PPPOE、Web+Portal、802.1x三种认证方式一览
portal认证介绍
Portal认证技术认证技术就是AAA(认证,授权,计费)得初始步骤,AAA一般包括用户终端、AAAClient、AAA Server与计费软件四个环节。
用户终端与AAA Client之间得通信方式通常称为"认证方式"。
目前得主要技术有以下三种:PPPoE、Web+Portal、IEEE802、1x。
基于web方式得认证技术最广为人知得一点就是不需要在客户端安装任何拨号与认证软件。
它能够处理高层协议,在网络应用日益复杂得形势下,很多复杂得管理要求已经涉及到高层协议,面对这些要求,基于2、3层得认证技术入PPPoE,802、1x就无能为力。
1.PPPoE通过PPPoE(Point-to-Point Protocol over Ethernet)协议,服务提供商可以在以太网上实现PPP协议得主要功能,包括采用各种灵活得方式管理用户。
PPPoE(Point-to-Point Protocol over Ethernet)协议允许通过一个连接客户得简单以太网桥启动一个PPP对话。
PPPoE得建立需要两个阶段,分别就是搜寻阶段(Discovery stage)与点对点对话阶段(PPP Session stage)。
当一台主机希望启动一个PPPoE对话,它首先必须完成搜寻阶段以确定对端得以太网MAC地址,并建立一个PPPoE得对话号(SESSION_ID)。
在PPP协议定义了一个端对端得关系时,搜寻阶段就是一个客户-服务器得关系。
在搜寻阶段得进程中,主机(客户端)搜寻并发现一个网络设备(服务器端)。
在网络拓扑中,主机能与之通信得可能有不只一个网络设备。
在搜寻阶段,主机可以发现所有得网络设备但只能选择一个。
当搜索阶段顺利完成,主机与网络设备将拥有能够建立PPPoE得所有信息。
搜索阶段将在点对点对话建立之前一直存在。
一旦点对点对话建立,主机与网络设备都必须为点对点对话阶段虚拟接口提供资源(1)PPPoE方式其整个通信过程都必须进行PPPoE封装,效率较低,由于宽带接入服务器要终结大量得PPP会话,将其转换为IP数据包,使宽带接入服务器成为网络性能得“瓶颈”。
PPPoE协议工作原理
PPPoE协议工作原理引言概述:PPPoE(Point-to-Point Protocol over Ethernet)是一种用于在以太网网络上建立点对点连接的协议。
它允许用户通过以太网接入互联网,并提供了认证和数据传输的功能。
本文将详细介绍PPPoE协议的工作原理。
一、PPPoE协议的建立过程1.1 客户端发起PPPoE会话请求:客户端在连接互联网时,会发送一个PPPoE 会话请求报文到PPPoE服务器。
1.2 服务器响应并分配会话ID:PPPoE服务器接收到客户端的请求后,会响应并分配一个唯一的会话ID。
1.3 客户端认证并建立连接:客户端收到服务器响应后,进行认证并建立与服务器之间的连接。
二、PPPoE协议的认证过程2.1 PAP认证方式:PPPoE协议支持PAP(密码认证协议)认证方式,客户端和服务器通过用户名和密码进行认证。
2.2 CHAP认证方式:PPPoE协议也支持CHAP(挑战握手认证协议)认证方式,客户端和服务器之间进行挑战-应答认证。
2.3 802.1x认证方式:PPPoE协议还可以与802.1x认证结合使用,提高网络安全性。
三、PPPoE协议的数据传输过程3.1 数据封装:在建立连接后,客户端和服务器之间的数据通过PPPoE协议进行封装。
3.2 数据传输:封装后的数据通过以太网传输到目的地,保证数据的可靠传输。
3.3 数据解封装:接收端收到数据后,进行解封装操作,将数据还原成原始格式。
四、PPPoE协议的终止过程4.1 客户端发起终止请求:当客户端需要终止与服务器的连接时,会发送一个终止请求报文。
4.2 服务器响应并释放资源:服务器收到终止请求后,会响应并释放与客户端建立的连接资源。
4.3 连接终止:客户端和服务器之间的连接被成功终止,释放占用的网络资源。
五、PPPoE协议的优缺点5.1 优点:PPPoE协议可以在以太网网络上建立点对点连接,提供了认证和数据传输功能,适用于宽带接入等场景。
Portal(WEB)及802.1X认证
2.5
(1)、打开浏览器在地址栏中输入http://172.20.1.1/selfservice登录<用户自助服务平台>,输入用户名、密码及验证码并登录。见图2-17
图2-17
(2)、点击右侧的<修改密码>,输入原密码及新密码并点击<确定>,密码修改成功。见图2-18
图2-18
2.6
登录<用户自助服务平台>,点击右侧的<查询上网明细>可以查看本账户的上网信息。见
点击红色标记区域(如上图)!
