Protal认证 和 802.1X
802.1X:802.1X协议是一种基于端口的网络接入控制协议,即在局域网接入设备的端口上对所接入的用户进行认证,以便接入设备控制用户对外部网络资源的访问。
MAC地址认证:一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。
端口安全:端口安全是一种基于MAC地址对网络接入进行控制的安全机制,是对已有的802.1X认证和MAC地址认证的扩充。
Protal认证:通常也称为Web认证,即通过Web页面接受用户输入的用户名和密码,对用户进行认证。
Triole认证:一种允许端口上同时开启多种接入认证方式的解决方案,它允许在设备的二层端口上同时开启Portal认证、MAC地址认证和802.1X认证功能,可以选用任意一种方式进行认证来接入网络。
普通用户终端web portal认证,认证点在bas设备上;公共有线上网终端用802.1x认证,认证点在交换机上;所有移动终端可以在无线场景下使用802.1x认证;对于部分哑终端,使用mac地址做旁路认证。
MAC地址认证这种方式不是孤立使用的,一般会和IP地址、端口、账号口令等进行二元或者三元绑定。比如IP地址+MAC+交换机端口这种绑定方式就广泛的用于办公环境下的PC,MAC+账号(手机短信密码)广泛用于一些公共场合(星巴克、麦当劳)的顾客手机无线上网。
对于大部分环境来说,MAC地址认证已经是足够了。不过,MAC地址的确是可以伪造的。要考虑更高的安全系数,还可以考虑:
IP和mac地址绑定。攻击者需要把IP地址和mac地址都修改才可以绕开认证。
用户名密码认证。对上网终端开启Web Portal认证,要求输入用户名密码才可以使用网络。
============ End