无线接入认证介绍

小乔

背景信息

当终端用户需要接入到企业的网络时，企业需要对这些终端用户的身份进行合法性校验，校验通过后针对用户身份给予相应的网络访问权限。中小型园区解决方案支持Portal认证、MAC认证及802.1X认证三种常见的认证方式，三种认证方式对比如表6-3所示。

• Portal认证：Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。用户上网时，必须在门户网站进行认证，如果未认证成功，仅可以访问特定的网络资源，认证成功后，才可以访问其他网络资源。Portal服务器给终端推送Web认证页面，用户在终端的认证页面上输入用户和密码的帐号信息，通过Portal服务器、准入设备以及准入服务器之间的协议交互，完成用户身份的认证和校验。Portal认证不需要在终端上安装客户端软件，认证方式灵活，认证页面可定制，对于访客和出差用户是很好的选择。
• MAC认证：MAC认证是以终端的MAC地址作为身份凭据的认证技术。当终端接入网络时，准入设备获取终端的MAC地址，并将该MAC地址作为用户名和密码进行认证。由于MAC地址可以很容易被仿冒，所以MAC认证方式的安全性较低，另外，需要在准入服务器上登记MAC地址，管理较复杂。对于某些特殊情况，终端用户不想或者不能通过输入用户帐号信息的方式进行认证时可以采用此认证技术。例如某些无法通过输入用户帐号信息的哑终端，如打印机、IP电话等设备。
  

• 802.1X认证：802.1X协议是一种基于端口的网络接入控制协议，是在局域网接入设备的端口上验证用户身份。802.1X认证需要在终端上安装认证客户端，在认证客户端上输入用户名和密码的帐号信息，通过认证客户端、准入设备以及准入服务器之间的协议交互，完成用户身份的认证和校验。802.1X认证方式的安全性最高，通常建议部署在接入层设备，适用于新建网络，用户集中，信息安全要求严格的场景 。
  

表6-3 认证技术对比表

对比项	Portal认证	MAC认证	802.1X认证
适用场景	通常适用于流动性较大，终端类型复杂的访客用户网络认证	打印机、传真机等哑终端接入认证的场景	通常适用于对安全要求较高的办公用户的网络认证
客户端需求	不需要	不需要	需要
优点	部署灵活	无需安装客户端	安全性高
缺点	安全性不高	需登记MAC地址，管理复杂	部署不灵活

同时为了适配多种应用场景，云管理的Portal认证还支持用户名密码认证、匿名认证、短信认证、社交媒体认证等多种方式。

honghulinqin