油田社区网接入认证优化推广的应用前景.docVIP

油田社区网接入认证优化推广的应用前景 　　摘要：现在大部分家庭中使用路由器实现多终端上网，家庭宽带路由器上行接口和下行接口都接在LAN口上，DHCP服务设置关闭，将路由器作为二层设备来使用，接入层交换机不做802.1x认证，只做普通报文转发。社区网网关仍然设置在汇聚层的S6500交换机上，通过启用DHCP服务对终端进行规划的IP地址的分配。在汇聚交换机上各旁挂1台S5800交换机作为Portal认证网关，用于小区内的用户认证。 　　关键词：社区网；Portal认证；动态IP地址分配 　　引言 　　吐哈油田社区网已建设多年，主要用于员工家庭上网，为了实现对居民上网的认证计费，目前现网采用了802.1X认证方式进行部署。认证过程由客户端发起，接入交换机的物理端口对报文严格控制，启用802.1X认证，默认情况下只允许认证报文通过，只有在认证通过的状态下才打开，用于传递网络资源和服务。如果认证通过，用户才能访问互联网资源和内网服务资源。 　　一、社区网现状 　　现有802.1X认证需要安装需要特定客户端软件，运维管理复杂。社区网共涉及近万户居民，如果采用采用802.1X认证方式，需要对每个用户终端安装维护认证客户端软件，日常维护工作量巨大。 　　面对用户多终端上网的趋势，802.1X认证无法对移动终端如手机、IPAD进行认证，用户体验感差。目前居民家中不仅部署台式电脑，像智能手机、平板电脑等终端应用也越来越普遍，传统的802.1X认证方式无法满足智能移动终端的认证需求。 　　由于上述原因，当前采用的802.1X认证方式难以满足不断发展的用户移动终端接入和管理员维护管理需求。 　　二、认证方式与部署模式选择 　　（一）认证方式选择 　　目前，业界主要采用PPPOE、802.1X、Portal这三种认证方式，下面就这三种认证方式的原理和主要优缺点进行比较。 　　1、PPPoE认证方式。通过PPPoE（Point-to-Point Protocol over Ethernet）协议，服务提供商可以在以太网上实现PPP协议的主要功能，包括采用各种灵活的方式管理用户。 　　PPPoE（Point-to-Point Protocol over Ethernet）协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。 　　第一章PPP协议和Ethernet技术本质上存在差异，PPP协议需要被再次封装到以太帧中，所以封装效率很低 　　第二章PPPoE在发现阶段会产生大量的广播流量，对网络性能产生很大的影响 　　第三章组播业务开展困难，而视频业务大部分是基于组播的 　　第四章需要运营商提供客户终端软件，维护工作量过大 　　第五章PPPoE认证一般需要外置BAS，认证完成后，业务数据流也必须经过BAS设备，容易造成单点瓶颈和故障，而且该设备通常非常昂贵。 　　2、802.1x认证方式。是一种client/server 模式的访问控制和认证协议，主要的应用环境是局域网的接入控制、身份认证，往往做为校园网、WLAN的接入控制手段。802.1x是基于端口的访问控制机制。用户或设备在认证前，交换机端口处于受控状态，此时只允许EAPOL协议（扩展局域网认证协议）通讯数据通过；认证通过后，端口处于非受控状态，此时用户的所有网络通讯数据都可以通过。802.1x实际上为每个用户建立一个逻辑的链路，端口的逻辑状态是只对该用户有效，不同用户的端口逻辑状态不相互影响。802 .1x认证过程就是EAPOL协议交互。 　　缺点：需特定客户端软件，用户交换机需要升级，IP地址分配、网络安全、计费均存在问题。 　　3、Portal认证方式。Portal认证的基本过程是：客户机首先通过DHCP协议获取到IP地址（也可以使用静态IP地址），但是客户使用获取到的IP地址并不能登上Internet，在认证通过前只能访问特定的IP地址，这个地址通常是PORTAL服务器的IP地址。采用Portal认证的接入设备必须具备这个能力。一般通过修改接入设备的访问控制表（ACL）可以做到。 　　用户登录到Portal Server后，可以浏览上面的内容，比如广告、新闻等免费信息，同时用户还可以在网页上输入用户名和密码，它们会被WEB客户端应用程序传给 Portal Server，再由Portal Server与NAS之间交互来实现用户的认证。 　　优点：不需要特殊的客户端软件，降低网络维护工作量，用户体验好。 　　缺点：对于设备的要求较高，建网成本高；用户连接性差，易用性不够好。 　　综合对比三种主要认证方式，可以发现Portal认证方式可以满足居民的移动终端如平板电脑、智能手机等认证需求；并且Portal认证方式不需要安装客户端，通过Web界面进行