PPPOE、Web+Portal、802.1x常見三種認(rèn)證方式對比

2018-05-14    

認(rèn)證技術(shù)是AAA（認(rèn)證，授權(quán)，計費）的初始步驟，AAA一般包括用戶終端、AAAClient、AAA Server和計費軟件四個環(huán)節(jié)。用戶終端與AAA Client之間的通信方式通常稱為"認(rèn)證方式"。目前的主要技術(shù)有以下三種：PPPoE、Web＋Portal、IEEE802.1x。三種方式有其產(chǎn)生的背景原因和技術(shù)特點，以下對這三種主要認(rèn)證技術(shù)作一個簡要的分析：
1．PPPOE
1998年后期問世的以太網(wǎng)上點對點協(xié)議（PPP over Ethernet）技術(shù)是由Redback 網(wǎng)絡(luò)公司、客戶端軟件開發(fā)商RouterWare公司以及Worldcom子公司UUNET Technologies公司在IETF RFC制的基礎(chǔ)上聯(lián)合開發(fā)的。主要目的是把最經(jīng)濟的局域網(wǎng)技術(shù)、以太網(wǎng)和點對點協(xié)議的可擴展性及管理控制功能結(jié)合在一起。它使服務(wù)提供商在通過數(shù)字用戶線、電纜調(diào)制解調(diào)器或無線連接等方式，提供支持多用戶的寬帶接入服務(wù)時更加簡便易行。
通過PPPoE（Point-to-Point Protocol over Ethernet）協(xié)議，服務(wù)提供商可以在以太網(wǎng)上實現(xiàn)PPP協(xié)議的主要功能，包括采用各種靈活的方式管理用戶。
PPPoE（Point-to-Point Protocol over Ethernet）協(xié)議允許通過一個連接客戶的簡單以太網(wǎng)橋啟動一個PPP對話。
PPPoE的建立需要兩個階段，分別是搜尋階段（Discovery stage）和點對點對話階段（PPP Session stage）。當(dāng)一臺主機希望啟動一個PPPoE對話，它首先必須完成搜尋階段以確定對端的以太網(wǎng)MAC地址，并建立一個PPPoE的對話號（SESSION_ID）。
在PPP協(xié)議定義了一個端對端的關(guān)系時，搜尋階段是一個客戶-服務(wù)器的關(guān)系。在搜尋階段的進(jìn)程中，主機（客戶端）搜尋并發(fā)現(xiàn)一個網(wǎng)絡(luò)設(shè)備（服務(wù)器端）。在網(wǎng)絡(luò)拓?fù)渲?，主機能與之通信的可能有不只一個網(wǎng)絡(luò)設(shè)備。在搜尋階段，主機可以發(fā)現(xiàn)所有的網(wǎng)絡(luò)設(shè)備但只能選擇一個。當(dāng)搜索階段順利完成，主機和網(wǎng)絡(luò)設(shè)備將擁有能夠建立PPPoE的所有信息。
搜索階段將在點對點對話建立之前一直存在。一旦點對點對話建立，主機和網(wǎng)絡(luò)設(shè)備都必須為點對點對話階段虛擬接口提供資源。
優(yōu)點：
*是傳統(tǒng)PSTN窄帶撥號接入技術(shù)在以太網(wǎng)接入技術(shù)的延伸
*和原有窄帶網(wǎng)絡(luò)用戶接入認(rèn)證體系一致
*最終用戶相對比較容易接收
缺點：
*PPP協(xié)議和Ethernet技術(shù)本質(zhì)上存在差異，PPP協(xié)議需要被再次封裝到以太幀中，所以封裝效率很低
*PPPoE在發(fā)現(xiàn)階段會產(chǎn)生大量的廣播流量，對網(wǎng)絡(luò)性能產(chǎn)生很大的影響
*組播業(yè)務(wù)開展困難，而視頻業(yè)務(wù)大部分是基于組播的
*需要運營商提供客戶終端軟件，維護(hù)工作量過大
*PPPoE認(rèn)證一般需要外置BAS，認(rèn)證完成后，業(yè)務(wù)數(shù)據(jù)流也必須經(jīng)過BAS設(shè)備，容易造成單點瓶頸和故障，而且該設(shè)備通常非常昂貴。
