2018-05-14    

認(rèn)證技術(shù)是AAA（認(rèn)證，授權(quán)，計(jì)費(fèi)）的初始步驟，AAA一般包括用戶終端、AAAClient、AAA Server和計(jì)費(fèi)軟件四個(gè)環(huán)節(jié)。用戶終端與AAA Client之間的通信方式通常稱為"認(rèn)證方式"。目前的主要技術(shù)有以下三種：PPPoE、Web＋Portal、IEEE802.1x。三種方式有其產(chǎn)生的背景原因和技術(shù)特點(diǎn)，以下對(duì)這三種主要認(rèn)證技術(shù)作一個(gè)簡(jiǎn)要的分析：
1．PPPOE
1998年后期問世的以太網(wǎng)上點(diǎn)對(duì)點(diǎn)協(xié)議（PPP over Ethernet）技術(shù)是由Redback 網(wǎng)絡(luò)公司、客戶端軟件開發(fā)商RouterWare公司以及Worldcom子公司UUNET Technologies公司在IETF RFC制的基礎(chǔ)上聯(lián)合開發(fā)的。主要目的是把最經(jīng)濟(jì)的局域網(wǎng)技術(shù)、以太網(wǎng)和點(diǎn)對(duì)點(diǎn)協(xié)議的可擴(kuò)展性及管理控制功能結(jié)合在一起。它使服務(wù)提供商在通過數(shù)字用戶線、電纜調(diào)制解調(diào)器或無線連接等方式，提供支持多用戶的寬帶接入服務(wù)時(shí)更加簡(jiǎn)便易行。
通過PPPoE（Point-to-Point Protocol over Ethernet）協(xié)議，服務(wù)提供商可以在以太網(wǎng)上實(shí)現(xiàn)PPP協(xié)議的主要功能，包括采用各種靈活的方式管理用戶。
PPPoE（Point-to-Point Protocol over Ethernet）協(xié)議允許通過一個(gè)連接客戶的簡(jiǎn)單以太網(wǎng)橋啟動(dòng)一個(gè)PPP對(duì)話。
PPPoE的建立需要兩個(gè)階段，分別是搜尋階段（Discovery stage）和點(diǎn)對(duì)點(diǎn)對(duì)話階段（PPP Session stage）。當(dāng)一臺(tái)主機(jī)希望啟動(dòng)一個(gè)PPPoE對(duì)話，它首先必須完成搜尋階段以確定對(duì)端的以太網(wǎng)MAC地址，并建立一個(gè)PPPoE的對(duì)話號(hào)（SESSION_ID）。
在PPP協(xié)議定義了一個(gè)端對(duì)端的關(guān)系時(shí)，搜尋階段是一個(gè)客戶-服務(wù)器的關(guān)系。在搜尋階段的進(jìn)程中，主機(jī)（客戶端）搜尋并發(fā)現(xiàn)一個(gè)網(wǎng)絡(luò)設(shè)備（服務(wù)器端）。在網(wǎng)絡(luò)拓?fù)渲校鳈C(jī)能與之通信的可能有不只一個(gè)網(wǎng)絡(luò)設(shè)備。在搜尋階段，主機(jī)可以發(fā)現(xiàn)所有的網(wǎng)絡(luò)設(shè)備但只能選擇一個(gè)。當(dāng)搜索階段順利完成，主機(jī)和網(wǎng)絡(luò)設(shè)備將擁有能夠建立PPPoE的所有信息。
搜索階段將在點(diǎn)對(duì)點(diǎn)對(duì)話建立之前一直存在。一旦點(diǎn)對(duì)點(diǎn)對(duì)話建立，主機(jī)和網(wǎng)絡(luò)設(shè)備都必須為點(diǎn)對(duì)點(diǎn)對(duì)話階段虛擬接口提供資源。
優(yōu)點(diǎn)：
*是傳統(tǒng)PSTN窄帶撥號(hào)接入技術(shù)在以太網(wǎng)接入技術(shù)的延伸
*和原有窄帶網(wǎng)絡(luò)用戶接入認(rèn)證體系一致
*最終用戶相對(duì)比較容易接收
缺點(diǎn)：
*PPP協(xié)議和Ethernet技術(shù)本質(zhì)上存在差異，PPP協(xié)議需要被再次封裝到以太幀中，所以封裝效率很低
*PPPoE在發(fā)現(xiàn)階段會(huì)產(chǎn)生大量的廣播流量，對(duì)網(wǎng)絡(luò)性能產(chǎn)生很大的影響
*組播業(yè)務(wù)開展困難，而視頻業(yè)務(wù)大部分是基于組播的
*需要運(yùn)營(yíng)商提供客戶終端軟件，維護(hù)工作量過大
