Comparación entre PPPoE, Web + Portal y los modos de autenticación 802.1x

63 0 1 0

La tecnología de autenticación es el paso inicial de AAA (autenticación, autorización y contabilidad). AAA generalmente incluye cuatro pasos: terminal de usuario, AAA Client, servidor AAA y software de contabilidad. El método de comunicación entre el terminal de usuario y el Cliente AAA generalmente se denomina "modo de autenticación". Las principales tecnologías actuales son las siguientes: PPPoE, Web + Portal e IEEE802.1x. Los tres métodos tienen sus razones de fondo y características técnicas. Los siguientes tres breves análisis de las tres principales tecnologías de autenticación:

 

 

1. PPPoE

 

El protocolo de Protocolo punto a punto sobre Ethernet (PPPo) permite que se inicie una sesión PPP a través de un simple puente Ethernet que se conecta al cliente.

 

El establecimiento de PPPoE requiere dos fases, a saber, la etapa de descubrimiento y la etapa de sesión de PPP. Cuando un host desea iniciar una sesión PPPoE, primero debe completar la fase de búsqueda para determinar la dirección MAC de Ethernet del par y establecer un número de sesión PPPoE (SESSION_ID).

 

 

Ventajas:

 

* es una extensión de la tecnología tradicional de acceso telefónico de banda estrecha PSTN en la tecnología de acceso Ethernet

 

* De acuerdo con el sistema original de autenticación de acceso de usuario de red de banda estrecha

 

* Los usuarios finales son relativamente fáciles de recibir

  

 

Desventajas:

 

* El protocolo PPP y la tecnología Ethernet son esencialmente diferentes. El protocolo PPP debe encapsularse nuevamente en la trama Ethernet, por lo que la eficiencia de encapsulación es muy baja.

 

* PPPoE genera una gran cantidad de tráfico de difusión durante la fase de descubrimiento, lo que tiene un gran impacto en el rendimiento de la red.

 

* Los servicios de multidifusión son difíciles de desarrollar, y la mayoría de los servicios de video se basan en la multidifusión.

 

* Los operadores deben proporcionar software de terminal de cliente, la carga de trabajo de mantenimiento es demasiado grande

 

* La autenticación PPPoE generalmente requiere un BAS externo. Una vez que se completa la autenticación, el flujo de datos del servicio también debe pasar a través del dispositivo BAS, lo que probablemente cause un cuello de botella en un solo punto y falla, y el dispositivo suele ser muy costoso.

 


2. Web + Portal

 

El proceso básico de autenticación del portal es que el cliente primero obtiene una dirección IP a través del protocolo DHCP (también puede usar una dirección IP estática), pero el cliente no puede usar la dirección IP obtenida para iniciar sesión en Internet y solo puede acceder una IP específica antes de pasar la autenticación. Dirección, que suele ser la dirección IP del servidor PORTAL. Los dispositivos de acceso certificados por el portal deben tener esta capacidad. Esto se puede hacer modificando la lista de control de acceso (ACL) del dispositivo de acceso. Al mismo tiempo, el usuario también puede ingresar el nombre de usuario y la contraseña en la página web, que serán transmitidos al Portal Server por la aplicación del cliente WEB, y luego la interacción entre el Portal Server y el NAS para implementar la autenticación del usuario. Además de obtener el nombre de usuario y la contraseña del usuario, Portal Server también obtiene la dirección IP del usuario y la usa como índice para identificar al usuario. Luego, el servidor del portal se comunica directamente con el NAS utilizando el protocolo del portal, y el NAS se comunica directamente con el servidor RADIUS para completar la autenticación del usuario y el proceso en línea. Debido a problemas de seguridad, generalmente admite una autenticación de estilo CHAP fuerte.