2．Web+ Portal
Portal認(rèn)證的基本過程是：客戶機首先通過DHCP協(xié)議獲取到IP地址（也可以使用靜態(tài)IP地址），但是客戶使用獲取到的IP地址并不能登上Internet，在認(rèn)證通過前只能訪問特定的IP地址，這個地址通常是PORTAL服務(wù)器的IP地址。采用Portal認(rèn)證的接入設(shè)備必須具備這個能力。一般通過修改接入設(shè)備的訪問控制表（ACL）可以做到。
用戶登錄到Portal Server后，可以瀏覽上面的內(nèi)容，比如廣告、新聞等免費信息，同時用戶還可以在網(wǎng)頁上輸入用戶名和密碼，它們會被WEB客戶端應(yīng)用程序傳給 Portal Server，再由Portal Server與NAS之間交互來實現(xiàn)用戶的認(rèn)證。
Portal Server在獲得用戶的用戶名和密碼外，還會得到用戶的IP地址，以它為索引來標(biāo)識用戶。然后Portal Server 與NAS之間用Portal協(xié)議直接通信，而NAS又與RADIUS 服務(wù)器直接通信完成用戶的認(rèn)證和上線過程。因為安全問題，通常支持安全性較強的CHAP式認(rèn)證。
優(yōu)點：
*不需要特殊的客戶端軟件，降低網(wǎng)絡(luò)維護(hù)工作量
*l可以提供Portal等業(yè)務(wù)認(rèn)證
缺點：
*WEB承載在7層協(xié)議上，對于設(shè)備的要求較高，建網(wǎng)成本高；
*用戶連接性差，不容易檢測用戶離線，基于時間的計費較難實現(xiàn)；
*易用性不夠好，用戶在訪問網(wǎng)絡(luò)前，不管是 TELNET、FTP還是其它業(yè)務(wù)，必須使用瀏覽器進(jìn)行WEB認(rèn)證；
* IP地址的分配在用戶認(rèn)證前，如果用戶不是上網(wǎng)用戶，則會造成地址的浪費，而且不便于多ISP的支持。
*認(rèn)證前后業(yè)務(wù)流和數(shù)據(jù)流無法區(qū)分
3．802.1x
優(yōu)點：
*802.1x協(xié)議為二層協(xié)議，不需要到達(dá)三層，而且接入層交換機無需支持802.1q的VLAN，對設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本。
*通過組播實現(xiàn)，解決其他認(rèn)證協(xié)議廣播問題，對組播業(yè)務(wù)的支持性好。業(yè)務(wù)報文直接承載在正常的二層報文上；用戶通過認(rèn)證后，業(yè)務(wù)流和認(rèn)證流實現(xiàn)分離，對后續(xù)的數(shù)據(jù)包處理沒有特殊要求
缺點：
*需要特定客戶端軟件
*網(wǎng)絡(luò)現(xiàn)有樓道交換機的問題：由于802.1x是比較新的二層協(xié)議，要求樓道交換機支持認(rèn)證報文透傳或完成認(rèn)證過程，因此在全面采用該協(xié)議的過程中，存在對已經(jīng)在網(wǎng)上的用戶交換機的升級處理問題；
*IP地址分配和網(wǎng)絡(luò)安全問題：802.1x協(xié)議是一個2層協(xié)議，只負(fù)責(zé)完成對用戶端口的認(rèn)證控制，對于完成端口認(rèn)證后，用戶進(jìn)入三層IP網(wǎng)絡(luò)后，需要繼續(xù)解決用戶IP地址分配、三層網(wǎng)絡(luò)安全等問題，因此，單靠以太網(wǎng)交換機＋802.1x，無法全面解決城域網(wǎng)以太接入的可運營、可管理以及接入安全性等方面的問題；
*計費問題：802.1x協(xié)議可以根據(jù)用戶完成認(rèn)證和離線間的時間進(jìn)行時長計費，不能對流量進(jìn)行統(tǒng)計，因此無法開展基于流量的計費或滿足用戶永遠(yuǎn)在線的要求。