Comparaison entre PPPoE, Web + Portal et les modes d'authentification 802.1x

17 0 0 0

Bonjour à tous,

Aujourd'hui, je voudrais vous montrer la comparaison entre les modes d'authentification PPPoE, Web + Portal et 802.1x.

La technologie d'authentification est l'étape initiale de l'AAA (authentification, autorisation et comptabilité). AAA comprend généralement quatre étapes: terminal utilisateur, AAAClient, serveur AAA et logiciel de comptabilité. La méthode de communication entre le terminal utilisateur et le client AAA est généralement appelée "mode d'authentification". Les principales technologies actuelles sont les suivantes: PPPoE, Web + Portal et IEEE802.1x. Les trois méthodes ont leurs raisons et leurs caractéristiques techniques. Les trois brèves analyses suivantes des trois principales technologies d'authentification:

 

1. PPPoE

Le protocole PPPo (Point-to-Point Protocol over Ethernet) permet d'initier une session PPP via un simple pont Ethernet qui se connecte au client.

La mise en place de PPPoE nécessite deux phases, à savoir la phase de découverte et la phase de session PPP. Lorsqu'un hôte souhaite lancer une session PPPoE, il doit d'abord terminer la phase de recherche pour déterminer l'adresse MAC Ethernet du pair et établir un numéro de session PPPoE (SESSION_ID).

 

Avantage:

* est une extension de la technologie d'accès commuté à bande étroite PSTN traditionnelle dans la technologie d'accès Ethernet

* Conforme au système d'authentification d'accès utilisateur réseau à bande étroite d'origine

* Les utilisateurs finaux sont relativement faciles à recevoir

 

 

Désavantages:

* Le protocole PPP et la technologie Ethernet sont essentiellement différents. Le protocole PPP doit être encapsulé à nouveau dans la trame Ethernet, donc l'efficacité de l'encapsulation est très faible.

* PPPoE génère une grande quantité de trafic de diffusion pendant la phase de découverte, ce qui a un impact important sur les performances du réseau.

* Les services de multidiffusion sont difficiles à développer et la plupart des services vidéo sont basés sur la multidiffusion.

* Les opérateurs doivent fournir le logiciel du terminal client, la charge de travail de maintenance est trop importante

* L'authentification PPPoE nécessite généralement un BAS externe. Une fois l'authentification terminée, le flux de données de service doit également passer par le périphérique BAS, ce qui est susceptible de provoquer un goulot d'étranglement et une défaillance en un seul point, et le périphérique est généralement très coûteux.

 

 

2. Web + Portal

Le processus de base de l'authentification du portail est que le client obtient d'abord une adresse IP via le protocole DHCP (il peut également utiliser une adresse IP statique), mais le client ne peut pas utiliser l'adresse IP obtenue pour se connecter à Internet et ne peut accéder qu'à une adresse IP spécifique avant que l'authentification ne soit passée. Adresse, qui est généralement l'adresse IP du serveur PORTAL. Les appareils d'accès certifiés par le portail doivent avoir cette capacité. Cela peut être fait en modifiant la liste de contrôle d'accès (ACL) du périphérique d'accès. Dans le même temps, l'utilisateur peut également saisir le nom d'utilisateur et le mot de passe sur la page Web, qui seront transmis au Portal Server par l'application client WEB, puis l'interaction entre le Portal Server et le NAS pour implémenter l'authentification de l'utilisateur. Outre l'obtention du nom d'utilisateur et du mot de passe de l'utilisateur, Portal Server obtient également l'adresse IP de l'utilisateur et l'utilise comme index pour identifier l'utilisateur. Ensuite, Portal Server communique directement avec le NAS à l'aide du protocole Portal et le NAS communique directement avec le serveur RADIUS pour terminer l'authentification de l'utilisateur et le processus en ligne. En raison de problèmes de sécurité, il prend généralement en charge l'authentification forte de style CHAP.

