网络准入认证系统方案评估_七夕小子

本文链接：https://blog.csdn.net/flyhorstar/article/details/109657568

一、主要作用

网络准入认证系统根据预定义的认证规则，如：是否从绑定设备接入，是否达到用户接入数量等，对尝试接入网络的用户进行身份识别和认证，并为通过身份认证的用户，赋于不同的网络访问权限。

华为的网络准入认证系统Agile Controller，包含终端桌面管理功能，对于大规模的园区网络，非常有助于桌面终端统一管理。

企业网络有了网络准入认证系统，是一次革命性的进化，除切实加强网络安全外，运维人员也将一定程度的从工作繁杂、技术含量低的桌面工作中解放出来，将精力放到更有意义的地方上。网络运维将迎来一个新的局面。

目前发现：

思科2918交换机支持802.1x认证，可以作为认证交换机。但此交换机不支持透传认证报文；
思科2918交换机不支持准入认证服务器下发的标准VLAN和ACL号属性，即网络准入系统无法对此交换机做到根据VLAN或ACL动态地进行网络权限控制。
思科2918交换机只能做到交换机端口级别的认证，不做到基于终端MAC级别的认证。即此交换机下接多个终端时（如：此交换机下连了傻瓜交换机），只要第一个终端认证通过，其他接入的终端也会得网络访问权限。
思科2960 Lan Lite版本交换机,不支持ACL动态权限控制。
华为S2700-SI系列二层交换机不支持二层报文透传，EI系列以上（含EI）支持。

综上原理，以某个楼层为例，若对用户采用802.1x认证方式，最佳实践是：

选一台支持802.1x认证的、性能高的交换机作为认证交换机（可以是核心，也可以是二层）。
不建议每台交换机都作为认证点，因为：一是担心影响准入认证服务器性能；二是每台交换机都要进行802.1x的配置，管理和查错都过于麻烦。
用户与认证交换机之间的其它交换机，要么都是傻瓜交换机（建议使用华为的傻瓜交换机，别用其它品牌，比如NETGEAR，其报文透传有问题）；要么至少是EI系列的二层交换机，在其上开启二层报文透传。

Portal认证又叫Web认证，一般是通过HTTP页面接受用户输入的用户名和密码，对用户进行认证。
Portal认证为三层协议，与二层设备无关，因此使用较802.1x方便。
从安全上讲，较802.1X认证，Portal认证方式，没有802.1x协议强。因为终端IP在Portal认证通过之前就会获得，无论终端是否通过认证，三层以下的，同子网的终端是可以互通的（可以采取其它手段进行隔离，如：交换机端口隔离，无线AP启用用户隔离）。

用户接入网络的几种场景