隨著我國信息化的加速發(fā)展，各個行業(yè)和部門都建立了企業(yè)內(nèi)部的網(wǎng)絡系統(tǒng)，這種企業(yè)網(wǎng)絡采用通用的TCP/IP作為通信協(xié)議，利用互聯(lián)網(wǎng)的3W技術，進行內(nèi)部數(shù)據(jù)的共享和業(yè)務開展，同時，還以WEB模型做為標準平臺，實現(xiàn)辦公自動化。數(shù)字化和信息化已經(jīng)是現(xiàn)代企業(yè)的基本標志，企業(yè)離開了網(wǎng)絡，離開了計算機，就如同人類離開了電和光明一樣，生產(chǎn)和管理將無法進行。

國有大型企業(yè)的內(nèi)部網(wǎng)除了內(nèi)部互聯(lián)互訪之外，還通過服務器或路由器與外網(wǎng)相聯(lián)，進行內(nèi)部私網(wǎng)地址的轉(zhuǎn)換，從而進入公共網(wǎng)絡，使企業(yè)網(wǎng)聯(lián)通世界。大型企業(yè)網(wǎng)還以住地為中心，承擔企業(yè)職工的互聯(lián)網(wǎng)服務，因而，企業(yè)網(wǎng)建立起了通達企業(yè)生活區(qū)、辦公區(qū)的骨干網(wǎng)絡系統(tǒng)，形成了企業(yè)網(wǎng)絡獨特的發(fā)展道路。一般而言，企業(yè)網(wǎng)絡在發(fā)展過程中，會由于技術不到位，分片分區(qū)發(fā)展，造成整個網(wǎng)絡配置不統(tǒng)一，網(wǎng)絡運行的后續(xù)問題比較突出，主要表現(xiàn)在，重硬件輕軟件，重發(fā)展輕管理，通常是已經(jīng)形成了一定的用戶規(guī)模了，而整個網(wǎng)絡還沒有配置相應的管理平臺和系統(tǒng)，用戶管理無序，網(wǎng)絡管理的五個功能域，即配置管理、故障管理、性能管理、記帳管理和安全管理不健全，有的網(wǎng)絡不能進行用戶管理，無用戶接入控制，有的無記賬功能，不能提供靈活和差異化的費用政策，有的還處于手工管理階段，網(wǎng)絡管理原始。接入用戶的訪問控制是寬帶系統(tǒng)的重點，在構(gòu)建一個網(wǎng)絡時，接入認證的選擇已經(jīng)是衡量這個網(wǎng)絡是不是可維護可管理和是不是一個智能化完整網(wǎng)絡的一個重要方面。那么，企業(yè)互聯(lián)網(wǎng)應當如何選擇接入認證方式呢？

一、應當選用主流的接入認證技術

在寬帶接入業(yè)務逐漸發(fā)展的過程中，接入認證技術是網(wǎng)絡發(fā)展的熱點技術領域，由于，認證技術比較復雜，到目前為止，還沒有一種認證方式能夠解決商業(yè)化網(wǎng)絡管理中的所有問題，只能是各有千秋。目前主流的認證方式主要有Web認證、PPPoE、802.1x，RADIUS認證。

1、WEB認證：WEB/Portal 認證方式，各設備廠商具體實現(xiàn)并不完全一致，但其認證過程可以歸納為：用戶開機并通過DHCP服務器分配認證IP地址，局端設備通過對該IP地址進行強制URL訪問到登陸頁面，用戶輸入用戶賬號信息并發(fā)往認證服務器, 認證服務器獲得用戶MAC/IP/VLAN ID作為用戶標識，認證服務器反饋認證成功信息，局端設備將用戶VLAN ID、用戶端口、用戶IP地址和MAC地址進行可選擇性的綁定并開放用戶的上網(wǎng)功能。這種方式認證和業(yè)務流也實現(xiàn)了分離，并可以方便地利用WEB服務器推出Portal和廣告等增值業(yè)務，對用戶進行業(yè)務宣傳及業(yè)務引導。

2、PPP0E認證：PPPoE(基于以太網(wǎng)的點到點協(xié)議)認證方，基于BNAS（寬帶接入服務器）和PPPoE的認證方法是較早出現(xiàn)也是最常見的一種用戶管理手段。

PPPoE方式用戶管理

采用安裝在端局POP節(jié)點的BNAS，負責終結(jié)由用戶PC機發(fā)起的PPPoE進程，并在BNAS后面連接運營商的RADIUS(遠程認證撥入用戶服務)認證服務器和RADIUS計費服務器。當用戶登錄時，BNAS將用戶名和口令傳送到認證服務器，驗證通過后，BNAS將允許用戶接入網(wǎng)絡，并啟動計費服務器對用戶進行計費。BNAS投資昂貴，采用BNAS+PPPoE這一認證方法將增加城域網(wǎng)建設的投資。 BNAS的業(yè)務接入方式與窄帶撥號接入服務器相同，采用PPP方式。采用PPP協(xié)議的好處是：成熟，便于實現(xiàn)，可以支持多協(xié)議，容易與ISP設施配合，支持加密、認證、記賬等功能。

3、802.1x認證，基于端口的網(wǎng)絡訪問控制技術，在傳統(tǒng)以太網(wǎng)設備的基礎上，采用IEEE 802.1x協(xié)議提供對基于以太網(wǎng)端口點到點連接的用戶進行認證、授權的能力，從而使以太網(wǎng)設備可以達到電信運營的要求，尤其在寬帶城域網(wǎng)的建設中可以發(fā)揮重大的作用。
　　802.1x協(xié)議是基于Client/Server的訪問控制和認證協(xié)議。它可以限制未經(jīng)授權的用戶/設備通過接入端口訪問LAN/MAN。在獲得交換機或LAN提供的各種業(yè)務之前，802.1x對連接到交換機端口上的用戶/設備進行認證。在認證通過之前，802.1x只允許EAPoL(基于局域網(wǎng)的擴展認證協(xié)議)數(shù)據(jù)通過設備連接的交換機端口；認證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。

