华为乾坤-简介:认证关键技术
认证关键技术
园区网络主要包括三种方式的认证技术:802.1X认证、Portal认证和MAC认证。由于这三种方式的认证原理不同,各自适合的场景也有所差异,实际应用中,可以根据场景部署选一种合适的认证方式,也可以部署几种认证方式组成的混合认证,混合认证的组合方式以设备实际支持情况为准。
- 802.1X认证
如图 802.1X认证示意图所示,802.1X认证方案包括三个基本要素:用户终端、认证控制点和认证服务器(通常采用RADIUS服务器)。用户终端一般会安装有802.1X客户端软件。
- 用户终端与认证控制点间:采用EAP(Extensible Authentication Protocol,可扩展认证协议)进行认证信息交互。EAP协议可以运行在各种底层,包括数据链路层和上层协议(如UDP、TCP等),而不需要IP地址。因此使用EAP协议的802.1X认证具有良好的灵活性。
- 认证控制点与RADIUS服务器间:采用RADIUS协议,通过认证信息交互,完成认证、授权和计费。认证控制点从用户终端接收到包含认证请求的EAP报文后,会将用户认证信息封装到RADIUS报文中,或者将EAP报文直接封装到RADIUS报文中,然后发送给RADIUS服务器。
- Portal认证
Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。用户上网时,必须在门户网站进行认证,如果未认证成功,仅可以访问特定的网络资源,认证成功后,才可以访问其他网络资源。如图3所示,Portal认证通常包含四个基本要素:用户终端、认证控制点、Portal服务器和认证服务器(通常采用RADIUS服务器)。
- 用户终端与认证控制点间:认证控制点将用户终端的HTTP报文重定向到Portal服务器。
- 认证控制点与Portal服务器间:通过HACA协议进行认证信息交互。Portal服务器认证通过后,通过HACA协议通知认证控制点进行授权。
- 用户终端与Portal服务器间:用户终端向Portal服务器发送认证信息,Portal服务器校验后将认证结果返回给用户终端。
- MAC认证
MAC认证,全称MAC地址认证,是一种基于终端MAC地址对用户的访问权限进行控制的认证方法。如图4所示,MAC认证系统通常包括三个基本要素:用户终端、认证控制点和认证服务器(通常为RADIUS服务器)。
- 用户终端与认证控制点间:认证控制点首次检测到用户终端的MAC地址,进行MAC地址学习,触发MAC认证。
- 认证控制点与RADIUS服务器间:采用RADIUS协议,通过认证信息交互,完成认证、授权和计费。认证控制点触发MAC认证后,会将用户认证信息封装到RADIUS报文中,然后发往RADIUS服务器。