 

 

Avantage:

* Aucun logiciel client spécial requis, réduisant la charge de travail de maintenance du réseau

* Je peux fournir une authentification commerciale telle que Portal

 

Désavantages:

* WEB est porté sur le protocole à 7 couches, qui a des exigences plus élevées en équipement et des coûts de construction de réseau élevés;

* La connectivité des utilisateurs est médiocre, il n'est pas facile de détecter les utilisateurs hors ligne, la charge basée sur le temps est difficile à réaliser;

* La facilité d'utilisation n'est pas suffisante. Avant que les utilisateurs accèdent au réseau, qu'il s'agisse de TELNET, FTP ou d'autres services, ils doivent utiliser le navigateur pour l'authentification WEB;

* Attribution d'adresse IP Avant l'authentification de l'utilisateur, si l'utilisateur n'est pas un utilisateur Internet, cela entraînera un gaspillage d'adresses et ce n'est pas pratique pour la prise en charge multi-FAI.

* Le flux commercial et le flux de données ne peuvent pas être distingués avant et après l'authentification

 

 

3.802.1x

Avantage:

Le protocole 802.1x est un protocole de couche 2. Il n'a pas besoin d'atteindre la couche 3 et le commutateur de couche d'accès n'a pas besoin de prendre en charge les VLAN 802.1q. Les performances globales de l'appareil ne sont pas élevées, ce qui peut réduire efficacement le coût de construction du réseau.

* Mis en œuvre par multidiffusion, résout le problème de diffusion d'autres protocoles d'authentification et prend en charge les services de multidiffusion. Le paquet de service est directement transporté sur le paquet de couche 2 normal. Une fois que l'utilisateur a réussi l'authentification, le flux de service et le flux d'authentification sont séparés. Il n'y a pas d'exigence particulière pour le traitement ultérieur des paquets.

 

Désavantages:

* Nécessite un logiciel client spécifique

* Le problème du commutateur de corridor existant du réseau: étant donné que le 802.1x est un protocole de couche 2 relativement nouveau, le commutateur de corridor est nécessaire pour prendre en charge la transmission transparente du paquet d'authentification ou terminer le processus d'authentification. Par conséquent, dans le processus d'adoption complète du protocole, il existe déjà sur Internet. Problème de traitement de mise à niveau du commutateur utilisateur;

* Affectation des adresses IP et problèmes de sécurité du réseau: le protocole 802.1x est un protocole de couche 2. Il est uniquement responsable du contrôle d'authentification du port utilisateur. Une fois l'authentification du port terminée, l'utilisateur doit continuer de résoudre l'allocation d'adresse IP de l'utilisateur après être entré dans le réseau IP de couche 3. La sécurité du réseau de couche 3 et d'autres problèmes, par conséquent, le commutateur Ethernet + 802.1x seul, ne peut pas résoudre complètement les problèmes de sécurité opérationnelle, gérable et d'accès de l'accès Ethernet du réseau métropolitain;

* Problème de facturation: Le protocole 802.1x peut facturer le temps en fonction du temps entre l'authentification de l'utilisateur et hors ligne, et ne peut pas compter le trafic. Par conséquent, la facturation basée sur le trafic ne peut pas être effectuée ou les exigences permanentes de l'utilisateur peuvent être satisfaites.


Méthode d'authentificationWEB / PORTAILPPPOE802.1x
Diplôme standardFabricant privéRFC2516Norme IEEE
Frais généraux du packagepetitgrospetit
Mode de contrôle d'accèsport de périphériqueutilisateurutilisateur
adresse IPAffectation de pré-authentificationMission post-certificationMission post-certification
Prise en charge de la multidiffusionbien
malbien
Nombre de VLAN requisbeaucoup
nonnon
Prise en charge de plusieurs FAIpauvres
bienbien
Logiciel clientce n'est pas nécessaireavoir besoinavoir besoin
Prise en charge des appareilsUsine privéeÉquipement industrielÉquipement industriel
Connectivité utilisateurmal
bienbien
Exigences pour l'équipementÉlevé (VLAN complet)élevé (BAS)faible


En résumé, les avantages exceptionnels de l'authentification 802.1 x sont une mise en œuvre simple, une efficacité d'authentification élevée et la sécurité. Pas besoin d'équipement de gestion de réseau multiservice, vous pouvez vous assurer que le réseau IP n'est pas connecté. Dans le même temps, le seul point de défaillance du goulot d'étranglement de la facturation de l'authentification réseau est éliminé. L'authentification des utilisateurs est implémentée sur le réseau de couche 2, ce qui réduit considérablement le coût de construction du réseau de l'ensemble du réseau. Actuellement, la technologie d'authentification basée sur 802.1x est très courante dans les applications de réseau de campus.

C'est ce que je veux partager avec vous aujourd'hui, merci!



  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier