1.802.1x:
认证设备NAC:交换机
802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPOL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
802.1X认证具有以下优点:
-
802.1X协议为二层协议,不需要到达三层,对接入设备的整体性能要求不高,可以有效降低建网成本。
-
认证报文和数据报文通过逻辑接口分离,提高安全性,一般需要pc安装客户端。
2.pppoe:
认证设备NAC:BRAS/BAS
PPPOE(Point-to-Point Protocol Over Ethernet)是将点对点协议(PPP)封装在以太网(Ethernet)框架中的一种网络隧道协议。由于协议中集成PPP协议,所以实现了传统以太网不能提供的身份验证、加密以及压缩等功能,可用于缆线调制解调器(cable modem)和数字用户线路(DSL)等以以太网协议向用户提供接入服务的协议体系。
与传统的接入方式相比,PPPOE具有较高的性能价格比,目前流行的宽带接入方式 ADSL 就使用了PPPOE协议。
BRAS(宽带远程接入服务器)和BAS(宽带接入服务器)的区别:
BAS:是一种设置在网络汇聚层的用户接入服务设备,可以智能化地实现用户的汇聚、认证、计费等服务,还可以根据用户的需要,方便地提供多种ip增值业务。
BRAS:一种面向宽带网络应用的新型接入网关。它是宽带接入网的骨干网之间的桥梁,提供基本的接入手段和宽带接入网的管理功能。它位于网络的边缘,提供宽带接入服务、实现多种业务的汇聚与转发,能满足不同用户对传输容量和带宽利用率的要求,因此是宽带用户接入的核心设备。
应用场景:家庭宽带,校园网
3.IPOE:
认证设备NAC:BRAS/BAS
IPoE以DHCP(动态主机配置协议)技术为核心,紧密结合通用的RADIUS(远程用户拨号认证协议),实现IP用户会话机制、IP数据流的分级机制、IP会话鉴权和管理机制的宽带接入认证制度。IPoE不仅能满足QoS(服务质量)差异化等级业务,同时也具有高效的组播特性。
应用场景:机顶盒这类哑终端
PPPOE,IPOE与DHCP的关联:
PPPoE特点:便于计费。client和server需在同一广播域。
DHCP特点:拨号过程与PPPoE类似,server分配给client的IP等信息有租约时间,需要考虑续租问题。若client和server不在同一广播域可通过DHCP Relay(DHCP中继)完成拨号。
IPOE:IPOE只是基于DHCP的扩展option字段,进行认证授权。
portal:
认证设备NAC认证网关(服务器):安全性低,便捷性高
Portal认证通常又称Web认证,用户上网时,必须在Portal认证页面进行认证,如果未认证成功,仅可以访问特定的网络资源,认证成功后,才可以访问其他网络资源。
Portal认证具有以下优点:
简单方便,客户端不需要安装额外的软件,直接在Web页面上认证。
便于运营,可以在Portal页面上进行业务拓展,如广告推送、企业宣传等。
部署位置灵活,可以在接入层或关键数据的入口作访问控制。
用户管理灵活,可基于用户名与VLAN/IP地址/MAC地址的组合对用户进行认证。
应用场景:运营商、连锁快餐、酒店、学校
MAC认证:一般入网第一次进行认证,后继即放行
认证设备NAC:认证服务器
MAC认证,是指终端网络接入控制设备自动获取终端的MAC地址,作为接入网络的凭证发到RADIUS服务器进行校验。
MAC认证是一种基于接口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC认证的接口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码。
MAC认证的特点:
不需要在终端安装认证客户端。
终端无需输入账号和密码,认证自动进行。
安全性比802.1X和Portal低。
安全性比较低的原因是:因为MAC地址很容易被仿冒。建议只在网络打印机、IP电话应用MAC认证方案,在授权时只开放开展业务所需的网络访问权限。
应用场景:打印机等哑终端
其他认证方式:短信认证
补充:
区分IIS的身份认证方式:
匿名访问: 在经过站点时不要求提供用于验证用户身份信息的凭据
集成Windows身份验证:用于发送Kerberos票证,通过网络向用户发送请求验证用户身份信息,可提供较高的安全等级
Windows域服务器的摘要式身份验证:要求用户提供账号和密码,并将此信息以HashaMD5方式或者信息摘要在网络中传播,这样具备一定的安全性,其它用户无法以哈希函数进行破解、
基本身份验证:要求用户提供账号和密码,并以明文方式在网络中进行传播,网络中的其它账户都可以进行拦截,并轻易分析出密码
Micresoft.Net Passport提供了单一的网络安全登录性,对IIS的请求必须在查询字符串或Cookie中包含有效的,Net Passport凭据
————————————————
版权声明:本文为CSDN博主「张朝阳的博客」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/z594934262/article/details/83218690
也可以看我之前写的一篇: