Protal認證 和 802.1X

 

802.1X：802.1X協議是一種基於端口的網絡接入控制協議，即在局域網接入設備的端口上對所接入的用戶進行認證，以便接入設備控制用戶對外部網絡資源的訪問。

MAC地址認證：一種基於端口和MAC地址對用戶的網絡訪問權限進行控制的認證方法，在啟動了MAC地址認證的端口上首次檢測到用戶的MAC地址以后，即啟動對該用戶的認證操作。

端口安全：端口安全是一種基於MAC地址對網絡接入進行控制的安全機制，是對已有的802.1X認證和MAC地址認證的擴充。

Protal認證：通常也稱為Web認證，即通過Web頁面接受用戶輸入的用戶名和密碼，對用戶進行認證。

Triole認證：一種允許端口上同時開啟多種接入認證方式的解決方案，它允許在設備的二層端口上同時開啟Portal認證、MAC地址認證和802.1X認證功能，可以選用任意一種方式進行認證來接入網絡。

 

普通用戶終端web portal認證，認證點在bas設備上；公共有線上網終端用802.1x認證，認證點在交換機上；所有移動終端可以在無線場景下使用802.1x認證；對於部分啞終端，使用mac地址做旁路認證。

 

MAC地址認證這種方式不是孤立使用的，一般會和IP地址、端口、賬號口令等進行二元或者三元綁定。比如IP地址+MAC+交換機端口這種綁定方式就廣泛的用於辦公環境下的PC，MAC+賬號（手機短信密碼）廣泛用於一些公共場合（星巴克、麥當勞）的顧客手機無線上網。

 

對於大部分環境來說，MAC地址認證已經是足夠了。不過，MAC地址的確是可以偽造的。要考慮更高的安全系數，還可以考慮：

IP和mac地址綁定。攻擊者需要把IP地址和mac地址都修改才可以繞開認證。
用戶名密碼認證。對上網終端開啟Web Portal認證，要求輸入用戶名密碼才可以使用網絡。

 

============ End