然后再对跳出窗口做如下设置!
用同样的方法设置eSafe_monitor、iNode Client、iNodeMon、REVerify!
这五个全为exe结尾的文件即可(没有eSafe_monitor可以不用设置)。
图2-13
注:本机IP地址查询方式
双击计算机系统托盘下的网络连接图标(或在桌面右键点击网络,选中<属性>查看),选择<支持>将会看到自己获取的IP地址、网关;如果要查看DNS等详细信息,可以点击<详细信息>查看。见图2-14和图2-15。
图2-14
图2-15
2.4
选中连接,点击<断开>,就可以断开网络连接;如果要完全退出程序请右键点击系统托盘中的iNode图标 选择<退出>。
图1-1
Portal认证方法:用户名还是原来使用的用户名(教工为身份证号码后10位,学生为学号),密码统一为123456,请各位用户首先按下面的方法修改自己的密码。
(1)、输入用户名和密码后,如果不选择“客户端”方式,直接点击<连接>,在认证成功后将会为您打开一个在线网页窗口。见图1-2:
wifi认证方案
WiFi认证方案引言随着无线网络的快速发展和普及,越来越多的公共场所和企业都提供WiFi网络服务。
然而,为了确保网络访问的安全性和可控性,WiFi认证方案成为了必不可少的一部分。
本文将介绍几种常见的WiFi认证方案,包括预共享密钥(PSK)认证、802.1X认证和Captive Portal(通知门户)认证。
预共享密钥(PSK)认证预共享密钥(PSK)认证是一种简单且常见的WiFi认证方式。
在PSK认证中,无线路由器或接入点将预设一个共享密钥,用户需要输入正确的密钥才能连接WiFi网络。
这种认证方式相对容易部署和管理,适用于小规模网络和家庭网络。
然而,PSK认证的安全性相对较低。
由于所有连接到网络的设备都使用相同的预共享密钥,一旦密钥泄露,任何人都可以访问网络。
因此,对于需要更高安全性的网络,应选择其他更加安全的认证方式。
802.1X认证802.1X认证是一种基于IEEE 802.1X标准的WiFi认证方式。
该标准定义了一种认证框架,允许网络设备通过认证服务器验证用户的身份。
在802.1X认证中,用户需要提供用户名和密码等身份凭证,并且认证服务器会对其进行验证。
只有成功验证的用户才能连接到WiFi网络。
相比于PSK认证,802.1X认证提供了更高的安全性。
每个用户都有独立的身份凭证,且通信过程中使用加密机制进行安全保护。
这种认证方式适用于企业网络和公共场所,可实现精确的用户访问控制和细粒度的权限管理。
Captive Portal认证Captive Portal(通知门户)认证是一种常见的WiFi认证方式,常用于公共场所和商业场所。
在Captive Portal认证中,用户首先通过无线网络连接到一个特定的门户页面,然后需要提供身份信息或进行其他认证操作,才能获得网络访问权限。
Captive Portal通过重定向用户的网络流量到认证页面,实现了对用户的认证和限制。
用户通常需要提供手机号码、邮箱、社交账号等信息,或者支付一定费用,以获得网络访问权限。
802.1X与PPPOE在校园网的对比
PPPoE与802.1X在校园网内的使用对比分析目 录一 部署结构对比 (3)1、 故障与性能风险 (3)2、 认证质量 (3)3、 组网方式 (3)4、 应用流量模型 (4)二 易用性对比 (4)1、 对IPV6的支持 (4)2、 对组播的支持 (5)3、 维护成本 (5)三 应用安全对比 (5)1、 用户账号安全 (5)2、 认证设备的安全 (6)3、 ARP等广播攻击的防护 (6)4、 日志审计 (7)5、 认证安全 (7)四 运营对比 (7)1、 分地区运营 (7)2、 校内资源与校外资源访问的控制 (7)3、 防代理的控制 (8)五 投资对比 (8)六 在校园网使用的风险对比 (9)七 应用案例对比 (9)1、 全国使用BRAS设备的高校 (9)1) 东南大学: (9)2) 中国矿业大学: (10)3) 南京大学: (10)4) 西南大学: (11)5) 西南财经大学: (11)6) 浙江大学: (11)7) 海洋大学宿舍网: (12)2、 使用802.1X认证的高校 (12)八 PPPOE认证测试中遇到问题的高校 (12)1、 南京师范大学 (12)2、 中国矿业大学 (12)九 PPPOE与802.1X认证在校园网应用对比分析总结 (12)一 部署结构对比1、故障与性能风险1)P PPOE(1)PPPOE BRAS为专门的硬件设备,并且由BRAS设备集中进行身份认证与计费,存在单点故障,全网瘫痪故障风险大。
