随着我国信息化的加速发展,各个行业和部门都建立了企业内部的网络系统,这种企业网络采用通用的TCP/IP作为通信协议,利用互联网的3W技术,进行内部数据的共享和业务开展,同时,还以WEB模型做为标准平台,实现办公自动化。数字化和信息化已经是现代企业的基本标志,企业离开了网络,离开了计算机,就如同人类离开了电和光明一样,生产和管理将无法进行。
国有大型企业的内部网除了内部互联互访之外,还通过服务器或路由器与外网相联,进行内部私网地址的转换,从而进入公共网络,使企业网联通世界。大型企业网还以住地为中心,承担企业职工的互联网服务,因而,企业网建立起了通达企业生活区、办公区的骨干网络系统,形成了企业网络独特的发展道路。一般而言,企业网络在发展过程中,会由于技术不到位,分片分区发展,造成整个网络配置不统一,网络运行的后续问题比较突出,主要表现在,重硬件轻软件,重发展轻管理,通常是已经形成了一定的用户规模了,而整个网络还没有配置相应的管理平台和系统,用户管理无序,网络管理的五个功能域,即配置管理、故障管理、性能管理、记帐管理和安全管理不健全,有的网络不能进行用户管理,无用户接入控制,有的无记账功能,不能提供灵活和差异化的费用政策,有的还处于手工管理阶段,网络管理原始。接入用户的访问控制是宽带系统的重点,在构建一个网络时,接入认证的选择已经是衡量这个网络是不是可维护可管理和是不是一个智能化完整网络的一个重要方面。那么,企业互联网应当如何选择接入认证方式呢?
一、应当选用主流的接入认证技术
在宽带接入业务逐渐发展的过程中,接入认证技术是网络发展的热点技术领域,由于,认证技术比较复杂,到目前为止,还没有一种认证方式能够解决商业化网络管理中的所有问题,只能是各有千秋。目前主流的认证方式主要有Web认证、PPPoE、802.1x,RADIUS认证。
1、WEB认证:WEB/Portal 认证方式,各设备厂商具体实现并不完全一致,但其认证过程可以归纳为:用户开机并通过服务器分配认证IP地址,局端设备通过对该IP地址进行强制URL访问到登陆页面,用户输入用户账号信息并发往认证服务器, 认证服务器获得用户MAC/IP/VLAN ID作为用户标识,认证服务器反馈认证成功信息,局端设备将用户VLAN ID、用户端口、用户IP地址和MAC地址进行可选择性的绑定并开放用户的上网功能。这种方式认证和业务流也实现了分离,并可以方便地利用WEB服务器推出Portal和广告等增值业务,对用户进行业务宣传及业务引导。
2、PPP0E认证:PPPoE(基于以太网的点到点协议)认证方,基于BNAS(宽带接入服务器)和PPPoE的认证方法是较早出现也是最常见的一种用户管理手段。
PPPoE方式用户管理
采用安装在端局POP节点的BNAS,负责终结由用户PC机发起的PPPoE进程,并在BNAS后面连接运营商的RADIUS(远程认证拨入用户服务)认证服务器和RADIUS计费服务器。当用户登录时,BNAS将用户名和口令传送到认证服务器,验证通过后,BNAS将允许用户接入网络,并启动计费服务器对用户进行计费。BNAS投资昂贵,采用BNAS+PPPoE这一认证方法将增加城域网建设的投资。 BNAS的业务接入方式与窄带拨号接入服务器相同,采用PPP方式。采用PPP协议的好处是:成熟,便于实现,可以支持多协议,容易与ISP设施配合,支持加密、认证、记账等功能。
3、802.1x认证,基于端口的网络访问控制技术,在传统以太网设备的基础上,采用IEEE 802.1x协议提供对基于以太网端口点到点连接的用户进行认证、授权的能力,从而使以太网设备可以达到电信运营的要求,尤其在宽带城域网的建设中可以发挥重大的作用。
