|
三種認(rèn)證技術(shù)對(duì)比
資源天下 2019/8/17 8:54:52
認(rèn)證技術(shù)是AAA(認(rèn)證�����,授權(quán),計(jì)費(fèi))的初始步驟����,AAA一般包括用戶終端、AAAClient��、AAA Server和計(jì)費(fèi)軟件四個(gè)環(huán)節(jié)�。用戶終端與AAA Client之間的通信方式通常稱為“認(rèn)證方式”。目前的主要技術(shù)有以下三種:PPPoE�、Web+Portal�、IEEE802.1x。
基于web方式的認(rèn)證技術(shù)最廣為人知的一點(diǎn)是不需要在客戶端安裝任何撥號(hào)與認(rèn)證軟件��。它能夠處理高層協(xié)議���,在網(wǎng)絡(luò)應(yīng)用日益復(fù)雜的形勢(shì)下,很多復(fù)雜的管理要求已經(jīng)涉及到高層協(xié)議��,面對(duì)這些要求��,基于2�����、3層的認(rèn)證技術(shù)入PPPoE��,802.1x就無能為力����。
1. PPPoE
通過PPPoE(Point-to-Point Protocol over Ethernet)協(xié)議�,服務(wù)提供商可以在以太網(wǎng)上實(shí)現(xiàn)PPP協(xié)議的主要功能,包括采用各種靈活的方式管理用戶�����。
PPPoE(Point-to-Point Protocol over Ethernet)協(xié)議允許通過一個(gè)連接客戶的簡單以太網(wǎng)橋啟動(dòng)一個(gè)PPP對(duì)話。
PPPoE的建立需要兩個(gè)階段����,分別是搜尋階段(Discovery stage)和點(diǎn)對(duì)點(diǎn)對(duì)話階段(PPP Session stage)。當(dāng)一臺(tái)主機(jī)希望啟動(dòng)一個(gè)PPPoE對(duì)話��,它首先必須完成搜尋階段以確定對(duì)端的以太網(wǎng)MAC地址��,并建立一個(gè)PPPoE的對(duì)話號(hào)(SESSION_ID)����。
在PPP協(xié)議定義了一個(gè)端對(duì)端的關(guān)系時(shí)���,搜尋階段是一個(gè)客戶-服務(wù)器的關(guān)系。在搜尋階段的進(jìn)程中�����,主機(jī)(客戶端)搜尋并發(fā)現(xiàn)一個(gè)網(wǎng)絡(luò)設(shè)備(服務(wù)器端)����。在網(wǎng)絡(luò)拓?fù)渲校鳈C(jī)能與之通信的可能有不只一個(gè)網(wǎng)絡(luò)設(shè)備�����。在搜尋階段���,主機(jī)可以發(fā)現(xiàn)所有的網(wǎng)絡(luò)設(shè)備但只能選擇一個(gè)。當(dāng)搜索階段順利完成�����,主機(jī)和網(wǎng)絡(luò)設(shè)備將擁有能夠建立PPPoE的所有信息�。
搜索階段將在點(diǎn)對(duì)點(diǎn)對(duì)話建立之前一直存在�。一旦點(diǎn)對(duì)點(diǎn)對(duì)話建立,主機(jī)和網(wǎng)絡(luò)設(shè)備都必須為點(diǎn)對(duì)點(diǎn)對(duì)話階段虛擬接口提供資源���。
PPPoE整個(gè)通信過程都必須進(jìn)行PPPoE封裝��,效率較低����,由于寬帶接入服務(wù)器要終結(jié)大量的PPP會(huì)話��,將其轉(zhuǎn)換為IP數(shù)據(jù)包�����,使寬帶接入服務(wù)器成為網(wǎng)絡(luò)性能的“瓶頸”。
由于點(diǎn)對(duì)點(diǎn)的特征�,使組播視頻業(yè)務(wù)開展受到很大的限制���,視頻業(yè)務(wù)大部分是基于組播的���。
PPPoE在發(fā)現(xiàn)階段會(huì)產(chǎn)生大量的廣播流量,對(duì)網(wǎng)絡(luò)性能產(chǎn)生很大的影響����。
