那就是VLAN2與VLAN3請透過ACLs的設(shè)定來讓這兩個網(wǎng)絡(luò)無法相互存取，而VLAN1的網(wǎng)絡(luò)中則必須至少提供域控制器（DC）、DNS服務(wù)器、DHCP服務(wù)器、網(wǎng)絡(luò)原則服務(wù)器（NPS）的聯(lián)機，在此筆者讓所有的服務(wù)器服務(wù)都使用Windows Server 2008的版本，并且也將必要的網(wǎng)域等級設(shè)定為Windows Server 2003。

有關(guān)于在VLAN1網(wǎng)絡(luò)中所要建立的DHCP服務(wù)器角色，在此筆者特別提出來說明一下幾個重點。我們可以透過[服務(wù)器管理員]接口中點選[新增角色]，來安裝DHCP服務(wù)器，并且在安裝設(shè)定的過程中，在[新增或編輯DHCP領(lǐng)域]的頁面中時，就可以直接來將三個測試用IP網(wǎng)段的VLAN先規(guī)劃出來，其中在名稱部分便可以依序設(shè)定為VLAN1、VLAN2、VLAN3。