(2)PPPOE BRAS设备采用串行部署模式,所以一方面存在单点故障,另一方面存在性能瓶颈;(3)由于采用硬件的方案实现,所以当用户数超过限制后,只能再买一台,一方面增加成本,另一方面,使得网络出口设计复杂化,增加故障点;(目前重庆大学已经串行了三台网关式设备了)(4)不管旁路还是串行部署,数据转发都是需要经过BRAS的,因此性能瓶颈依然存在。
2)802.1X(1)采用分布式的认证模式,认证设备为接入交换机(目前基本上所有厂商的接入交换机均支持802.1X技术),计费与认证管理为后台软件系统;(2)802.1X的分布式部署模式,可以大大减少认证系统的故障率,如可采用多校区、分布式集群部署;(3)软件模式的认证数量理论上是可以实现无限大的,目前最大规模的一台设备上已经达到并发3万人左右,最大注册用户数达到了9万人左右;2、认证质量1)P PPOE学校用户的认证特点是容易并发认证且并发数量庞大。
三种认证计费系统对比资料
宽带认证计费系统介绍1.1认证的主要方式在宽带接入中,按用户与网络设备之间的通信方式,可将认证分为以下三种:●PPPOE(包括PPPOA、PPTP等)●Portal认证●802.1x认证由于以上几种方式各有各的优缺点、在实际的使用场合业有很大的区别,以下将逐个介绍这三种认证计费系统。
1.1.1 PPPOE计费认证近年来,网络数据业务发展迅速,宽带用户呈爆炸式的增长,运营商在采用xDSL,LAN,HFC,无线等多种接入方式的同时,为了构建一个可运营、可管理、可盈利的宽带网络,十分关心如何有效地完成用户的管理,PPPoE就是随之出现的多种认证技术中的一种。
✧PPPoE (PPP over Ethernet) 的工作原理现代访问技术面临几个相互矛盾的目标:既要求通过一个远程客户端实现多用户的连接,又要求提供类似于PPP的访问控制和计费。
PPPOE解决了这个矛盾。
通过他每个用户都可以有其自己的PPP stack、Access Control、Billing、Type of Service。
它是在以太网上建立PPP连接,由于以太网技术十分成熟且使用广泛,而PPP协议在传统的拨号上网应用中显示出良好的可扩展性和优质的管理控制机制,二者结合而成的PPPoE协议得到了宽带接入运营商的认可并广为采用。
PPPoE建立过程可以分为Discovery阶段和PPP会话阶段。
Discovery阶段是一个无状态的阶段,该阶段主要是选择接入服务器,确定所要建立的PPP会话标识符Session ID,同时获得对方点到点的连接信息;PPP会话阶段执行标准的PPP过程。
一个典型的Discovery阶段包括以下4个步骤:(1)主机首先主动发送广播包PADI寻找接入服务器,PADI必须至少包含一个服务名称类型的TAG,以表明主机所要求提供的服务。
(2)接入服务器收到包后如果可以提供主机要求0 1 2 3 4 5 6 78 9 0 1 2 3 4 56 7 8 9 0 1 2 34 5 6 7 8 9 0 1以太网类=0x8863/8864版本(Ver)类型(Type)编码(CODE)会话ID(Session ID)长度(Length)净荷(Payload)(3)主机在回应PADO的接入服务器中选择一个合适的,并发送PADR告知接入服务器,PADR中必须声明向接入服务器请求的服务种类。
浅析无线局域网多种认证方式及应用
浅析无线局域网多种认证方式及应用作者:李庚君来源:《中国新通信》 2017年第20期李庚君【摘要】无线局域网接入是目前移动终端高性价比的接入方式,网络设计者须采用强大的认证和访问控制机制,确保网络安全、可靠地运行。
本文将介绍无线局域网的三种认证方式,并对此进行分析、列举认证方式的选用办法。
【关键字】无线局域网 MAC 地址 802.11 Portal 认证目前无线网络接入有移动网接入和无线局域网(WLAN)接入两种方式。
无线局域网接入具有带宽大、使用成本低廉等优点,现在很多城市在重要场所开始修建和覆盖无线局域网。
本文将介绍无线局域网现有的认证方式,并对此进行分析、阐明优缺点,最后列举认证方式的选用方法。
一、三种认证方式的实现原理1.1 基于 MAC 地址的认证每一个网卡在出厂时都会设置一个全球唯一的 MAC 地址,该地址作为数据链路层的通讯地址使用。
因此可以通过在认证设备中设置 MAC 地址访问控制列表的方法,限制特定硬件设备允许或拒绝接入网络。
