802.1X认证技术与MAC认证技术

一、介绍

• 802.1X技术作为局域网一种普遍端口(二层设备端口)接入控制机制在以太网中被广泛应用，主要用以解决以太网内认证和安全方面的问题
• MAC认证是一种基于端口和MAC地址对于用户的网络访问控制权限进行控制和认证方法，它不需要用户安装任何客户端软件，用户名和密码都是用户设备的MAC地址，用于哑终端的接入认证(打印机、IP话机)

准入控制概述

1. 802.1X认证：
   802.1X协议起源于WLAN的802.11协议，用于控制无限用户的链路层接入和身份认证。经过扩展后，802.1X也可以使用以太网帧作为承载报文，从而可适用于以太网及其他的有线接入方式。

• 认证场景：应用在接入层设备
  802.1X认证，又称EAPOE(Extensible Authentication Protocol Over Ethernet)认证，可以用于有线环境解决局域网用户的接入问题。
  802.1X系统为典型的Client/Server结构，包括三个实体：终端、接入控制设备和RADIUS服务器。
  
• 基本概念：
  基于接口：只有接口内有一个用户认证通过，那么通过该接口的其他用户也可以访问
  强制授权：需要绑定mac地址，用户没有做认证，直接授权放行
  强制非授权：接口逻辑down，不给发送
  EAP终结认证：由网络接入设备终结用户的EAP报文，解析出用户名和密码，并对密码进行加密，再发送到AAA服务器进行认证。
  EAP透传认证：也叫EAP中继认证，由网络接入设备直接把802.1X用户的认证信息以及EAP报文直接封装到RADUIS报文的属性字段中，发送给RADUIS服务器，而无需将EAP报文转换成标准RADUIS报文再发送给RADUIS服务器来完成认证。(协议转换)
  

2. MAC认证
   MAC认证就是以终端MAC地址作为身份凭证到系统进行认证，启用MAC认证之后，当终端接入网络时，网络准入设备提取终端MAC地址，并将该MAC地址作为用户名和密码进行认证。

• 应用场景：
  MAC旁路认证适用于802.1X认证环境中，如无法安装802.1X认证客户端的终端(哑终端)，以mac地址作为用户名和密码自动接入网络的场景。

2. Portal认证
   Portal认证通常称为web认证，一般将Portal认证网站称为门户网站，用户上网时，必须在门户网站进行认证，认证之后才能适应网络资源。

• Portal认证系统的组成
  客户端：安装有运行HTTP协议浏览器的主机
  接入设备：交换机、路由器等
  - 在认证之前，将认证网段内用户的所有HTTP请求都重定向到Portal服务器
  - 在认证过程中，与Portal服务器、Radius服务器交互，完成对用户身份认证、授权与计费的功能
  - 在认证通过之后，允许用户访问被管理员授权的互联网资源

• 应用场景：一般建立在汇聚设备
  Portal认证无需客户端支持，部署简单，广泛应用于园区网中
  用户部署安全管理组件，需要客户端支持，此时可采用具有客户端的Portal认证方式