 

 

Ventajas:

 

* No se requiere software de cliente especial, lo que reduce la carga de trabajo de mantenimiento de la red

 

* Puedo proporcionar autenticación comercial como Portal

 

 

Desventajas:

 

* WEB se lleva en el protocolo de 7 capas, que tiene mayores requisitos para el equipo y un alto costo de construcción de la red;

 

* La conectividad del usuario es pobre, no es fácil detectar al usuario fuera de línea, la carga basada en el tiempo es difícil de lograr;

 

* La facilidad de uso no es lo suficientemente buena. Antes de que los usuarios accedan a la red, ya sea TELNET, FTP u otros servicios, deben usar el navegador para la autenticación WEB;

 

* Asignación de dirección IP Antes de la autenticación del usuario, si el usuario no es un usuario de Internet, provocará un desperdicio de direcciones, y no es conveniente para el soporte de múltiples ISP.

 

* El flujo comercial y el flujo de datos no se pueden distinguir antes y después de la autenticación

 

3.802.1x

 

Ventajas:

 

El protocolo 802.1x es un protocolo de capa 2. No necesita llegar a la Capa 3, y el conmutador de capa de acceso no necesita admitir VLAN 802.1q. El rendimiento general del dispositivo no es alto, lo que puede reducir efectivamente el costo de construcción de la red.

 

* Implementado por multidifusión, resuelve el problema de transmisión de otros protocolos de autenticación y tiene un buen soporte para servicios de multidifusión. El paquete de servicio se transporta directamente en el paquete normal de capa 2. Después de que el usuario pasa la autenticación, el flujo de servicio y el flujo de autenticación se separan. No hay requisitos especiales para el procesamiento posterior de paquetes.

 

 

Desventajas:

 

* Requiere software de cliente específico

 

* El problema del conmutador de corredor existente de la red: dado que 802.1x es un protocolo de capa 2 relativamente nuevo, el conmutador de corredor es necesario para admitir la transmisión transparente del paquete de autenticación o completar el proceso de autenticación. Por lo tanto, en el proceso de adoptar completamente el protocolo, ya existe en Internet. Problema de procesamiento de actualización de cambio de usuario;

 

* Asignación de direcciones IP y problemas de seguridad de la red: el protocolo 802.1x es un protocolo de capa 2. Solo es responsable del control de autenticación del puerto de usuario. Una vez que se completa la autenticación del puerto, el usuario debe continuar resolviendo la asignación de la dirección IP del usuario después de ingresar a la red IP de Capa 3. La seguridad de la red de capa 3 y otros problemas, por lo tanto, el conmutador Ethernet + 802.1x solo, no puede resolver completamente los problemas de seguridad operacional, manejable y de acceso del acceso Ethernet de la red de área metropolitana;

 

* Problema de facturación: el protocolo 802.1x puede cargar el tiempo según el tiempo entre la autenticación del usuario y fuera de línea, y no puede contar el tráfico. Por lo tanto, no se puede realizar el cobro basado en el tráfico o se pueden cumplir los requisitos siempre activos del usuario.

 

Método de   autenticación

WEB/PORTAL

PPPOE

802.1x

Grado   estándar

Fabricante

RFC2516

Estándar IEEE  

Paquete   overhead

Pequeño

Grande

Pequeño

Modo de   control de acceso

Puerto   del dispositivo

Usuario

Usuario

Dirección   IP

Asignación   previa

Asignacion   post ceritficacion  

Asignacion   post ceritficacion  

Soporte Multicast  

Bueno

Malo

Bueno

Numero de   VLANs requeridas.

Muchas

No

No

Soporte   para múltiples ISP

Malo

Bueno

Bueno

Software   del cliente

No   necesita  

Se   necesita

Se   necesita

Conectividad   del usuario

Mala

Buena

Buena

 

Requisitos   para el equipo

Alto   (VLAN)

Alto   (BAS)

Bajo

 

 

En resumen, las ventajas sobresalientes de la autenticación 802.1 x son la implementación simple, la alta eficiencia de autenticación y la seguridad. No necesita equipos de administración de red multiservicio, puede asegurarse de que la red IP no esté conectada. Al mismo tiempo, se elimina el punto único de falla del cuello de botella de carga de autenticación de red. La autenticación de usuario se implementa en la red de Capa 2, lo que reduce en gran medida el costo de construcción de la red de toda la red. Actualmente, la tecnología de autenticación basada en 802.1x es muy común en las aplicaciones de red del campus.


  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión