pppoe、webportaldot1x认证对比
1.PPPOE
PPPoE(Point-to-Point Protocol over Ethernet)协议,充分结合ethernet 和ppp协议的特点,一个是可拓展性好、一个灵活的用户管理方式。如此,服务提供商在提供宽带业务服务的时候,就更加简易便捷,可以选择数字用户线、电缆调制解调器、无线连接。
通过PPPoE(Point-to-Point Protocol over Ethernet)协议,服务提供商可以在以太网上实现PPP协议的主要功能,包括采用各种灵活的方式管理用户。
PPPoE的建立需要两个阶段,分别是发现阶段(Discovery stage)和点对点对话阶段(PPP Session stage)。当一台主机希望启动一个PPPoE对话,它首先必须完成发现阶段以确定BAS(接入服务端)的以太网MAC地址,并建立一个PPPoE的对话号(SESSION_ID)。
在PPP协议定义了一个端对端的关系时,发现阶段是一个客户-服务器的关系。在发现阶段的进程中,主机(客户端)发现一个BAS(接入服务器端)。BAS终结主机的PPPOE进程。(DSLM设备主要做为ADSL的汇聚,用于终结ATM进程)。在发现阶段,主机可以发现多于一个以上的BAS设备,但只能选择一个。当发现阶段顺利完成,主机和BAS将拥有能够建立PPPoE的所有信息。在发现阶段主要有这些报文 PADI、PADO、PADR、PADS报文。
在PPP协议中,PPP会话阶段,就是标准的PPP协议会话过程,包括LCP、认证、NCP三个过程。
优点:
· 是传统PSTN窄带拨号接入技术在以太网接入技术的延伸
· 和原有窄带网络用户接入认证体系一致
· 最终用户相对比较容易接收
缺点:
· PPP协议和Ethernet技术本质上存在差异,PPP协议需要被再次封装到以太帧中,所以封装效率很低
· PPPoE在发现阶段会产生大量的广播流量,对网络性能产生很大的影响,所以PPPOE与VLAN结合效果和不错
· 组播业务开展困难,而视频业务大部分是基于组播的
· PPPoE认证一般需要外置BAS,BAS需要较高的性能,容易出现单点故障。
2.Web + Portal
Portal认证的基本过程是:用户端首先通过DHCP协议获取到IP地址(也可以使用静态IP地址),但是用户使用获取到的IP地址并不能登上 Internet,在认证通过前只能访问特定的IP地址,这个地址通常是PORTAL服务器的IP地址。提供Portal认证的BAS设备必须具备这个能力。一般通过BAS设备的ACL来实现。
用户打开IE后,强制跳转到指定的认证WEB页面,网页提供用户输入用户名和密码,同时可以有广告、新闻等免费信息。用户输入的用户名、密码会被WEB客户端应用程序传给Portal Server,再由Portal Server将这些信息传递给BAS,由BAS传递给Radius server进行认证。 因为安全问题,通常支持安全性较强的CHAP式认证
优点:
· 不需要特殊的客户端软件,降低网络维护工作量
· 可以提供Portal等业务认证
缺点:
· WEB承载在7层协议上,对于设备的要求较高,建网成本高;
· 用户连接性差,不容易检测用户离线,基于时间的计费较难实现;
· 易用性不够好,用户在访问网络前,不管是 TELNET、FTP还是其它业务,必须使用浏览器进行WEB认证;
· IP地址的分配在用户认证前,如果用户不是上网用户,则会造成地址的浪费,而且不便于多ISP的支持;
· 认证前后业务流和数据流无法区分;
3.802.1x协议
802.1x是一种client/server 模式的访问控制和认证协议,主要的应用环境是局域网的接入控制、身份认证,往往做为校园网、WLAN的接入控制手段。802.1x是基于端口的访问控制机制。用户或设备在认证前,交换机端口处于受控状态,此时只允许EAPOL协议(扩展局域网认证协议)通讯数据通过;认证通过后,端口处于非受控状态,此时用户的所有网络通讯数据都可以通过。802.1x实际上为每个用户建立一个逻辑的链路,端口的逻辑状态是只对该用户有效,不同用户的端口逻辑状态不相互影响。802 .1x认证过程就是EAPOL协议交互。
优点:
· 802.1x协议为二层协议,不需要到达三层,而且接入层交换机无需支持802.1q的VLAN,对设备的整体性能要求不高,可以有效降低建网成本。
· 通过组播实现,解决其他认证协议广播问题,对组播业务的支持性好。业务报文直接承载在正常的二层报文上;用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有特殊要求。
缺点:
· 需要特定客户端软件
· 网络现有楼道交换机的问题:由于802.1x是比较新的二层协议,要求楼道交换机支持认证报文透传或完成认证过程,因此在全面采用该协议的过程中,存在对已经在网上的用户交换机的升级处理问题;
· IP地址分配和网络安全问题:802.1x协议是一个2层协议,只负责完成对用户端口的认证控制,对于完成端口认证后,用户进入三层IP网络后,需要继续解决用户IP地址分配、三层网络安全等问题,因此,单靠以太网交换机+802.1x,无法全面解决城域网以太接入的可运营、可管理以及接入安全性等方面的问题;
· 计费问题:802.1x协议可以根据用户完成认证和离线间的时间进行时长计费,不能对流量进行统计,因此无法开展基于流量的计费,不能对流量进行统计,因此无法开展基于流量的计费或满足用户永远在线的要求。
三种认证技术比较
| 认证方式 | WEB/PORTAL | PPPOE | 802.1x |
| 标准程度 | 厂家私有 | RFC2516 | IEEE标准 |
| 封装开销 | 小 | 较大 | 小 |
| 接入控制方式 | 设备端口 | 用户 | 用户 |
| IP地址 | 认证前分配 | 认证后分配 | 认证前后都可以 |
| 多播支持 | 好 | 差 | 好 |
| VLAN数目要求 | 多 | 无 | 无 |
| 支持多ISP | 较差 | 好 | 好 |
| 客户端软件 | 不需要 | 需要 | 需要 |
| 设备支持 | 厂家私有 | 业界设备 | 业界设备 |
| 用户连接性 | 差 | 好 | 好 |
| 对设备的要求 | 高(全程VLAN) | 较高(BAS) | 低 |
综上所述,由于802.1 x认证的突出优点就是实现简单、认证效率高、安全可靠。无需多业务网管设备,就能保证IP网络的无逢相连。同时消除了网络认证计费瓶颈的单点故障。在二层网络上实现用户认证,大大降低了整个网络的建网成本,目前基于802.1x的认证技术在校园网络应用非常普遍。