隨著我國信息化的加速發(fā)展，各個行業(yè)和部門都建立了企業(yè)內(nèi)部的網(wǎng)絡(luò)系統(tǒng)，這種企業(yè)網(wǎng)絡(luò)采用通用的TCP/IP作為通信協(xié)議，利用互聯(lián)網(wǎng)的3W技術(shù)，進(jìn)行內(nèi)部數(shù)據(jù)的共享和業(yè)務(wù)開展，同時，還以WEB模型做為標(biāo)準(zhǔn)平臺，實現(xiàn)辦公自動化。數(shù)字化和信息化已經(jīng)是現(xiàn)代企業(yè)的基本標(biāo)志，企業(yè)離開了網(wǎng)絡(luò)，離開了計算機(jī)，就如同人類離開了電和光明一樣，生產(chǎn)和管理將無法進(jìn)行。

國有大型企業(yè)的內(nèi)部網(wǎng)除了內(nèi)部互聯(lián)互訪之外，還通過服務(wù)器或路由器與外網(wǎng)相聯(lián)，進(jìn)行內(nèi)部私網(wǎng)地址的轉(zhuǎn)換，從而進(jìn)入公共網(wǎng)絡(luò)，使企業(yè)網(wǎng)聯(lián)通世界。大型企業(yè)網(wǎng)還以住地為中心，承擔(dān)企業(yè)職工的互聯(lián)網(wǎng)服務(wù)，因而，企業(yè)網(wǎng)建立起了通達(dá)企業(yè)生活區(qū)、辦公區(qū)的骨干網(wǎng)絡(luò)系統(tǒng)，形成了企業(yè)網(wǎng)絡(luò)獨特的發(fā)展道路。一般而言，企業(yè)網(wǎng)絡(luò)在發(fā)展過程中，會由于技術(shù)不到位，分片分區(qū)發(fā)展，造成整個網(wǎng)絡(luò)配置不統(tǒng)一，網(wǎng)絡(luò)運行的后續(xù)問題比較突出，主要表現(xiàn)在，重硬件輕軟件，重發(fā)展輕管理，通常是已經(jīng)形成了一定的用戶規(guī)模了，而整個網(wǎng)絡(luò)還沒有配置相應(yīng)的管理平臺和系統(tǒng)，用戶管理無序，網(wǎng)絡(luò)管理的五個功能域，即配置管理、故障管理、性能管理、記帳管理和安全管理不健全，有的網(wǎng)絡(luò)不能進(jìn)行用戶管理，無用戶接入控制，有的無記賬功能，不能提供靈活和差異化的費用政策，有的還處于手工管理階段，網(wǎng)絡(luò)管理原始。接入用戶的訪問控制是寬帶系統(tǒng)的重點，在構(gòu)建一個網(wǎng)絡(luò)時，接入認(rèn)證的選擇已經(jīng)是衡量這個網(wǎng)絡(luò)是不是可維護(hù)可管理和是不是一個智能化完整網(wǎng)絡(luò)的一個重要方面。那么，企業(yè)互聯(lián)網(wǎng)應(yīng)當(dāng)如何選擇接入認(rèn)證方式呢？

一、應(yīng)當(dāng)選用主流的接入認(rèn)證技術(shù)

在寬帶接入業(yè)務(wù)逐漸發(fā)展的過程中，接入認(rèn)證技術(shù)是網(wǎng)絡(luò)發(fā)展的熱點技術(shù)領(lǐng)域，由于，認(rèn)證技術(shù)比較復(fù)雜，到目前為止，還沒有一種認(rèn)證方式能夠解決商業(yè)化網(wǎng)絡(luò)管理中的所有問題，只能是各有千秋。目前主流的認(rèn)證方式主要有Web認(rèn)證、PPPoE、802.1x，RADIUS認(rèn)證。

1、WEB認(rèn)證：WEB/Portal 認(rèn)證方式，各設(shè)備廠商具體實現(xiàn)并不完全一致，但其認(rèn)證過程可以歸納為：用戶開機(jī)并通過DHCP服務(wù)器分配認(rèn)證IP地址，局端設(shè)備通過對該IP地址進(jìn)行強制URL訪問到登陸頁面，用戶輸入用戶賬號信息并發(fā)往認(rèn)證服務(wù)器, 認(rèn)證服務(wù)器獲得用戶MAC/IP/VLAN ID作為用戶標(biāo)識，認(rèn)證服務(wù)器反饋認(rèn)證成功信息，局端設(shè)備將用戶VLAN ID、用戶端口、用戶IP地址和MAC地址進(jìn)行可選擇性的綁定并開放用戶的上網(wǎng)功能。這種方式認(rèn)證和業(yè)務(wù)流也實現(xiàn)了分離，并可以方便地利用WEB服務(wù)器推出Portal和廣告等增值業(yè)務(wù)，對用戶進(jìn)行業(yè)務(wù)宣傳及業(yè)務(wù)引導(dǎo)。

