在中小园区网络环境中,选择合适的网络接入认证方式对于保障网络安全、提升管理效率具有重要意义。本文就802.1X
认证、MAC
地址认证(也称为基于MAC
的认证)和Portal
认证这三种常见认证方式进行总结。
1. 802.1X认证
1.1定义
802.1X
协议是一种基于端口的网络接入控制协议(Port based network access control protocol
)。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级验证用户身份并控制其访问权限。该认证方式需要在终端上安装认证客户端,并在客户端上输入用户名和密码的账号信息。通过认证客户端、准入设备以及准入服务器之间的协议交互,完成用户身份的认证和校验。
1.2优点
802.1X
协议为二层协议,不需要到达三层,对接入设备的整体性能要求不高,可以有效降低建网成本。认证报文和数据报文通过逻辑接口分离,提高安全性。
1.3 802.1X认证系统构成
如下图:802.1X
认证系统由请求者、认证者、认证服务器三个角色构成。在实际应用中,三者分别对应为:客户端(Client
)、网络接入控制设备(Network Access Server,NAS
)、RADIUS Server
。
客户端一般为一个用户终端设备,用户可以通过启动客户端软件发起 802.1X
认证。客户端必须支持局域网上的可扩展认证协议EAPoL
(Extensible Authentication Protocol over LANs
)。接入设备通常为支持 802.1X
协议的网络设备,它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口。认证服务器用于实现对用户进行认证、授权和计费,通常为 RADIUS
服务器。
1.4适用场景
由于802.1x
认证的安全性高,它通常建议部署在接入层设备,适用于新建网络、用户集中且信息安全要求严格的场景。
比如:校园网,企业网的应用场景。
2. MAC认证
2.1定义
MAC
认证,全称MAC
地址认证,是一种基于接口和终端MAC
地址对用户的访问权限进行控制的认证方法。
补充说明:
它不需要用户安装任何客户端软件。
设备在启动了
MAC
认证的接口上首次检测到用户的MAC
地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码。
2.2优点
用户终端不需要安装任何客户端软件。 MAC
认证过程中,不需要用户手动输入用户名和密码。能够对不具备 802.1X
认证能力的终端进行认证,如打印机和传真机等哑终端。
2.3 MAC认证系统构成
如下图,MAC
认证系统为典型的客户端/服务器结构,包括三个实体:终端、接入设备和认证服务器。
2.4适用场景
MAC
认证适用于某些特殊情况,如终端用户不想或者不能通过输入用户账号信息的方式进行认证时。
比如,某些无法通过输入用户账号信息的哑终端(如打印机、IP
电话等设备)接入网络时,可以采用此认证技术。
3. Portal认证
3.1定义
Portal
认证通常也称为Web
认证,一般将Portal
认证网站称为门户网站。用户上网时,必须在门户网站进行认证,如果未认证成功,仅可以访问特定的网络资源,认证成功后,才可以访问其他网络资源。
3.2优点
一般情况下,客户端不需要安装额外的软件,直接在 Web
页面上认证,简单方便。便于运营,可以在 Portal
页面上进行业务拓展,如广告推送、企业宣传等。技术成熟,被广泛应用于运营商、连锁快餐、酒店、学校等网络。 部署位置灵活,可以在接入层或关键数据的入口作访问控制。 用户管理灵活,可基于用户名与 VLAN/IP
地址或MAC
地址的组合对用户进行认证。
3.3 Portal认证系统构成
如下图,Portal
认证系统主要包括四个基本要素:客户端、接入设备、Portal
服务器与认证服务器。
3.4适用场景
PORTAL
认证通常适用于流动性较大、终端类型复杂的访客用户网络认证场景。同时,为了适配多种应用场景,云管理的PORTAL
认证还支持用户名密码认证、匿名认证、短信认证、社交媒体认证等多种方式。
比如,运营商、连锁快餐、酒店、学校采用Portal认证。
4.三种认证方式比较
由于802.1X
认证、MAC
认证和Portal
认证这三种认证方式认证原理不同,各自适合的场景也有所差异,实际应用中,可以根据场景部署某一种合适的认证方式,也可以部署几种认证方式组成的混合认证,三种认证方式比较如下表:
对比项 | 802.1X认证 | MAC认证 | Portal认证 |
---|---|---|---|
适合场景 | 新建网络、用户集中、信息安全要求严格的场景 | 打印机、传真机等哑终端接入认证的场景 | 用户分散、用户流动性大的场景 |
客户端需求 | 需要 | 不需要 | 不需要 |
优点 | 安全性高 | 无需安装客户端 | 部署灵活 |
缺点 | 部署不灵活 | 需登记MAC地址,管理复杂 | 安全性不高 |