入網認證三種常見方式介紹

入網認證是一個用戶接入一個網絡后第一個接觸的功能，尤其是在無線網絡下，現在幾乎找不到無需認證即可接入的網絡了。

常見的入網認證技術主要有三種：802.1X、MAB、WebAuth，本文將簡單介紹這幾種技術的實現原理及應用場景。

• 802.1X

802.1x協(xié)議是基于Client/Server的訪問控制和認證協(xié)議。它可以限制未經授權的用戶/設備通過接入端口(access port)訪問LAN/WLAN。在獲得交換機或LAN提供的各種業(yè)務之前，802.1x對連接到交換機端口上的用戶/設備進行認證。在認證通過之前，802.1x只允許EAPoL（基于局域網的擴展認證協(xié)議）數據通過設備連接的交換機端口；認證通過以后，正常的數據可以順利地通過以太網端口。

802.1X是最早用于網絡準入認證的協(xié)議，至今仍在被普遍使用，也正是因為這個原因，現在常見的網絡設備如交換機、無線熱點、無線控制器等都默認支持802.1X協(xié)議。

802.1X協(xié)議最為人詬病的是它的C/S架構，這意味著需要接入網絡的終端設備必須可以安裝客戶端軟件才可以進行認證操作，操作繁瑣且存在兼容性問題，尤其是在各個廠家都大量采用私有屬性的時候，各個廠家的認證系統(tǒng)、客戶端、認證設備（交換機、無線設備）全都互不兼容。近幾年隨著協(xié)議的成熟以及客戶的壓力，802.1X的標準型得到很大的提升，當前主流網絡設備廠商都支持采用各類操作系統(tǒng)自帶的802.1X客戶端進行認證操作，這樣就無需安裝第三方客戶端軟件了。

• 基于802.1X的無感知認證
  

操作系統(tǒng)自帶的客戶端軟件支持自動檢測無線網絡、自動連接并自動通過已保存的帳號密碼進行認證的功能，從而實現了對于終端用戶“無感知”的認證體驗。

• WebAuth

WebAuth也被稱為WebPortal認證，其實現過程為：用戶認證前無論訪問任何地址，都會被重定向到一個指定的頁面（稱為Portal即門戶頁面），需要在這個Portal頁面上輸入帳號密碼進行認證，認證通過后方可順利上網。與802.1X相比，其后臺依舊是Radius協(xié)議，只是與用戶交互的部分由EAPoL變成了Http。

WebAuth的好處顯而易見，那就是無需安裝任何客戶端，換句話說它是一個B/S架構的認證方式。另外一個非常明顯的好處在于，WebAuth提供了一個Portal頁面與用戶交互，那么基于這個認證頁面就可以作出很多文章了，這也是為什么現在所有的公共無線網絡都采用了WebAuth的認證方式，商家都會通過Portal頁面來推送一些廣告、通知等，由于這是用戶上網的必經之路，所以在這里展示廣告的效果非常好。

基于WebAuth還可以衍生出多種認證形式，這些形式只是認證所采用的要素不同，其認證方式本身還是WebAuth，例如采用短信校驗碼的認證，例如采用關注微信公眾號的認證等，這些也都是依據認證提供方希望收集的信息而擴展設計出來的。

• MAB

MAB即Mac Address Bypass，MAC地址認證。前面提到的802.1X和WebAuth的認證方式，都需要被認證終端輸入指定的帳號和密碼，但對于一些啞設備來說，這是無法實現的，例如網絡打印機、IP電話等，MAB認證方式正是為這些設備的認證而推出的。MAB的認證過程為：一個設備接入網絡之中，接入網絡設備將獲取到該設備的MAC地址，并自行發(fā)起校驗，后臺的Radius服務器會校驗系統(tǒng)中是否已預置了該MAC地址，如果已有，則通知接入網絡設備放行該終端，若沒有，則拒絕該設備的網絡接入。

• 認證序列FlexAuth

上述三種入網認證方式是可以結合使用的，思科稱其為FlexAuth即認證序列，高級的認證系統(tǒng)如思科的ISE、銳捷的SMP、SAM都支持這種認證方式，在同一個網絡接口上同時配置兩種或兩種以上的認證方式，并設置優(yōu)先級，即可達到意想不到的效果，如下面提到的：

• WebAuth無感知認證

WebAuth無需安裝客戶端，但每次上網都需要輸入帳號密碼還是比較繁瑣的，對于常規(guī)用戶（如企業(yè)員工），可以通過FlexAuth結合MAB和WebAuth來實現：在同一個接口上配置MAB和WebAuth，MAB的優(yōu)先級最高，WebAuth次之。首次用戶接入時先判斷能否通過MAC地址認證通過，如果無法通過即認證系統(tǒng)中無此MAC地址，則彈出Portal頁面，讓用戶通過帳號密碼進行認證，如果本次認證通過，則說明該用戶合法，同時記錄下該用戶的MAC地址。第二次及以后該用戶接入網絡時，依舊優(yōu)先判斷MAC地址合法性，由于該用戶已在第一次接入時登記過MAC地址了，所以從第二次以后該用戶就MAB了，最終給用戶的體驗就是一種無感知的認證方式。

以上即為對于三種常見的入網認證技術及其擴展的介紹，希望對大家有用。