我还清楚的记得,2006年刚进公司的时候,学习产品、技术,有一道经典的考题,为什么802.1X强于PPPoE和BAS认证的方式,我还记得当时那2个经典的理由:

1,802.1X是将安全做到边缘,用户可以实现入网即安全,而BAS是高高在上的,用户无需认证即可访问到同一网关下的其他用户,可控性差,常常造成未认证之前的各种***。

2,BAS是集中式认证,对于用户数量庞大的网络,例如高校宿舍网,集中式设备的性能瓶颈明显,不适合上万用户规模的部署,而802.1X将认证的性能压力分布在各个接入交换机上,性能好。

一转眼6年时间过去了,技术的发展打破了很多禁锢,把我们带入一个集中认证的时代,在这个时代,用户的需求和厂商的技术发生了很大的变化,以高校用户为例:

1,局域网内横向流量几乎为零。所谓横向流量,也叫东西流量(左西右东嘛),是指用户在局域网内部的流量,在2006年之前,横向流量在高校中是非常普遍的,FTP分享、局域网游戏(如CS等)还是那时的普遍应用,因为互联网带宽小嘛,所以大家还是习惯于在局域网里面玩耍;现在则不同了,FTP分享被丰富的视频网站所取代,而局域网游戏则被大量的网游所取代,加上web 2.0时代的各种SNS应用,使得原本丰富的东西流量变得几乎为零了,而整个网络中充满着纵向流量(南北流量),大家都在纷纷的往互联网上跑,当然,我们的出口也大了,带宽也高了。某知名高校的网络中心曾做过实验,将宿舍上网的网关从楼栋汇聚改到核心上,两周之后来看数据,发现流量几乎没什么变化,足见横向的访问基本已经消失了。

2,高校网络中心对于庞大的设备维护工作量不堪重负。10000个学生,就意味着数百台接入交换机,算上楼层汇聚,基本一个高校上千台接入交换机是很正常的,而一个高校网络中心最多也就是20多人,负责网络设备维护的不超过10个人,这庞大的维护工作量还真是让人头疼,更可怕的是,如果将安全、管理、认证、计费这些高级功能都实现在接入设备上(即经典的802.1X实现方式),那无疑会进一步增加这些设备的维护量,搞过网络设备维护的人都知道,功能开的越复杂,出问题的可能性就越大,出现配置调整的时候的工作量也就越大。于是高校网络中心的用户都开始渴求着能够将这分布在数十栋楼宇中的高级功能回收到网络中心的机房中。

3,传统BAS设备的性能大幅提升。相比于2006年以前,BAS设备的性能有了天翻地覆的变化,而价格也降到了比较合理的程度。现在主流厂商的BAS设备承载个10000多在线用户是完全可以做到的,而用户付出的成本也可以接受。

基于以上三点,我们看到近几年来越来越多的用户开始转向采用BAS设备和PPPoE协议来搭建自己的认证计费体系,正向那句古话说的“三十年河东,三十年河西”,当BAS解决了性能问题,当最终用户的流量模型发生了变化,当降低运维管理工作强度的需求强于终端安全的需求的时候,集中式的认证管理成为高校用户的一个更好的选择,而厂商此时应快速跟进用户的这种需求变化,推出更适合的产品。