入网认证是一个用户接入一个网络后第一个接触的功能,尤其是在无线网络下,现在几乎找不到无需认证即可接入的网络了。

常见的入网认证技术主要有三种:802.1X、MAB、WebAuth,本文将简单介绍这几种技术的实现原理及应用场景。

  • 802.1X

802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。

802.1X是最早用于网络准入认证的协议,至今仍在被普遍使用,也正是因为这个原因,现在常见的网络设备如交换机、无线热点、无线控制器等都默认支持802.1X协议。

802.1X协议最为人诟病的是它的C/S架构,这意味着需要接入网络的终端设备必须可以安装客户端软件才可以进行认证操作,操作繁琐且存在兼容性问题,尤其是在各个厂家都大量采用私有属性的时候,各个厂家的认证系统、客户端、认证设备(交换机、无线设备)全都互不兼容。近几年随着协议的成熟以及客户的压力,802.1X的标准型得到很大的提升,当前主流网络设备厂商都支持采用各类操作系统自带的802.1X客户端进行认证操作,这样就无需安装第三方客户端软件了。

  • 基于802.1X的无感知认证

操作系统自带的客户端软件支持自动检测无线网络、自动连接并自动通过已保存的帐号密码进行认证的功能,从而实现了对于终端用户“无感知”的认证体验。

  • WebAuth

WebAuth也被称为WebPortal认证,其实现过程为:用户认证前无论访问任何地址,都会被重定向到一个指定的页面(称为Portal即门户页面),需要在这个Portal页面上输入帐号密码进行认证,认证通过后方可顺利上网。与802.1X相比,其后台依旧是Radius协议,只是与用户交互的部分由EAPoL变成了Http。

WebAuth的好处显而易见,那就是无需安装任何客户端,换句话说它是一个B/S架构的认证方式。另外一个非常明显的好处在于,WebAuth提供了一个Portal页面与用户交互,那么基于这个认证页面就可以作出很多文章了,这也是为什么现在所有的公共无线网络都采用了WebAuth的认证方式,商家都会通过Portal页面来推送一些广告、通知等,由于这是用户上网的必经之路,所以在这里展示广告的效果非常好。

基于WebAuth还可以衍生出多种认证形式,这些形式只是认证所采用的要素不同,其认证方式本身还是WebAuth,例如采用短信校验码的认证,例如采用关注微信公众号的认证等,这些也都是依据认证提供方希望收集的信息而扩展设计出来的。

  • MAB

MAB即Mac Address Bypass,MAC地址认证。前面提到的802.1X和WebAuth的认证方式,都需要被认证终端输入指定的帐号和密码,但对于一些哑设备来说,这是无法实现的,例如网络打印机、IP电话等,MAB认证方式正是为这些设备的认证而推出的。MAB的认证过程为:一个设备接入网络之中,接入网络设备将获取到该设备的MAC地址,并自行发起校验,后台的Radius服务器会校验系统中是否已预置了该MAC地址,如果已有,则通知接入网络设备放行该终端,若没有,则拒绝该设备的网络接入。

  • 认证序列FlexAuth

上述三种入网认证方式是可以结合使用的,思科称其为FlexAuth即认证序列,高级的认证系统如思科的ISE、锐捷的SMP、SAM都支持这种认证方式,在同一个网络接口上同时配置两种或两种以上的认证方式,并设置优先级,即可达到意想不到的效果,如下面提到的:

  • WebAuth无感知认证

WebAuth无需安装客户端,但每次上网都需要输入帐号密码还是比较繁琐的,对于常规用户(如企业员工),可以通过FlexAuth结合MAB和WebAuth来实现:在同一个接口上配置MAB和WebAuth,MAB的优先级最高,WebAuth次之。首次用户接入时先判断能否通过MAC地址认证通过,如果无法通过即认证系统中无此MAC地址,则弹出Portal页面,让用户通过帐号密码进行认证,如果本次认证通过,则说明该用户合法,同时记录下该用户的MAC地址。第二次及以后该用户接入网络时,依旧优先判断MAC地址合法性,由于该用户已在第一次接入时登记过MAC地址了,所以从第二次以后该用户就MAB了,最终给用户的体验就是一种无感知的认证方式。

以上即为对于三种常见的入网认证技术及其扩展的介绍,希望对大家有用。