2、PPP0E認(rèn)證：PPPoE(基于以太網(wǎng)的點到點協(xié)議)認(rèn)證方，基于BNAS（寬帶接入服務(wù)器）和PPPoE的認(rèn)證方法是較早出現(xiàn)也是最常見的一種用戶管理手段。

PPPoE方式用戶管理

采用安裝在端局POP節(jié)點的BNAS，負(fù)責(zé)終結(jié)由用戶PC機(jī)發(fā)起的PPPoE進(jìn)程，并在BNAS后面連接運營商的RADIUS(遠(yuǎn)程認(rèn)證撥入用戶服務(wù))認(rèn)證服務(wù)器和RADIUS計費服務(wù)器。當(dāng)用戶登錄時，BNAS將用戶名和口令傳送到認(rèn)證服務(wù)器，驗證通過后，BNAS將允許用戶接入網(wǎng)絡(luò)，并啟動計費服務(wù)器對用戶進(jìn)行計費。BNAS投資昂貴，采用BNAS+PPPoE這一認(rèn)證方法將增加城域網(wǎng)建設(shè)的投資。 BNAS的業(yè)務(wù)接入方式與窄帶撥號接入服務(wù)器相同，采用PPP方式。采用PPP協(xié)議的好處是：成熟，便于實現(xiàn)，可以支持多協(xié)議，容易與ISP設(shè)施配合，支持加密、認(rèn)證、記賬等功能。

3、802.1x認(rèn)證，基于端口的網(wǎng)絡(luò)訪問控制技術(shù)，在傳統(tǒng)以太網(wǎng)設(shè)備的基礎(chǔ)上，采用IEEE 802.1x協(xié)議提供對基于以太網(wǎng)端口點到點連接的用戶進(jìn)行認(rèn)證、授權(quán)的能力，從而使以太網(wǎng)設(shè)備可以達(dá)到電信運營的要求，尤其在寬帶城域網(wǎng)的建設(shè)中可以發(fā)揮重大的作用。
　　802.1x協(xié)議是基于Client/Server的訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問LAN/MAN。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前，802.1x對連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過之前，802.1x只允許EAPoL(基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議)數(shù)據(jù)通過設(shè)備連接的交換機(jī)端口；認(rèn)證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。

4、RADIUS認(rèn)證：RADIUS是英文(Remote Authentication Dial In User Service)的縮寫，是網(wǎng)絡(luò)遠(yuǎn)程接入設(shè)備的客戶和包含用戶認(rèn)證與配置信息的服務(wù)器之間信息交換的標(biāo)準(zhǔn)客戶/服務(wù)器模式。它包含有關(guān)用戶的專門文檔，如：用戶名、接入口令、接入權(quán)限等。這是保持遠(yuǎn)程接入網(wǎng)絡(luò)的集中認(rèn)證、授權(quán)、記費和審查的得到接受的標(biāo)準(zhǔn)。RADIUS認(rèn)證系統(tǒng)包含三個方面：認(rèn)證部分、客戶協(xié)議以及記費部分,其中： RADIUS 認(rèn)證部分一般安裝在網(wǎng)絡(luò)中的某臺服務(wù)器上，即RADIUS認(rèn)證服務(wù)器； 客戶協(xié)議運行在遠(yuǎn)程接入設(shè)備上，如：遠(yuǎn)程接入服務(wù)器或者路由器。這些RADIUS客戶把認(rèn)證請求發(fā)送給RADIUS認(rèn)證服務(wù)器，并按照服務(wù)器發(fā)回的響應(yīng)做出行動； RADIUS記費部分收集統(tǒng)計數(shù)據(jù)，并可以生成有關(guān)與網(wǎng)絡(luò)建立的撥入會話的報告。

二、幾種認(rèn)證方式的比較

WEB認(rèn)證：不需要安裝客戶端軟件的是Web認(rèn)證方式，這也是Web認(rèn)證方式被提出來并具備一定競爭力的最主要理由。這帶來的好處在于網(wǎng)絡(luò)的運營商無需為最終用戶提供客戶端安裝指導(dǎo)、維護(hù)等一系列服務(wù)，降低了成本和工作量，并使業(yè)務(wù)容易被接受和推廣。