4、RADIUS認證：RADIUS是英文(Remote Authentication Dial In User Service)的縮寫，是網(wǎng)絡遠程接入設備的客戶和包含用戶認證與配置信息的服務器之間信息交換的標準客戶/服務器模式。它包含有關用戶的專門文檔，如：用戶名、接入口令、接入權限等。這是保持遠程接入網(wǎng)絡的集中認證、授權、記費和審查的得到接受的標準。RADIUS認證系統(tǒng)包含三個方面：認證部分、客戶協(xié)議以及記費部分,其中： RADIUS 認證部分一般安裝在網(wǎng)絡中的某臺服務器上，即RADIUS認證服務器； 客戶協(xié)議運行在遠程接入設備上，如：遠程接入服務器或者路由器。這些RADIUS客戶把認證請求發(fā)送給RADIUS認證服務器，并按照服務器發(fā)回的響應做出行動； RADIUS記費部分收集統(tǒng)計數(shù)據(jù)，并可以生成有關與網(wǎng)絡建立的撥入會話的報告。

二、幾種認證方式的比較

WEB認證：不需要安裝客戶端軟件的是Web認證方式，這也是Web認證方式被提出來并具備一定競爭力的最主要理由。這帶來的好處在于網(wǎng)絡的運營商無需為最終用戶提供客戶端安裝指導、維護等一系列服務，降低了成本和工作量，并使業(yè)務容易被接受和推廣。

PPP0E：它主要的缺陷是局端接入設備的開銷比較大，局端設備容易形成瓶頸。數(shù)據(jù)包中有一定的開銷。在用戶認證通過后，由寬帶接入服務器（BAS），向后臺的RADIUS服務器發(fā)送計費開始包，在用戶下線后（用戶主動掛斷、異常死機、網(wǎng)絡斷等），由BAS向后臺的RADIUS服務器發(fā)送計費結(jié)束包。后臺計費系統(tǒng)便可根據(jù)計費起始包、結(jié)束包進行按時長、按流量進行實時計費。由于PPPoE的點對點的本質(zhì)，在用戶主機和BAS之間，限制了多播協(xié)議的存在。這樣，將會在一定程度上，影響今后視頻業(yè)務的開展，PPPoE出現(xiàn)較早，產(chǎn)品支持最多

802.1x認證：簡潔高效，純以太網(wǎng)技術內(nèi)核，保持了IP網(wǎng)絡無連接特性，不需要進行協(xié)議間的多層封裝，去除了不必要的開銷和冗余；消除網(wǎng)絡認證計費瓶頸和單點故障，易于支持多業(yè)務和新興流媒體業(yè)務，控制流和業(yè)務流完全分離，易于實現(xiàn)跨平臺多業(yè)務運營，少量改造傳統(tǒng)包月制等單一收費制網(wǎng)絡即可升級成運營級網(wǎng)絡，而且網(wǎng)絡的運營成本也有望降低，但要注意它是基于交換機端口，認證粒度是端口，在應用時要考慮這一因素。802.1x為新認證方式，產(chǎn)品支持最少

RADIUS認證：實時記費能力差，Radius 認證是一種軟硬件廣泛支持的認證方式。

三、企業(yè)寬帶網(wǎng)絡接入認證方式的選擇

企業(yè)寬帶網(wǎng)絡都是商業(yè)化的網(wǎng)絡，網(wǎng)絡建設需要投入，而投資的回收和維護費用都需要用戶分擔，因此，控制用戶非法接入，實現(xiàn)營運效益，選擇網(wǎng)絡接入技術十分重要，但是，面對多種技術，究竟應當如何選擇呢？原則是：

1、量力而行原則，企業(yè)網(wǎng)絡應當根據(jù)資金實力，如果資金有保證，就選擇比較成熟的和相對完善的主流技術。

2、易維護易管理原則，企業(yè)網(wǎng)絡規(guī)模一般比不上正規(guī)網(wǎng)絡運營商，不可能考慮十分周全，應當從自己的用戶實際出發(fā)，結(jié)合自己的網(wǎng)絡應用、高層應用和增值業(yè)務、業(yè)務策略、運營、控制和安全、網(wǎng)絡管理等幾個方面來選擇各種認證方式。

3、有利于提高服務質(zhì)量原則，當今時代信息業(yè)競爭加劇，用戶需求多種多樣，服務質(zhì)量是***位的，選擇一種認證技術時，要綜合評價服務器端建設，管理流程、用戶側(cè)使用效果、運行穩(wěn)定性等，如果一種技術的應用造成網(wǎng)絡上層和下層（用戶）使用中問題頻出，那么，這項技術就不能產(chǎn)生良好的效果和目標。

本文從企業(yè)網(wǎng)絡的建設情況，引出企業(yè)寬帶網(wǎng)絡出現(xiàn)的問題，其核心問題是技術的不完善，造成用戶管理缺失，由此討論了幾種流行的接入認證技術方式，以期幫助企業(yè)網(wǎng)絡在建設和改擴時有一個正確的選擇，使企業(yè)網(wǎng)絡向智能化升級。

【編輯推薦】

1. 淺談網(wǎng)絡信息安全等級保護制度
2. 三層交換技術淺談