1. <strong id="vlfkl"></strong>

        <span id="vlfkl"><sup id="vlfkl"></sup></span>
          <optgroup id="vlfkl"></optgroup>
        1. <span id="vlfkl"><sup id="vlfkl"><nav id="vlfkl"></nav></sup></span><optgroup id="vlfkl"><em id="vlfkl"><del id="vlfkl"></del></em></optgroup>
        2. <acronym id="vlfkl"></acronym>
          <legend id="vlfkl"><i id="vlfkl"></i></legend>
        3. 武漢三和光電子技術有限公司 _日本一级特黄大片刺激
          當前位置: 首頁 >> 文檔中心 >> 技術文摘 >> 正文
          文檔中心
          技術文摘
          PPPOE、Web+Portal、802.1x常見三種認證方式對比
          作者:    發布時間:2018-05-14    來源:    
          認證技術是AAA(認證,授權,計費)的初始步驟,AAA一般包括用戶終端、AAAClient、AAA Server和計費軟件四個環節。用戶終端與AAA Client之間的通信方式通常稱為"認證方式"。目前的主要技術有以下三種:PPPoE、Web+Portal、IEEE802.1x。三種方式有其產生的背景原因和技術特點,以下對這三種主要認證技術作一個簡要的分析:
          1.PPPOE
          1998年后期問世的以太網上點對點協議(PPP over Ethernet)技術是由Redback 網絡公司、客戶端軟件開發商RouterWare公司以及Worldcom子公司UUNET Technologies公司在IETF RFC制的基礎上聯合開發的。主要目的是把最經濟的局域網技術、以太網和點對點協議的可擴展性及管理控制功能結合在一起。它使服務提供商在通過數字用戶線、電纜調制解調器或無線連接等方式,提供支持多用戶的寬帶接入服務時更加簡便易行。
          通過PPPoE(Point-to-Point Protocol over Ethernet)協議,服務提供商可以在以太網上實現PPP協議的主要功能,包括采用各種靈活的方式管理用戶。
          PPPoE(Point-to-Point Protocol over Ethernet)協議允許通過一個連接客戶的簡單以太網橋啟動一個PPP對話。
          PPPoE的建立需要兩個階段,分別是搜尋階段(Discovery stage)和點對點對話階段(PPP Session stage)。當一臺主機希望啟動一個PPPoE對話,它首先必須完成搜尋階段以確定對端的以太網MAC地址,并建立一個PPPoE的對話號(SESSION_ID)。
          在PPP協議定義了一個端對端的關系時,搜尋階段是一個客戶-服務器的關系。在搜尋階段的進程中,主機(客戶端)搜尋并發現一個網絡設備(服務器端)。在網絡拓撲中,主機能與之通信的可能有不只一個網絡設備。在搜尋階段,主機可以發現所有的網絡設備但只能選擇一個。當搜索階段順利完成,主機和網絡設備將擁有能夠建立PPPoE的所有信息。
          搜索階段將在點對點對話建立之前一直存在。一旦點對點對話建立,主機和網絡設備都必須為點對點對話階段虛擬接口提供資源。
          優點:
          *是傳統PSTN窄帶撥號接入技術在以太網接入技術的延伸
          *和原有窄帶網絡用戶接入認證體系一致
          *最終用戶相對比較容易接收
          缺點:
          *PPP協議和Ethernet技術本質上存在差異,PPP協議需要被再次封裝到以太幀中,所以封裝效率很低
          *PPPoE在發現階段會產生大量的廣播流量,對網絡性能產生很大的影響
          *組播業務開展困難,而視頻業務大部分是基于組播的
          *需要運營商提供客戶終端軟件,維護工作量過大
          *PPPoE認證一般需要外置BAS,認證完成后,業務數據流也必須經過BAS設備,容易造成單點瓶頸和故障,而且該設備通常非常昂貴。
          2.Web+ Portal
          Portal認證的基本過程是:客戶機首先通過DHCP協議獲取到IP地址(也可以使用靜態IP地址),但是客戶使用獲取到的IP地址并不能登上Internet,在認證通過前只能訪問特定的IP地址,這個地址通常是PORTAL服務器的IP地址。采用Portal認證的接入設備必須具備這個能力。一般通過修改接入設備的訪問控制表(ACL)可以做到。
          用戶登錄到Portal Server后,可以瀏覽上面的內容,比如廣告、新聞等免費信息,同時用戶還可以在網頁上輸入用戶名和密碼,它們會被WEB客戶端應用程序傳給 Portal Server,再由Portal Server與NAS之間交互來實現用戶的認證。
          Portal Server在獲得用戶的用戶名和密碼外,還會得到用戶的IP地址,以它為索引來標識用戶。然后Portal Server 與NAS之間用Portal協議直接通信,而NAS又與RADIUS 服務器直接通信完成用戶的認證和上線過程。因為安全問題,通常支持安全性較強的CHAP式認證。
          優點:
          *不需要特殊的客戶端軟件,降低網絡維護工作量
          *l可以提供Portal等業務認證
          缺點:
          *WEB承載在7層協議上,對于設備的要求較高,建網成本高;
          *用戶連接性差,不容易檢測用戶離線,基于時間的計費較難實現;
          *易用性不夠好,用戶在訪問網絡前,不管是 TELNET、FTP還是其它業務,必須使用瀏覽器進行WEB認證;
          * IP地址的分配在用戶認證前,如果用戶不是上網用戶,則會造成地址的浪費,而且不便于多ISP的支持。
          *認證前后業務流和數據流無法區分
          3.802.1x
          優點:
          *802.1x協議為二層協議,不需要到達三層,而且接入層交換機無需支持802.1q的VLAN,對設備的整體性能要求不高,可以有效降低建網成本。
          *通過組播實現,解決其他認證協議廣播問題,對組播業務的支持性好。業務報文直接承載在正常的二層報文上;用戶通過認證后,業務流和認證流實現分離,對后續的數據包處理沒有特殊要求
          缺點:
          *需要特定客戶端軟件
          *網絡現有樓道交換機的問題:由于802.1x是比較新的二層協議,要求樓道交換機支持認證報文透傳或完成認證過程,因此在全面采用該協議的過程中,存在對已經在網上的用戶交換機的升級處理問題;
          *IP地址分配和網絡安全問題:802.1x協議是一個2層協議,只負責完成對用戶端口的認證控制,對于完成端口認證后,用戶進入三層IP網絡后,需要繼續解決用戶IP地址分配、三層網絡安全等問題,因此,單靠以太網交換機+802.1x,無法全面解決城域網以太接入的可運營、可管理以及接入安全性等方面的問題;
          *計費問題:802.1x協議可以根據用戶完成認證和離線間的時間進行時長計費,不能對流量進行統計,因此無法開展基于流量的計費或滿足用戶永遠在線的要求。