2018-05-14    

認證技術是AAA（認證，授權，計費）的初始步驟，AAA一般包括用戶終端、AAAClient、AAA Server和計費軟件四個環節。用戶終端與AAA Client之間的通信方式通常稱為"認證方式"。目前的主要技術有以下三種：PPPoE、Web＋Portal、IEEE802.1x。三種方式有其產生的背景原因和技術特點，以下對這三種主要認證技術作一個簡要的分析：
1．PPPOE
1998年后期問世的以太網上點對點協議（PPP over Ethernet）技術是由Redback 網絡公司、客戶端軟件開發商RouterWare公司以及Worldcom子公司UUNET Technologies公司在IETF RFC制的基礎上聯合開發的。主要目的是把最經濟的局域網技術、以太網和點對點協議的可擴展性及管理控制功能結合在一起。它使服務提供商在通過數字用戶線、電纜調制解調器或無線連接等方式，提供支持多用戶的寬帶接入服務時更加簡便易行。
通過PPPoE（Point-to-Point Protocol over Ethernet）協議，服務提供商可以在以太網上實現PPP協議的主要功能，包括采用各種靈活的方式管理用戶。
PPPoE（Point-to-Point Protocol over Ethernet）協議允許通過一個連接客戶的簡單以太網橋啟動一個PPP對話。
PPPoE的建立需要兩個階段，分別是搜尋階段（Discovery stage）和點對點對話階段（PPP Session stage）。當一臺主機希望啟動一個PPPoE對話，它首先必須完成搜尋階段以確定對端的以太網MAC地址，并建立一個PPPoE的對話號（SESSION_ID）。
在PPP協議定義了一個端對端的關系時，搜尋階段是一個客戶-服務器的關系。在搜尋階段的進程中，主機（客戶端）搜尋并發現一個網絡設備（服務器端）。在網絡拓撲中，主機能與之通信的可能有不只一個網絡設備。在搜尋階段，主機可以發現所有的網絡設備但只能選擇一個。當搜索階段順利完成，主機和網絡設備將擁有能夠建立PPPoE的所有信息。
搜索階段將在點對點對話建立之前一直存在。一旦點對點對話建立，主機和網絡設備都必須為點對點對話階段虛擬接口提供資源。
優點：
*是傳統PSTN窄帶撥號接入技術在以太網接入技術的延伸
*和原有窄帶網絡用戶接入認證體系一致
*最終用戶相對比較容易接收
缺點：
*PPP協議和Ethernet技術本質上存在差異，PPP協議需要被再次封裝到以太幀中，所以封裝效率很低
*PPPoE在發現階段會產生大量的廣播流量，對網絡性能產生很大的影響
*組播業務開展困難，而視頻業務大部分是基于組播的
*需要運營商提供客戶終端軟件，維護工作量過大
*PPPoE認證一般需要外置BAS，認證完成后，業務數據流也必須經過BAS設備，容易造成單點瓶頸和故障，而且該設備通常非常昂貴。
2．Web+ Portal
Portal認證的基本過程是：客戶機首先通過DHCP協議獲取到IP地址（也可以使用靜態IP地址），但是客戶使用獲取到的IP地址并不能登上Internet，在認證通過前只能訪問特定的IP地址，這個地址通常是PORTAL服務器的IP地址。采用Portal認證的接入設備必須具備這個能力。一般通過修改接入設備的訪問控制表（ACL）可以做到。
用戶登錄到Portal Server后，可以瀏覽上面的內容，比如廣告、新聞等免費信息，同時用戶還可以在網頁上輸入用戶名和密碼，它們會被WEB客戶端應用程序傳給 Portal Server，再由Portal Server與NAS之間交互來實現用戶的認證。
Portal Server在獲得用戶的用戶名和密碼外，還會得到用戶的IP地址，以它為索引來標識用戶。然后Portal Server 與NAS之間用Portal協議直接通信，而NAS又與RADIUS 服務器直接通信完成用戶的認證和上線過程。因為安全問題，通常支持安全性較強的CHAP式認證。
優點：
*不需要特殊的客戶端軟件，降低網絡維護工作量
*l可以提供Portal等業務認證
缺點：
*WEB承載在7層協議上，對于設備的要求較高，建網成本高；
*用戶連接性差，不容易檢測用戶離線，基于時間的計費較難實現；
*易用性不夠好，用戶在訪問網絡前，不管是 TELNET、FTP還是其它業務，必須使用瀏覽器進行WEB認證；
* IP地址的分配在用戶認證前，如果用戶不是上網用戶，則會造成地址的浪費，而且不便于多ISP的支持。
*認證前后業務流和數據流無法區分
3．802.1x
優點：
*802.1x協議為二層協議，不需要到達三層，而且接入層交換機無需支持802.1q的VLAN，對設備的整體性能要求不高，可以有效降低建網成本。
*通過組播實現，解決其他認證協議廣播問題，對組播業務的支持性好。業務報文直接承載在正常的二層報文上；用戶通過認證后，業務流和認證流實現分離，對后續的數據包處理沒有特殊要求
缺點：
*需要特定客戶端軟件
*網絡現有樓道交換機的問題：由于802.1x是比較新的二層協議，要求樓道交換機支持認證報文透傳或完成認證過程，因此在全面采用該協議的過程中，存在對已經在網上的用戶交換機的升級處理問題；
*IP地址分配和網絡安全問題：802.1x協議是一個2層協議，只負責完成對用戶端口的認證控制，對于完成端口認證后，用戶進入三層IP網絡后，需要繼續解決用戶IP地址分配、三層網絡安全等問題，因此，單靠以太網交換機＋802.1x，無法全面解決城域網以太接入的可運營、可管理以及接入安全性等方面的問題；
*計費問題：802.1x協議可以根據用戶完成認證和離線間的時間進行時長計費，不能對流量進行統計，因此無法開展基于流量的計費或滿足用戶永遠在線的要求。