*PPPoE認(rèn)證一般需要外置BAS，認(rèn)證完成后，業(yè)務(wù)數(shù)據(jù)流也必須經(jīng)過BAS設(shè)備，容易造成單點(diǎn)瓶頸和故障，而且該設(shè)備通常非常昂貴。
2．Web+ Portal
Portal認(rèn)證的基本過程是：客戶機(jī)首先通過DHCP協(xié)議獲取到IP地址（也可以使用靜態(tài)IP地址），但是客戶使用獲取到的IP地址并不能登上Internet，在認(rèn)證通過前只能訪問特定的IP地址，這個(gè)地址通常是PORTAL服務(wù)器的IP地址。采用Portal認(rèn)證的接入設(shè)備必須具備這個(gè)能力。一般通過修改接入設(shè)備的訪問控制表（ACL）可以做到。
用戶登錄到Portal Server后，可以瀏覽上面的內(nèi)容，比如廣告、新聞等免費(fèi)信息，同時(shí)用戶還可以在網(wǎng)頁上輸入用戶名和密碼，它們會(huì)被WEB客戶端應(yīng)用程序傳給 Portal Server，再由Portal Server與NAS之間交互來實(shí)現(xiàn)用戶的認(rèn)證。
Portal Server在獲得用戶的用戶名和密碼外，還會(huì)得到用戶的IP地址，以它為索引來標(biāo)識(shí)用戶。然后Portal Server 與NAS之間用Portal協(xié)議直接通信，而NAS又與RADIUS 服務(wù)器直接通信完成用戶的認(rèn)證和上線過程。因?yàn)榘踩珕栴}，通常支持安全性較強(qiáng)的CHAP式認(rèn)證。
優(yōu)點(diǎn)：
*不需要特殊的客戶端軟件，降低網(wǎng)絡(luò)維護(hù)工作量
*l可以提供Portal等業(yè)務(wù)認(rèn)證
缺點(diǎn)：
*WEB承載在7層協(xié)議上，對(duì)于設(shè)備的要求較高，建網(wǎng)成本高；
*用戶連接性差，不容易檢測(cè)用戶離線，基于時(shí)間的計(jì)費(fèi)較難實(shí)現(xiàn)；
*易用性不夠好，用戶在訪問網(wǎng)絡(luò)前，不管是 TELNET、FTP還是其它業(yè)務(wù)，必須使用瀏覽器進(jìn)行WEB認(rèn)證；
* IP地址的分配在用戶認(rèn)證前，如果用戶不是上網(wǎng)用戶，則會(huì)造成地址的浪費(fèi)，而且不便于多ISP的支持。
*認(rèn)證前后業(yè)務(wù)流和數(shù)據(jù)流無法區(qū)分
3．802.1x
優(yōu)點(diǎn)：
*802.1x協(xié)議為二層協(xié)議，不需要到達(dá)三層，而且接入層交換機(jī)無需支持802.1q的VLAN，對(duì)設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本。
*通過組播實(shí)現(xiàn)，解決其他認(rèn)證協(xié)議廣播問題，對(duì)組播業(yè)務(wù)的支持性好。業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上；用戶通過認(rèn)證后，業(yè)務(wù)流和認(rèn)證流實(shí)現(xiàn)分離，對(duì)后續(xù)的數(shù)據(jù)包處理沒有特殊要求
缺點(diǎn)：
*需要特定客戶端軟件
*網(wǎng)絡(luò)現(xiàn)有樓道交換機(jī)的問題：由于802.1x是比較新的二層協(xié)議，要求樓道交換機(jī)支持認(rèn)證報(bào)文透?jìng)骰蛲瓿烧J(rèn)證過程，因此在全面采用該協(xié)議的過程中，存在對(duì)已經(jīng)在網(wǎng)上的用戶交換機(jī)的升級(jí)處理問題；
*IP地址分配和網(wǎng)絡(luò)安全問題：802.1x協(xié)議是一個(gè)2層協(xié)議，只負(fù)責(zé)完成對(duì)用戶端口的認(rèn)證控制，對(duì)于完成端口認(rèn)證后，用戶進(jìn)入三層IP網(wǎng)絡(luò)后，需要繼續(xù)解決用戶IP地址分配、三層網(wǎng)絡(luò)安全等問題，因此，單靠以太網(wǎng)交換機(jī)＋802.1x，無法全面解決城域網(wǎng)以太接入的可運(yùn)營(yíng)、可管理以及接入安全性等方面的問題；
*計(jì)費(fèi)問題：802.1x協(xié)議可以根據(jù)用戶完成認(rèn)證和離線間的時(shí)間進(jìn)行時(shí)長(zhǎng)計(jì)費(fèi)，不能對(duì)流量進(jìn)行統(tǒng)計(jì)，因此無法開展基于流量的計(jì)費(fèi)或滿足用戶永遠(yuǎn)在線的要求。