1.802.1x:
认证设备NAC:交换机
802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPOL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
802.1X认证具有以下优点:
- 802.1X协议为二层协议,不需要到达三层,对接入设备的整体性能要求不高,可以有效降低建网成本。
- 认证报文和数据报文通过逻辑接口分离,提高安全性,一般需要pc安装客户端。
场景:校园网,企业
关键词:802.1x主要在接入交换机上配置,题目中如有提到由接入交换机S1拦截用户流量,则是802.1x
2.pppoe(拨号上网):
认证设备NAC:BRAS/BAS
PPPOE(Point-to-Point Protocol Over Ethernet)是将点对点协议(PPP)封装在以太网(Ethernet)框架中的一种网络隧道协议。由于协议中集成PPP协议,所以实现了传统以太网不能提供的身份验证、加密以及压缩等功能,可用于缆线调制解调器(cable modem)和数字用户线路(DSL)等以以太网协议向用户提供接入服务的协议体系。
与传统的接入方式相比,PPPOE具有较高的性能价格比,目前流行的宽带接入方式 ADSL 就使用了PPPOE协议。
BRAS(宽带远程接入服务器)和BAS(宽带接入服务器)的区别:
BAS:是一种设置在网络汇聚层的用户接入服务设备,可以智能化地实现用户的汇聚、认证、计费等服务,还可以根据用户的需要,方便地提供多种ip增值业务。
BRAS:一种面向宽带网络应用的新型接入网关。它是宽带接入网的骨干网之间的桥梁,提供基本的接入手段和宽带接入网的管理功能。它位于网络的边缘,提供宽带接入服务、实现多种业务的汇聚与转发,能满足不同用户对传输容量和带宽利用率的要求,因此是宽带用户接入的核心设备。
应用场景:家庭宽带,运营商投资(校园网,宾馆)
关键词:BRAS/BAS设备进行处理;
这里区分POE供电:
PoE(Power over Ethernet),被称为以太网供电。简单来说它可以通过一根网线为支持PoE 的受电设备 (Powered Device,缩略为 PD) 同时提供电量和数据传输。
这里提到的受电设备包括无线访问接入点(AP)、IP 摄像头、其它受电交换机等等。这些设备与 PoE 交换机进行互联,获取电力并进行数据传输。
这里补充POE供电的优点:
- 安装方便
PoE 不受限于固定的电源插座,即使在电力基础设施老旧房屋中也能轻松完成设置。
- 简化布线,降低安装与日常维护成本
采用 PoE 供电的设备,由于只需要一根网线便能同时完成供电和传输数据的作用 ,所以可以避免过多的电源适配器和电缆的连接。
还将有助于降低基础设施的安装和日常运营成本,因为可以利用现有网络基础设施,所以能够轻松完成部署,用户还能通过交换机集中管理电力输出节约成本。
- 安全可靠
主动 PoE 在设备接通前会有“握手”测试,确认两者间的兼容性。
此外,面对断电等突发状况,PoE 技术也能够提供可靠性保障。例如,对于配备了不间断供电系统的现代化机房,使用 PoE 供电的安全摄像头、门禁系统等设备不会因电力中断而被解除安全保护。
详细知识点可看:
干货 | PoE 供电是什么?一文全解读 - 知乎 (zhihu.com)
3.IPOE:
认证设备NAC:BRAS/BAS
IPoE以DHCP(动态主机配置协议)技术为核心,紧密结合通用的RADIUS(远程用户拨号认证协议),实现IP用户会话机制、IP数据流的分级机制、IP会话鉴权和管理机制的宽带接入认证制度。IPoE不仅能满足QoS(服务质量)差异化等级业务,同时也具有高效的组播特性。
应用场景:机顶盒这类哑终端
PPPOE,IPOE与DHCP的关联:
PPPoE特点:便于计费。client和server需在同一广播域。
DHCP特点:拨号过程与PPPoE类似,server分配给client的IP等信息有租约时间,需要考虑续租问题。若client和server不在同一广播域可通过DHCP Relay(DHCP中继)完成拨号。
IPOE:IPOE只是基于DHCP的扩展option字段,进行认证授权。
4.web/portal:
认证设备NAC认证网关(服务器):安全性低,便捷性高
Portal认证通常又称Web认证,用户上网时,必须在Portal认证页面进行认证,如果未认证成功,仅可以访问特定的网络资源,认证成功后,才可以访问其他网络资源。
Portal认证具有以下优点:
简单方便,客户端不需要安装额外的软件,直接在Web页面上认证。
便于运营,可以在Portal页面上进行业务拓展,如广告推送、企业宣传等。
部署位置灵活,可以在接入层或关键数据的入口作访问控制。
用户管理灵活,可基于用户名与VLAN/IP地址/MAC地址的组合对用户进行认证。
应用场景:运营商、连锁快餐、酒店、学校
关键词:由防火墙/行为管理设备/认证网关等设备进行认证处理;
5.MAC认证:一般入网第一次进行认证,后继即放行
认证设备NAC:认证服务器
MAC认证,是指终端网络接入控制设备自动获取终端的MAC地址,作为接入网络的凭证发到RADIUS服务器进行校验。
MAC认证是一种基于接口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC认证的接口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码。
MAC认证的特点:
不需要在终端安装认证客户端。
终端无需输入账号和密码,认证自动进行。
安全性比802.1X和Portal低。
安全性比较低的原因是:因为MAC地址很容易被仿冒。建议只在网络打印机、IP电话应用MAC认证方案,在授权时只开放开展业务所需的网络访问权限。
应用场景:打印机等哑终端
其他认证方式:短信认证
总结如下:
补充:
区分IIS的身份认证方式:
匿名访问: 在经过站点时不要求提供用于验证用户身份信息的凭据
集成Windows身份验证:用于发送Kerberos票证,通过网络向用户发送请求验证用户身份信息,可提供较高的安全等级
Windows域服务器的摘要式身份验证:要求用户提供账号和密码,并将此信息以HashaMD5方式或者信息摘要在网络中传播,这样具备一定的安全性,其它用户无法以哈希函数进行破解、
基本身份验证:要求用户提供账号和密码,并以明文方式在网络中进行传播,网络中的其它账户都可以进行拦截,并轻易分析出密码
Micresoft.Net Passport提供了单一的网络安全登录性,对IIS的请求必须在查询字符串或Cookie中包含有效的,Net Passport凭据