1.2 802.11 协议认证802.11 无线局域网协议规定了无线局域网连接过程:首先无线接入点AP发送带有服务集标识(SSID)的广播管理帧,客户端然后与该 AP 通过探测帧进行协商。
接下来双方使用认证帧进行身份认证,如果身份验证通过,双方最后使用关联帧相互确认。
建立正式连接后,客户端即可数据传输。
在整个验证过程中,密码起到至关重要的作用。
802.11组织对密码的加密算法有过 2 次重大革新,先后出现了WEP、WPA、WPA2 三种加密方式。
1.3 Portal 认证方式该模式下,用户一般连接到网络时不进行任何认证,当用户需要真正数据访问时,设备会自动弹出网页要求用户输入相关验证项目(通常是用户名和密码),只有认证成功后才可以真正上网通信。
此架构中须有一个宽带接入服务器 BAS,负责对用户身份进行验证。
终端连接到网络后,BAS 为该用户构造对应表项信息,添加用户 ACL 服务策略,并将用户访问其它地址的请求强制重定向到强制 Web 认证服务器进行访问。
宽带网认证技术比较
宽带网认证技术比较当前在宽带网中使用的主要认证技术包括三类,即PPPoE技术、802.1X技术和DHCP+WEB技术。
PPPoE(RFC2516)技术采用以太网报文封装PPP报文,由于IP包和PPP 报文不兼容,必须有专门的设备终结PPP报文并转换成IP报文,这种设备就是宽带接入服务器。
用户和宽带接入服务器之间采用以太网封装PPP报文,其通信过程包括两个阶段,即发现阶段和会话阶段。
因此PPPoE方式其整个通信过程都必须进行PPPoE的封装,效率较低,随着用户数量的大量增加对BRAS设备的性能要求呈指数上升。
802.1X技术是基于端口(包括物理端口和逻辑端口如MAC地址、VLAN等)的认证技术,其认证阶段采用EAP(RFC2284)报文,EAP报文是PPP报文的扩展,其认证阶段与PPPoE方式类似。
其认证过程为:用户通过802.1X客户端软件发起认证(EAPoL报文)->交换机终结EAPoA报文并向认证服务器转发EAP 报文->认证通过->DHCP服务器分配IP地址->受控端口打开->正常通信。
由此可以看出,802.1X认证仅仅在认证阶段进行EAP封装,通信过程中采用TCP/IP协议。
DHCP+WEB方式各设备厂商具体实现并不完全一致,但其认证过程可以归纳为:用户开机并通过DHCP服务器分配认证IP地址->局端设备通过对该IP 地址进行强制URL访问到登陆页面->用户输入用户帐号信息并发往认证服务器->认证服务器反馈认证成功信息->局端设备将用户VLAN、用户端口、用户IP地址和MAC地址进行可选择性的绑定并开放用户的上网功能。
这种方式认证和业务流也实现了分离,并可以方面地利用WEB服务器推出PORTAL和广告等增值业务,对用户进行业务宣传及业务引导。
方式,该方式也决定了其对组播支持能力较强(只要局端设备支持),这两种方式的带宽利用率均较高,同时可以避免城域网汇聚层同时作为BRAS使用。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
PPPOE、Web+Portal、802.1x三种认证方式一览
认证技术是AAA(认证,授权,计费)的初始步骤,AAA一般包括用户终端、AAAClient、AAA Server和计费软件四个环节。
用户终端与AAA Client之间的通信方式通常称为"认证方式"。
目前的主要技术有以下三种:PPPoE、Web+Portal、IEEE802.1x。
三种方式有其产生的背景原因和技术特点,以下对这三种主要认证技术作一个简要的分析:
技术分析
1.PPPOE
1998年后期问世的以太网上点对点协议(PPP over Ethernet)技术是由Redback 网络公司、客户端软件开发商RouterWare公司以及Worldcom子公司UUNET Technologies公司在IETF RFC制的基础上联合开发的。
主要目的是把最经济的局域网技术、以太网和点对点协议的可扩展性及管理控制功能结合在一起。
它使服务提供商在通过数字用户线、电缆调制解调器或无线连接等方式,提供支持多用户的宽带接入服务时更加简便易行。
通过PPPoE(Point-to-Point Protocol over Ethernet)协议,服务提供商可以在以太网上实现PPP协议的主要功能,包括采用各种灵活的方式管理用户。
