802.11 和 802.1X

802.11 和 802.1X 是两个完全不同但密切相关的协议，它们解决的是无线网络（Wi-Fi）中不同层面的问题。

简单来说：

• 802.11 定义了“修路”的标准——如何建立物理的无线连接。
• 802.1X 定义了“设关卡和查证件”的标准——如何对要上路的人进行身份认证和授权。

下面我们来详细解释两者的区别和联系。

1. IEEE 802.11 - “无线局域网（WLAN）标准”

核心功能：定义了无线局域网（Wi-Fi）的物理层和数据链路层的技术标准。它关心的是如何通过无线电波在空中传输数据。

关键内容：

• 物理介质： 使用无线电波（2.4GHz， 5GHz， 6GHz 等频段）而非网线。
• 传输速率： 规定了从最初的 2Mbps 到如今万兆速率的不同标准，如 802.11a/b/g/n/ac/ax (Wi-Fi 6)、be (Wi-Fi 7)。
• 基本操作模式： 定义了设备之间如何发现彼此（信标帧）、如何建立连接（关联过程）、如何共享无线媒介（CSMA/CA）等。
• 早期安全机制： 定义了最初的安全性协议，如 WEP， 后来被证明非常脆弱。

可以把它想象成：
802.11 就像是修建了一条所有人都能看到的公共道路。任何有汽车（无线网卡）的人都可以开到这条路上，并且听到别人的广播。如果没有管理，这条路谁都可以上，非常不安全。

2. IEEE 802.1X - “端口访问控制标准”

核心功能： 它是一个基于端口的网络访问控制（NAC）协议。它不关心信号是无线还是有线的，它的核心任务是对试图接入网络的用户设备进行身份认证和授权。

关键内容：

• 认证框架： 定义了一个通用的认证架构，称为 EAP（可扩展认证协议）。EAP 就像一个“通用翻译官”，允许在认证过程中使用多种不同的认证方法（如用户名密码、数字证书、智能卡等）。
• 三个角色：
  1. Supplicant（客户端）： 想要接入网络的设备（如你的笔记本电脑、手机）。
  2. Authenticator（认证器）： 控制网络访问的设备（如支持 802.1X 的无线接入点 AP 或交换机）。它就像一个“门卫”。
  3. Authentication Server（认证服务器）： 实际执行验证操作的服务器（通常是 RADIUS 服务器）。它就像“安全总部”，存有所有用户的凭证信息。“门卫”把客户端提供的证件交给“安全总部”进行核实。
• 工作流程： 客户端连接后，认证器（AP）会阻塞所有数据流量，只允许认证流量通过。客户端和认证服务器通过 EAP 协议进行身份验证。只有验证成功后，认证器才会“打开端口”，允许客户端访问网络资源。

可以把它想象成：
802.1X 就像是在 802.11 这条公共道路的入口处设置了一个安全检查站。你的车（设备）想上路，必须先在检查站向门卫（Authenticator）出示你的证件（用户名/密码/证书）。门卫会把证件传真给总部（Authentication Server）核实。总部确认你的身份合法后，才会通知门卫抬起栏杆，放你的车进入高速公路。

两者的关系和协同工作

802.11 和 802.1X 的结合，诞生了现代 Wi-Fi 安全的核心——WPA2 和 WPA3 企业版。

• WPA/WPA2-个人版 (WPA-Personal)： 使用预共享密钥（PSK），也就是我们常说的“Wi-Fi 密码”。所有用户使用同一个密码，不涉及 802.1X。
• WPA/WPA2-企业版 (WPA-Enterprise)： 正是 802.11 和 802.1X 的结合。
  1. 802.11 负责建立无线的物理连接和加密数据（使用强加密算法如 CCMP/AES）。
  2. 802.1X 负责在连接建立后，对每个用户进行独立的、高强度的身份认证。

这个过程是：

1. 你的设备通过 802.11 协议连接到无线路由器（AP）。
2. AP 启动 802.1X 过程，要求你进行身份验证。
3. 你输入公司的用户名和密码（或使用证书）。
4. AP 将你的凭证通过 RADIUS 协议发送给后台的 RADIUS 服务器进行验证。
5. 验证通过后，RADIUS 服务器会通知 AP“放行”，并生成一个独特的加密密钥给你的会话。
6. 此后，你设备上的所有数据通信都通过 802.11 提供的强加密通道进行传输。

总结对比表

结论：
802.11 是 Wi-Fi 的基础，决定了信号如何传输；而 802.1X 是高级安全的大门，决定了谁可以接入这个信号并使用网络。 在现代企业环境中，两者相辅相成，共同构建了既便捷又安全的无线网络。