华为乾坤-简介:认证关键技术

时间：2024-04-08 15:36:19

华为乾坤

认证关键技术

园区网络主要包括三种方式的认证技术：802.1X认证、Portal认证和MAC认证。由于这三种方式的认证原理不同，各自适合的场景也有所差异，实际应用中，可以根据场景部署选一种合适的认证方式，也可以部署几种认证方式组成的混合认证，混合认证的组合方式以设备实际支持情况为准。

802.1X认证
 如图 802.1X认证示意图所示，802.1X认证方案包括三个基本要素：用户终端、认证控制点和认证服务器（通常采用RADIUS服务器）。用户终端一般会安装有802.1X客户端软件。
1. 用户终端与认证控制点间：采用EAP（Extensible Authentication Protocol，可扩展认证协议）进行认证信息交互。EAP协议可以运行在各种底层，包括数据链路层和上层协议（如UDP、TCP等），而不需要IP地址。因此使用EAP协议的802.1X认证具有良好的灵活性。
2. 认证控制点与RADIUS服务器间：采用RADIUS协议，通过认证信息交互，完成认证、授权和计费。认证控制点从用户终端接收到包含认证请求的EAP报文后，会将用户认证信息封装到RADIUS报文中，或者将EAP报文直接封装到RADIUS报文中，然后发送给RADIUS服务器。
图2 802.1X认证示意图
Portal认证
 Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。用户上网时，必须在门户网站进行认证，如果未认证成功，仅可以访问特定的网络资源，认证成功后，才可以访问其他网络资源。如图3所示，Portal认证通常包含四个基本要素：用户终端、认证控制点、Portal服务器和认证服务器（通常采用RADIUS服务器）。
1. 用户终端与认证控制点间：认证控制点将用户终端的HTTP报文重定向到Portal服务器。
2. 认证控制点与Portal服务器间：通过HACA协议进行认证信息交互。Portal服务器认证通过后，通过HACA协议通知认证控制点进行授权。
3. 用户终端与Portal服务器间：用户终端向Portal服务器发送认证信息，Portal服务器校验后将认证结果返回给用户终端。
图3 Portal认证示意图
MAC认证
 MAC认证，全称MAC地址认证，是一种基于终端MAC地址对用户的访问权限进行控制的认证方法。如图4所示，MAC认证系统通常包括三个基本要素：用户终端、认证控制点和认证服务器（通常为RADIUS服务器）。
1. 用户终端与认证控制点间：认证控制点首次检测到用户终端的MAC地址，进行MAC地址学习，触发MAC认证。
2. 认证控制点与RADIUS服务器间：采用RADIUS协议，通过认证信息交互，完成认证、授权和计费。认证控制点触发MAC认证后，会将用户认证信息封装到RADIUS报文中，然后发往RADIUS服务器。
图4 MAC认证示意图