问题太多了，让我们一一解答。

802.1X 基于端口的身份验证究竟是什么？

来自维基百科：

IEEE 802.1X 是基于端口的网络访问控制 (PNAC) 的 IEEE 标准。它是 IEEE 802.1 网络协议组的一部分。它为希望连接到 LAN 或 WLAN 的设备提供身份验证机制。

换句话说，它是一种用于（主要）交换机和无线接入点的机制，以允许或阻止设备访问网络（或细粒度地允许访问网络的一部分）。

例如，如果您在会议室中有一个网络端口，您可以在交换机端口上启用 802.1x 并以这样的方式进行配置：当员工连接时，她可以访问整个网络，但如果访客连接（使用临时密码） ) 他只能访问 Internet，如果路人想碰碰运气，他根本无法访问任何内容。

它不是也使用 RADIUS 作为底层身份验证机制吗？

是和否。802.1x 使用可扩展身份验证协议 (EAP)，维基百科关于 802.1x 的文章有这张漂亮的图画，显示了有线802.1x 的情况：

• EAP over LAN (EAPoL) 用于请求方（笔记本电脑上的软件）和验证方（交换机）之间
• EAP 通常通过 Radius 在 Authenticator 和 Authentication Server 之间建立隧道，但也可以通过Diameter（Radius 的后继者）完成

对于无线，在请求者和认证者之间也没有 Radius，只有在认证者和认证服务器之间（以隧道 EAP）的意义上来说，它是相似的。

现在EAP 中的Extensible是非常真实的，有几十种 EAP 协议可供您选择，有些会使用密码，有些会使用证书，或者两者兼而有之，等等。

它们的区别是什么？

嗯，这有点像比较苹果和橙子。Dot1x 并不是一个真正的协议，而是一个框架，其中使用了 EAPoL 和 Radius 等协议。

简化（也许过于简化？）你可以说：

• Radius 通常用作“简单”的身份验证方法来控制谁可以登录路由器（或其他设备），或者谁可以使用 VPN 客户端进行连接。有时也用于授权，例如在您登录路由器时确定权限级别，或为 vpn 用户推送动态访问列表。
• Dot1x 通常用于控制对交换机端口和 wifi 的访问。

如果我们能以某种方式比较它们，哪个更安全？

我不相信（但任何人都请纠正我）在某些情况下您可以选择一种或另一种。在某种程度上，比较 ​​Radius 和 EAP 可能更有意义。

需要考虑的一些事项：

• EAP是端到端的，而Radius仅用于Authenticator和Authentication Server之间，因此您需要确保客户端和Authenticator之间的部分也是安全的；例如，使用 SSH 而不是 telnet 登录到您的路由器。
• 类似地，一些（但不是全部）EAP 方法可用于相互身份验证（在请求者和身份验证服务器之间！），在 Radius 情况下，它再次取决于客户端和身份验证者之间使用的协议。
• EAP 与您选择的 EAP 方法一样安全（例如 LEAP 或 EAP-MD5 较弱）

RADIUS 代表远程身份验证拨入用户服务，旨在对拨入用户进行身份验证、授权和记账 (AAA)。今天，它通常用作各种网络设备管理界面的集中式身份验证服务器。另一个常见用途是 802.1X 802.1X 是一种 IEEE 标准，用于有线和无线 LAN 以验证客户端。

您将拥有一个客户端（称为请求方）、一个身份验证器（交换机或接入点）和一个身份验证服务器，即一个 RADIUS 服务器。