入網認證三種常見方式介紹

入網認證是乙個使用者接入乙個網路後第乙個接觸的功能，尤其是在無線網路下，現在幾乎找不到無需認證即可接入的網路了。

802.1x協議是基於client/server的訪問控制和認證協議。它可以限制未經授權的使用者/裝置通過接入埠(access port)訪問lan/wlan。在獲得交換機或lan提供的各種業務之前，802.1x對連線到交換機埠上的使用者/裝置進行認證。在認證通過之前，802.1x只允許eapol（基於區域網的擴充套件認證協議）資料通過裝置連線的交換機埠；認證通過以後，正常的資料可以順利地通過乙太網埠。

802.1x是最早用於網路准入認證的協議，至今仍在被普遍使用，也正是因為這個原因，現在常見的網路裝置如交換機、無線熱點、無線控制器等都預設支援802.1x協議。

802.1x協議最為人詬病的是它的c/s架構，這意味著需要接入網路的終端裝置必須可以安裝客戶端軟體才可以進行認證操作，操作繁瑣且存在相容性問題，尤其是在各個廠家都大量採用私有屬性的時候，各個廠家的認證系統、客戶端、認證裝置（交換機、無線裝置）全都互不相容。近幾年隨著協議的成熟以及客戶的壓力，802.1x的標準型得到很大的提公升，當前主流網路裝置廠商都支援採用各類作業系統自帶的802.1x客戶端進行認證操作，這樣就無需安裝第三方客戶端軟體了。

作業系統自帶的客戶端軟體支援自動檢測無線網路、自動連線並自動通過已儲存的帳號密碼進行認證的功能，從而實現了對於終端使用者「無感知」的認證體驗。

webauth也被稱為webportal認證，其實現過程為：使用者認證前無論訪問任何位址，都會被重定向到乙個指定的頁面（稱為portal即門戶頁面），需要在這個portal頁面上輸入帳號密碼進行認證，認證通過後方可順利上網。與802.1x相比，其後台依舊是radius協議，只是與使用者互動的部分由eapol變成了http。

webauth的好處顯而易見，那就是無需安裝任何客戶端，換句話說它是乙個b/s架構的認證方式。另外乙個非常明顯的好處在於，webauth提供了乙個portal頁面與使用者互動，那麼基於這個認證頁面就可以作出很多文章了，這也是為什麼現在所有的公共無線網路都採用了webauth的認證方式，商家都會通過portal頁面來推送一些廣告、通知等，由於這是使用者上網的必經之路，所以在這裡展示廣告的效果非常好。

mab即mac address bypass，mac位址認證。前面提到的802.1x和webauth的認證方式，都需要被認證終端輸入指定的帳號和密碼，但對於一些啞裝置來說，這是無法實現的，例如網路印表機、ip**等，mab認證方式正是為這些裝置的認證而推出的。mab的認證過程為：乙個裝置接入網路之中，接入網路裝置將獲取到該裝置的mac位址，並自行發起校驗，後台的radius伺服器會校驗系統中是否已預置了該mac位址，如果已有，則通知接入網路裝置放行該終端，若沒有，則拒絕該裝置的網路接入。

上述三種入網認證方式是可以結合使用的，思科稱其為flexauth即認證序列，高階的認證系統如思科的ise、銳捷的smp、sam都支援這種認證方式，在同乙個網路介面上同時配置兩種或兩種以上的認證方式，並設定優先順序，即可達到意想不到的效果，如下面提到的：

webauth無需安裝客戶端，但每次上網都需要輸入帳號密碼還是比較繁瑣的，對於常規使用者（如企業員工），可以通過flexauth結合mab和webauth來實現：在同乙個介面上配置mab和webauth，mab的優先順序最高，webauth次之。首次使用者接入時先判斷能否通過mac位址認證通過，如果無法通過即認證系統中無此mac位址，則彈出portal頁面，讓使用者通過帳號密碼進行認證，如果本次認證通過，則說明該使用者合法，同時記錄下該使用者的mac位址。第二次及以後該使用者接入網路時，依舊優先判斷mac位址合法性，由於該使用者已在第一次接入時登記過mac位址了，所以從第二次以後該使用者就mab了，最終給使用者的體驗就是一種無感知的認證方式。

以上即為對於三種常見的入網認證技術及其擴充套件的介紹，希望對大家有用。

入網認證三種常見方式介紹

解決前後端POST亂碼的三種常見方式

陣列去重三種常見方法

CSS的三種定位方式介紹

入網認證三種常見方式介紹

解決前後端POST亂碼的三種常見方式

陣列去重三種常見方法

CSS的三種定位方式介紹

相關推薦