802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/MAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
4、RADIUS认证:RADIUS是英文(Remote Authentication Dial In User Service)的缩写,是网络远程接入设备的客户和包含用户认证与配置信息的服务器之间信息交换的标准客户/服务器模式。它包含有关用户的专门文档,如:用户名、接入口令、接入权限等。这是保持远程接入网络的集中认证、授权、记费和审查的得到接受的标准。RADIUS认证系统包含三个方面:认证部分、客户协议以及记费部分,其中: RADIUS 认证部分一般安装在网络中的某台服务器上,即RADIUS认证服务器; 客户协议运行在远程接入设备上,如:远程接入服务器或者路由器。这些RADIUS客户把认证请求发送给RADIUS认证服务器,并按照服务器发回的响应做出行动; RADIUS记费部分收集统计数据,并可以生成有关与网络建立的拨入会话的报告。
二、几种认证方式的比较
WEB认证:不需要安装客户端软件的是Web认证方式,这也是Web认证方式被提出来并具备一定竞争力的最主要理由。这带来的好处在于网络的运营商无需为最终用户提供客户端安装指导、维护等一系列服务,降低了成本和工作量,并使业务容易被接受和推广。
PPP0E:它主要的缺陷是局端接入设备的开销比较大,局端设备容易形成瓶颈。数据包中有一定的开销。在用户认证通过后,由宽带接入服务器(BAS),向后台的RADIUS服务器发送计费开始包,在用户下线后(用户主动挂断、异常死机、网络断等),由BAS向后台的RADIUS服务器发送计费结束包。后台计费系统便可根据计费起始包、结束包进行按时长、按流量进行实时计费。由于PPPoE的点对点的本质,在用户主机和BAS之间,限制了多播协议的存在。这样,将会在一定程度上,影响今后视频业务的开展,PPPoE出现较早,产品支持最多
802.1x认证:简洁高效,纯以太网技术内核,保持了IP网络无连接特性,不需要进行协议间的多层封装,去除了不必要的开销和冗余;消除网络认证计费瓶颈和单点故障,易于支持多业务和新兴流媒体业务,控制流和业务流完全分离,易于实现跨平台多业务运营,少量改造传统包月制等单一收费制网络即可升级成运营级网络,而且网络的运营成本也有望降低,但要注意它是基于交换机端口,认证粒度是端口,在应用时要考虑这一因素。802.1x为新认证方式,产品支持最少
RADIUS认证:实时记费能力差,Radius 认证是一种软硬件广泛支持的认证方式。
三、企业宽带网络接入认证方式的选择
企业宽带网络都是商业化的网络,网络建设需要投入,而投资的回收和维护费用都需要用户分担,因此,控制用户非法接入,实现营运效益,选择网络接入技术十分重要,但是,面对多种技术,究竟应当如何选择呢?原则是:
1、量力而行原则,企业网络应当根据资金实力,如果资金有保证,就选择比较成熟的和相对完善的主流技术。
2、易维护易管理原则,企业网络规模一般比不上正规网络运营商,不可能考虑十分周全,应当从自己的用户实际出发,结合自己的网络应用、高层应用和增值业务、业务策略、运营、控制和安全、网络管理等几个方面来选择各种认证方式。
3、有利于提高服务质量原则,当今时代信息业竞争加剧,用户需求多种多样,服务质量是第一位的,选择一种认证技术时,要综合评价服务器端建设,管理流程、用户侧使用效果、运行稳定性等,如果一种技术的应用造成网络上层和下层(用户)使用中问题频出,那么,这项技术就不能产生良好的效果和目标。
本文从企业网络的建设情况,引出企业宽带网络出现的问题,其核心问题是技术的不完善,造成用户管理缺失,由此讨论了几种流行的接入认证技术方式,以期帮助企业网络在建设和改扩时有一个正确的选择,使企业网络向智能化升级。