2. 802.1x
802.1x認(rèn)證,起源于802.11協(xié)議�����,后者是標(biāo)準(zhǔn)的無線局域網(wǎng)協(xié)議����,802.1x協(xié)議提出的主要目的:一是通過認(rèn)證和加密來防止無線網(wǎng)絡(luò)中的非法接入���,二是想在兩層交換機(jī)上實(shí)現(xiàn)用戶的認(rèn)證�����,以降低整個(gè)網(wǎng)絡(luò)的成本。其基本思想是基于端口的網(wǎng)絡(luò)訪問控制�����,即通過控制面向最終用戶的以太網(wǎng)端口�����,使得只有網(wǎng)絡(luò)系統(tǒng)允許并授權(quán)的用戶可以訪問網(wǎng)絡(luò)系統(tǒng)的各種業(yè)務(wù)(如以太網(wǎng)連接���,網(wǎng)絡(luò)層路由���,Internet接入等)。
802.1x認(rèn)證僅僅在認(rèn)證階段采用EAPOL(EAP encapsulation over LANs)報(bào)文����,認(rèn)證之后的通信過程中采用TCP/IP協(xié)議��。EAP(Extensible Authentication Protocol擴(kuò)展認(rèn)證協(xié)議)是對(duì)PPP協(xié)議的擴(kuò)展��,EAP對(duì)PPP的擴(kuò)展之一就是讓提供認(rèn)證服務(wù)的交換機(jī)從認(rèn)證過程中解脫出來����,而僅僅是中轉(zhuǎn)用戶和認(rèn)證服務(wù)器之間的EAP包���,所有復(fù)雜的認(rèn)證操作都由用戶終端和認(rèn)證服務(wù)器完成。
802.1x最大的優(yōu)點(diǎn)就是業(yè)務(wù)流與控制流分離���,一旦認(rèn)證通過,所有業(yè)務(wù)流與認(rèn)證系統(tǒng)相分離�����,有效地避免了網(wǎng)絡(luò)瓶頸的產(chǎn)生。
802.1x協(xié)議為二層協(xié)議���,不需要到達(dá)三層,而且接入層交換機(jī)無需支持802.1q的VLAN���,對(duì)設(shè)備的整體性能要求不高�,可以有效降低建網(wǎng)成本�。
802.1x協(xié)議的缺點(diǎn):
需要特定客戶端軟件�����。
網(wǎng)絡(luò)現(xiàn)有樓道交換機(jī)的問題:由于802.1x是比較新的二層協(xié)議��,要求樓道交換機(jī)支持認(rèn)證報(bào)文透傳或完成認(rèn)證過程���,因此在全面采用該協(xié)議的過程中,存在對(duì)已經(jīng)在網(wǎng)上的用戶交換機(jī)的升級(jí)處理問題�。
IP地址分配和網(wǎng)絡(luò)安全問題:802.1x協(xié)議是一個(gè)2層協(xié)議,只負(fù)責(zé)完成對(duì)用戶端口的認(rèn)證控制����,對(duì)于完成端口認(rèn)證后,用戶進(jìn)入三層IP網(wǎng)絡(luò)后��,需要繼續(xù)解決用戶IP地址分配��、三層網(wǎng)絡(luò)安全等問題���,因此,單靠以太網(wǎng)交換機(jī)+802.1x��,無法全面解決城域網(wǎng)以太接入的可運(yùn)營��、可管理以及接入安全性等方面的問題�����。
計(jì)費(fèi)問題:802.1x協(xié)議可以根據(jù)用戶完成認(rèn)證和離線間的時(shí)間進(jìn)行時(shí)長計(jì)費(fèi)�,不能對(duì)流量進(jìn)行統(tǒng)計(jì),因此無法開展基于流量的計(jì)費(fèi)或滿足用戶永遠(yuǎn)在線的要求。
3. Web+Portal
Portal認(rèn)證的(未完���,下一頁)
|
|
相關(guān)專業(yè)論文
|
|
|
推薦專業(yè)論文
|
|
|
|
|
|