PPP0E：它主要的缺陷是局端接入設(shè)備的開銷比較大，局端設(shè)備容易形成瓶頸。數(shù)據(jù)包中有一定的開銷。在用戶認(rèn)證通過后，由寬帶接入服務(wù)器（BAS），向后臺的RADIUS服務(wù)器發(fā)送計費開始包，在用戶下線后（用戶主動掛斷、異常死機(jī)、網(wǎng)絡(luò)斷等），由BAS向后臺的RADIUS服務(wù)器發(fā)送計費結(jié)束包。后臺計費系統(tǒng)便可根據(jù)計費起始包、結(jié)束包進(jìn)行按時長、按流量進(jìn)行實時計費。由于PPPoE的點對點的本質(zhì)，在用戶主機(jī)和BAS之間，限制了多播協(xié)議的存在。這樣，將會在一定程度上，影響今后視頻業(yè)務(wù)的開展，PPPoE出現(xiàn)較早，產(chǎn)品支持最多

802.1x認(rèn)證：簡潔高效，純以太網(wǎng)技術(shù)內(nèi)核，保持了IP網(wǎng)絡(luò)無連接特性，不需要進(jìn)行協(xié)議間的多層封裝，去除了不必要的開銷和冗余；消除網(wǎng)絡(luò)認(rèn)證計費瓶頸和單點故障，易于支持多業(yè)務(wù)和新興流媒體業(yè)務(wù)，控制流和業(yè)務(wù)流完全分離，易于實現(xiàn)跨平臺多業(yè)務(wù)運營，少量改造傳統(tǒng)包月制等單一收費制網(wǎng)絡(luò)即可升級成運營級網(wǎng)絡(luò)，而且網(wǎng)絡(luò)的運營成本也有望降低，但要注意它是基于交換機(jī)端口，認(rèn)證粒度是端口，在應(yīng)用時要考慮這一因素。802.1x為新認(rèn)證方式，產(chǎn)品支持最少

RADIUS認(rèn)證：實時記費能力差，Radius 認(rèn)證是一種軟硬件廣泛支持的認(rèn)證方式。

三、企業(yè)寬帶網(wǎng)絡(luò)接入認(rèn)證方式的選擇

企業(yè)寬帶網(wǎng)絡(luò)都是商業(yè)化的網(wǎng)絡(luò)，網(wǎng)絡(luò)建設(shè)需要投入，而投資的回收和維護(hù)費用都需要用戶分擔(dān)，因此，控制用戶非法接入，實現(xiàn)營運效益，選擇網(wǎng)絡(luò)接入技術(shù)十分重要，但是，面對多種技術(shù)，究竟應(yīng)當(dāng)如何選擇呢？原則是：

1、量力而行原則，企業(yè)網(wǎng)絡(luò)應(yīng)當(dāng)根據(jù)資金實力，如果資金有保證，就選擇比較成熟的和相對完善的主流技術(shù)。

2、易維護(hù)易管理原則，企業(yè)網(wǎng)絡(luò)規(guī)模一般比不上正規(guī)網(wǎng)絡(luò)運營商，不可能考慮十分周全，應(yīng)當(dāng)從自己的用戶實際出發(fā)，結(jié)合自己的網(wǎng)絡(luò)應(yīng)用、高層應(yīng)用和增值業(yè)務(wù)、業(yè)務(wù)策略、運營、控制和安全、網(wǎng)絡(luò)管理等幾個方面來選擇各種認(rèn)證方式。

3、有利于提高服務(wù)質(zhì)量原則，當(dāng)今時代信息業(yè)競爭加劇，用戶需求多種多樣，服務(wù)質(zhì)量是***位的，選擇一種認(rèn)證技術(shù)時，要綜合評價服務(wù)器端建設(shè)，管理流程、用戶側(cè)使用效果、運行穩(wěn)定性等，如果一種技術(shù)的應(yīng)用造成網(wǎng)絡(luò)上層和下層（用戶）使用中問題頻出，那么，這項技術(shù)就不能產(chǎn)生良好的效果和目標(biāo)。

本文從企業(yè)網(wǎng)絡(luò)的建設(shè)情況，引出企業(yè)寬帶網(wǎng)絡(luò)出現(xiàn)的問題，其核心問題是技術(shù)的不完善，造成用戶管理缺失，由此討論了幾種流行的接入認(rèn)證技術(shù)方式，以期幫助企業(yè)網(wǎng)絡(luò)在建設(shè)和改擴(kuò)時有一個正確的選擇，使企業(yè)網(wǎng)絡(luò)向智能化升級。

【編輯推薦】

1. 淺談網(wǎng)絡(luò)信息安全等級保護(hù)制度
2. 三層交換技術(shù)淺談