安全的网络通道——网络准入之三层准入

随着网络的发展，接入环境越来越复杂，802.1X在某些方面渐渐显得力不从心了。例如，某些企业需要为访客提供无线网络接入，但不可能每次有访客人员时都在访客的笔记本电脑上配置802.1X策略，这就需要一个快捷的办法将没有经过认证的第三方设备接入到网络中。

三层准入就在这种背景下应运而生了。

三层准入又被称为Web准入，顾名思义，认证过程是通过一个Web页面完成的。三层准入可以独立工作，也可以跟802.1X形成混合部署。当Web认证同802.1X部署在一台接入交换机上时，前者可以作为后者的备份机制。当有新的设备需要接入时，接入交换机会首先尝试802.1X的认证流程，如果客户端设备上没有启用802.1X的客户端，则交换机发起的802.1X认证会因为得不到回应而超时，这时便进入Web认证的阶段。除了客户端不支持802.1X的情况，当客户端支持802.1X但是却没有通过认证的时候，交换机也可以回退到Web认证流程。之所以有这种设置时因为802.1X是一种非常普遍的的技术，一个酒店客人的笔记本电脑很可能开启了802.1X客户端用来接入办公室的网络，但是这台电脑显然无法通过酒店的二层准入检查，如果因为二层认证失败而就此将客户端设备屏蔽在外，那么绝大部分酒店客人可能都会遇到网络接入问题。

不管是802.1X认证超时还是失败，