PPPoE(Point-to-Point Protocol over Ethernet)协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。
PPPoE的建立需要两个阶段,分别是搜寻阶段(Discovery stage)和点对点对话阶段(PPP Session stage)。
当一台主机希望启动一个PPPoE对话,它首先必须完成搜寻阶段以确定对端的以太网MAC地址,并建立一个PPPoE的对话号(SESSION_ID)。
在PPP协议定义了一个端对端的关系时,搜寻阶段是一个客户-服务器的关系。
在搜寻阶段的进程中,主机(客户端)搜寻并发现一个网络设备(服务器端)。
在网络拓扑中,主机能与之通信的可能有不只一个网络设备。
在搜寻阶段,主机可以发现所有的网络设备但只能选择一个。
当搜索阶段顺利完成,主机和网络设备将拥有能够建立PPPoE的所有信息。
搜索阶段将在点对点对话建立之前一直存在。
一旦点对点对话建立,主机和网络设备都必须为点对点对话阶段虚拟接口提供资源。
优点:
是传统PSTN窄带拨号接入技术在以太网接入技术的延伸
∙和原有窄带网络用户接入认证体系一致
∙最终用户相对比较容易接收
缺点:
∙PPP协议和Ethernet技术本质上存在差异,PPP协议需要被再次封装到以太帧中,所以封装效率很低
∙PPPoE在发现阶段会产生大量的广播流量,对网络性能产生很大的影响
∙组播业务开展困难,而视频业务大部分是基于组播的
∙需要运营商提供客户终端软件,维护工作量过大
∙PPPoE认证一般需要外置BAS,认证完成后,业务数据流也必须经过BAS设备,容易造成单点瓶颈和故障,而且该设备通常非常昂贵。
2.Web+ Portal
Portal认证的基本过程是:客户机首先通过DHCP协议获取到IP地址(也可以使用静态IP地址),但是客户使用获取到的IP地址并不能登上Internet,在认证通过前只能访问特定的IP地址,这个地址通常是PORTAL服务器的IP地址。
采用Portal认证的接入设备必须具备这个能力。
一般通过修改接入设备的访问控制表(ACL)可以做到。
用户登录到Portal Server后,可以浏览上面的内容,比如广告、新闻等免费信息,同时用户还可以在网页上输入用户名和密码,它们会被WEB客户端应用程序传给Portal Server,再由Portal Server与NAS之间交互来实现用户的认证。
Portal Server在获得用户的用户名和密码外,还会得到用户的IP地址,以它为索引来标识用户。
然后Portal Server 与NAS之间用Portal协议直接通信,而NAS又与RADIUS 服务器直接通信完成用户的认证和上线过程。
因为安全问题,通常支持安全性较强的CHAP
式认证
优点:
∙不需要特殊的客户端软件,降低网络维护工作量
∙l可以提供Portal等业务认证
缺点:
∙WEB承载在7层协议上,对于设备的要求较高,建网成本高;
∙用户连接性差,不容易检测用户离线,基于时间的计费较难实现;
∙易用性不够好,用户在访问网络前,不管是TELNET、FTP还是其它业务,必须使用浏览器进行WEB认证;
∙IP地址的分配在用户认证前,如果用户不是上网用户,则会造成地址的浪费,而且不便于多ISP的支持。
∙认证前后业务流和数据流无法区分
3.802.1x
优点:
∙802.1x协议为二层协议,不需要到达三层,而且接入层交换机无需支持802.1q 的VLAN,对设备的整体性能要求不高,可以有效降低建网成本。
∙通过组播实现,解决其他认证协议广播问题,对组播业务的支持性好。
业务报文直接承载在正常的二层报文上;用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有特殊要求
缺点:
∙需要特定客户端软件
∙网络现有楼道交换机的问题:由于802.1x是比较新的二层协议,要求楼道交换机支持认证报文透传或完成认证过程,因此在全面采用该协议的过程中,存在
对已经在网上的用户交换机的升级处理问题;
∙IP地址分配和网络安全问题:802.1x协议是一个2层协议,只负责完成对用户端口的认证控制,对于完成端口认证后,用户进入三层IP网络后,需要继续
解决用户IP地址分配、三层网络安全等问题,因此,单靠以太网交换机+
802.1x,无法全面解决城域网以太接入的可运营、可管理以及接入安全性等方
面的问题;
∙计费问题:802.1x协议可以根据用户完成认证和离线间的时间进行时长计费,不能对流量进行统计,因此无法开展基于流量的计费或满足用户永远在线的要
求。
三种认证技术比较。