认证方式总结（802.1x,PPPOE,IPOE,Portal，MAC认证）

1.802.1x:

认证设备NAC：互换机
802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得互换机或LAN提供的各种业务之前，802.1x对毗连到互换机端口上的用户/设备进行认证。在认证通过之前，802.1x只答应EAPOL（基于局域网的扩展认证协议）数据通过设备毗连的互换机端口；认证通过以后，正常的数据可以顺遂地通过以太网端口。
802.1X认证具有以下优点：

• 802.1X协议为二层协议，不需要到达三层，对接入设备的整体性能要求不高，可以有效低沉建网成本。
  
• 认证报文和数据报文通过逻辑接口分离，提高安全性，一般需要pc安装客户端。
  

场景：校园网，企业
关键词：802.1x重要在接入互换机上配置，题目中如有提到由接入互换机S1拦截用户流量，则是802.1x

2.pppoe（拨号上网）：

认证设备NAC：BRAS/BAS
PPPOE（Point-to-Point Protocol Over Ethernet）是将点对点协议（PPP）封装在以太网（Ethernet）框架中的一种网络隧道协议。由于协议中集成PPP协议，所以实现了传统以太网不能提供的身份验证、加密以及压缩等功能，可用于缆线调制解调器（cable modem）和数字用户线路（DSL）等以以太网协议向用户提供接入服务的协议体系。
与传统的接入方式相比，PPPOE具有较高的性能代价比，目前流行的宽带接入方式 ADSL 就使用了PPPOE协议。
BRAS（宽带长途接入服务器）和BAS（宽带接入服务器）的区别：
BAS：是一种设置在网络汇聚层的用户接入服务设备，可以智能化地实现用户的汇聚、认证、计费等服务，还可以根据用户的需要，方便地提供多种ip增值业务。
BRAS：一种面向宽带网络应用的新型接入网关。它是宽带接入网的骨干网之间的桥梁，提供根本的接入手段和宽带接入网的管理功能。它位于网络的边缘，提供宽带接入服务、实现多种业务的汇聚与转发，能满足不同用户对传输容量和带宽使用率的要求，因此是宽带用户接入的核心设备。
应用场景：家庭宽带，运营商投资（校园网，宾馆）
关键词：BRAS/BAS设备进行处理；

这里区分POE供电：
PoE（Power over Ethernet），被称为以太网供电。简朴来说它可以通过一根网线为支持PoE 的受电设备 (Powered Device，缩略为 PD) 同时提供电量和数据传输。
这里提到的受电设备包括无线访问接入点（AP）、IP 摄像头、别的受电互换机等等。这些设备与 PoE 互换机进行互联，获取电力并进行数据传输。
这里增补POE供电的优点：

• 安装方便
  

PoE 不受限于固定的电源插座，即使在电力底子设施老旧房屋中也能轻松完成设置。

• 简化布线，低沉安装与日常维护成本
  

接纳 PoE 供电的设备，由于只需要一根网线便能同时完成供电和传输数据的作用 ，所以可以克制过多的电源适配器和电缆的毗连。
还将有助于低沉底子设施的安装和日常运营成本，由于可以使用现有网络底子设施，所以能够轻松完成部署，用户还能通过互换机会合管理电力输出节流成本。

• 安全可靠
  

主动 PoE 在设备接通前会有“握手”测试，确认两者间的兼容性。
此外，面临断电等突发状况，PoE 技术也能够提供可靠性保障。例如，对于配备了不间断供电体系的当代化机房，使用 PoE 供电的安全摄像头、门禁体系等设备不会因电力中断而被解除安全掩护。
详细知识点可看：
干货 | PoE 供电是什么？一文全解读 - 知乎 (zhihu.com)


3.IPOE:

认证设备NAC：BRAS/BAS
IPoE以DHCP（动态主机配置协议）技术为核心，紧密结合通用的RADIUS（长途用户拨号认证协议），实现IP用户会话机制、IP数据流的分级机制、IP会话鉴权和管理机制的宽带接入认证制度。IPoE不仅能满足QoS（服务质量）差别化等级业务，同时也具有高效的组播特性。
应用场景：机顶盒这类哑终端

PPPOE，IPOE与DHCP的关联：

PPPoE特点：便于计费。client和server需在同一广播域。
DHCP特点：拨号过程与PPPoE类似，server分配给client的IP等信息有租约时间，需要考虑续租问题。若client和server不在同一广播域可通过DHCP Relay（DHCP中继）完成拨号。
IPOE:IPOE只是基于DHCP的扩展option字段，进行认证授权。

4.web/portal：

认证设备NAC认证网关（服务器）：安全性低，便捷性高
Portal认证通常又称Web认证，用户上网时，必须在Portal认证页面进行认证，如果未认证成功，仅可以访问特定的网络资源，认证成功后，才可以访问其他网络资源。
Portal认证具有以下优点：
简朴方便，客户端不需要安装额外的软件，直接在Web页面上认证。
便于运营，可以在Portal页面上进行业务拓展，如广告推送、企业宣传等。
部署位置灵活，可以在接入层或关键数据的入口作访问控制。
用户管理灵活，可基于用户名与VLAN/IP地址/MAC地址的组合对用户进行认证。
应用场景：运营商、连锁快餐、酒店、学校
关键词：由防火墙/活动管理设备/认证网关等设备进行认证处理；

5.MAC认证：一般入网第一次进行认证，后继即放行

认证设备NAC：认证服务器
MAC认证，是指终端网络接入控制设备自动获取终端的MAC地址，作为接入网络的凭证发到RADIUS服务器进行校验。
MAC认证是一种基于接口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件。设备在启动了MAC认证的接口上首次检测到用户的MAC地址以后，即启动对该用户的认证操纵。认证过程中，不需要用户手动输入用户名或者暗码。
MAC认证的特点：
不需要在终端安装认证客户端。
终端无需输入账号和暗码，认证自动进行。
安全性比802.1X和Portal低。
安全性比力低的原因是：由于MAC地址很轻易被仿冒。建议只在网络打印机、IP电话应用MAC认证方案，在授权时只开放开展业务所需的网络访问权限。
应用场景：打印机等哑终端

其他认证方式：短信认证
总结如下：

增补：
区分IIS的身份认证方式：
匿名访问： 在经过站点时不要求提供用于验证用户身份信息的根据
集成Windows身份验证：用于发送Kerberos票证，通过网络向用户发送请求验证用户身份信息，可提供较高的安全等级
Windows域服务器的择要式身份验证：要求用户提供账号和暗码，并将此信息以HashaMD5方式或者信息择要在网络中传播，这样具备肯定的安全性，别的用户无法以哈希函数进行破解、
根本身份验证：要求用户提供账号和暗码，并以明文方式在网络中进行传播，网络中的别的账户都可以进行拦截，并轻易分析出暗码
Micresoft.Net Passport提供了单一的网络安全登录性，对IIS的请求必须在查询字符串或Cookie中包罗有效的,Net Passport根据
————————————————
原文链接：https://blog.csdn.net/z594934262/article/details/83218690
也可以看我之前写的一篇：
http://t.csdn.cn/qJ6jW

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。