认证方式总结（802.1x,PPPOE,IPOE,Portal，MAC认证）

2023-09-06 21:13

短信预约 -IT技能 免费直播动态提醒

1.802.1x:

认证设备NAC：交换机

802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPOL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

802.1X认证具有以下优点：

802.1X协议为二层协议，不需要到达三层，对接入设备的整体性能要求不高，可以有效降低建网成本。
认证报文和数据报文通过逻辑接口分离，提高安全性，一般需要pc安装客户端。

2.pppoe：

认证设备NAC：BRAS/BAS

PPPOE（Point-to-Point Protocol Over Ethernet）是将点对点协议（PPP）封装在以太网（Ethernet）框架中的一种网络隧道协议。由于协议中集成PPP协议，所以实现了传统以太网不能提供的身份验证、加密以及压缩等功能，可用于缆线调制解调器（cable modem）和数字用户线路（DSL）等以以太网协议向用户提供接入服务的协议体系。

与传统的接入方式相比，PPPOE具有较高的性能价格比，目前流行的宽带接入方式 ADSL 就使用了PPPOE协议。

BRAS（宽带远程接入服务器）和BAS（宽带接入服务器）的区别：

BAS：是一种设置在网络汇聚层的用户接入服务设备，可以智能化地实现用户的汇聚、认证、计费等服务，还可以根据用户的需要，方便地提供多种ip增值业务。

BRAS：一种面向宽带网络应用的新型接入网关。它是宽带接入网的骨干网之间的桥梁，提供基本的接入手段和宽带接入网的管理功能。它位于网络的边缘，提供宽带接入服务、实现多种业务的汇聚与转发，能满足不同用户对传输容量和带宽利用率的要求，因此是宽带用户接入的核心设备。

应用场景：家庭宽带，校园网

3.IPOE:

认证设备NAC：BRAS/BAS

IPoE以DHCP（动态主机配置协议）技术为核心，紧密结合通用的RADIUS（远程用户拨号认证协议），实现IP用户会话机制、IP数据流的分级机制、IP会话鉴权和管理机制的宽带接入认证制度。IPoE不仅能满足QoS（服务质量）差异化等级业务，同时也具有高效的组播特性。

应用场景：机顶盒这类哑终端

PPPOE，IPOE与DHCP的关联：

PPPoE特点：便于计费。client和server需在同一广播域。

DHCP特点：拨号过程与PPPoE类似，server分配给client的IP等信息有租约时间，需要考虑续租问题。若client和server不在同一广播域可通过DHCP Relay（DHCP中继）完成拨号。

IPOE:IPOE只是基于DHCP的扩展option字段，进行认证授权。

portal：

认证设备NAC认证网关（服务器）：安全性低，便捷性高

Portal认证通常又称Web认证，用户上网时，必须在Portal认证页面进行认证，如果未认证成功，仅可以访问特定的网络资源，认证成功后，才可以访问其他网络资源。

Portal认证具有以下优点：

简单方便，客户端不需要安装额外的软件，直接在Web页面上认证。

便于运营，可以在Portal页面上进行业务拓展，如广告推送、企业宣传等。

部署位置灵活，可以在接入层或关键数据的入口作访问控制。

用户管理灵活，可基于用户名与VLAN/IP地址/MAC地址的组合对用户进行认证。
应用场景：运营商、连锁快餐、酒店、学校

MAC认证：一般入网第一次进行认证，后继即放行

认证设备NAC：认证服务器

MAC认证，是指终端网络接入控制设备自动获取终端的MAC地址，作为接入网络的凭证发到RADIUS服务器进行校验。

MAC认证是一种基于接口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件。设备在启动了MAC认证的接口上首次检测到用户的MAC地址以后，即启动对该用户的认证操作。认证过程中，不需要用户手动输入用户名或者密码。

MAC认证的特点：
不需要在终端安装认证客户端。

终端无需输入账号和密码，认证自动进行。

安全性比802.1X和Portal低。

安全性比较低的原因是：因为MAC地址很容易被仿冒。建议只在网络打印机、IP电话应用MAC认证方案，在授权时只开放开展业务所需的网络访问权限。

应用场景：打印机等哑终端

其他认证方式：短信认证

补充：

区分IIS的身份认证方式：

匿名访问：在经过站点时不要求提供用于验证用户身份信息的凭据

集成Windows身份验证：用于发送Kerberos票证，通过网络向用户发送请求验证用户身份信息，可提供较高的安全等级

Windows域服务器的摘要式身份验证：要求用户提供账号和密码，并将此信息以HashaMD5方式或者信息摘要在网络中传播，这样具备一定的安全性，其它用户无法以哈希函数进行破解、

基本身份验证：要求用户提供账号和密码，并以明文方式在网络中进行传播，网络中的其它账户都可以进行拦截，并轻易分析出密码

Micresoft.Net Passport提供了单一的网络安全登录性，对IIS的请求必须在查询字符串或Cookie中包含有效的,Net Passport凭据
————————————————
版权声明：本文为CSDN博主「张朝阳的博客」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/z594934262/article/details/83218690

也可以看我之前写的一篇：

http://t.csdn.cn/qJ6jW

来源地址：https://blog.csdn.net/weixin_69884785/article/details/130770479

免责声明：

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的，并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据，供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

macos 网络服务器

阅读原文内容投诉