几种认证技术比较

802.1x认证技术
近来，随着802.1x协议的标准化，一些L2/L3厂家开始推广802.1x认证，这种认证技术正逐步应用于宽带IP城域网，成为普遍关注的焦点。

一、802.1x认证技术
802.1x协议起源于802.11协议，是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。

由于无线局域网的网络空间具有开放性和终端可移动性，很难通过网络物理空间来界定终端是否属于该网络，因此，如何通过端口认证来防止其他公司的计算机接入本公司无线网络就成为一项非常现实的问题，802.1x正是基于这一需求而出现的一种认证技术，由于其简单易用正逐步应用于宽带IP城域网。

二、802.1x认证技术的特点
802.1x协议关注端口的打开与关闭，对于合法用户（根据帐号和密码）接入时，该端口打开，而对于非法用户接入或没有用户接入时，则该端口处于关闭状态。

认证的结果在于端口状态的改变，而不涉及通常认证技术必须考虑的IP地址协商和分配问题，是各种认证技术中最简化的实现方案。

对于无线局域网接入而言，认证之后建立起来的信道（端口）被独占，不存在其它用户再次使用的问题。

802.1x协议为二层协议，接入认证通过之后，IP数据包在二层普通MAC帧上传送，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本。

802.1x的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能，不受控端口始终处于双向连通状态，主要用来传递 EAPOL（Extensible Authentication Protocol Over LAN）协议帧，可保证客户端始终可以发出或接受认证。

受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务，从而实现业务与认证的分离。

用户通过认证后，业务流和认证流实现分离，对后续的数据包处理没有特殊要求，业务可以很灵活，尤其在开展宽带组播等方面的业务有很大的优势，所有业务都不受认证方式限制。

802.1x认证与PPPOE、WEB认证的比较
三、宽带IP网的认证技术
IEEE 802.1x协议虽然源于IEEE 802.11无线以太网，但是它解决了传统的PPPoE和Web认证方式带来的问题，消除了网络瓶颈，减轻了网络封装开销，降低了建网成本。

PPPoE认证中，认证系统必须将每个包进行拆解才能判断和识别用户是否合法，一旦用户增多或者数据包增大，封装速度成为网络瓶颈。

其次大量的拆包解包过程必须由一个功能强劲同时价格昂贵的BAS支持，每个用户发出的每个数据包
BAS必须进行拆包识别和封装转发，增大网络开销和建网成本。

Web认证是基于业务类型的认证，不需要安装其他客户端软件，只需要浏览器就能完成。

但Web认证走的是7层协议，从逻辑上来说为了达到网络2层的连接而跑到7层做认证，不符合网络逻辑。

其次，Web是在认证前就为用户分配了IP地址，对目前网络珍贵的IP地址来说造成了浪费，而且分配IP地址的DHCP对用户而言是完全裸露的，容易造成被恶意攻击，一旦受攻击瘫痪，整网就没法认证。

再次，Web认证用户连接性差，不容易检测用户离线，基于时间的计费较难实现；而且认证前后业务流和数据流无法区分。

四、总结
802.1x协议仅仅提供了一种用户接入认证的手段，解决了传统PPPoE和Web认证方式带来的问题，它的如下特点：
简洁高效：纯以太网技术内核，保持IP网络无连接特性，去除冗余昂贵的多业务网关设备，消除网络认证计费瓶颈和单点故障，易于支持多业务。

容易实现：可在普通L3、L2、IP DSLAM上实现。

安全可靠：在二层网络上实现用户认证，结合MAC、端口、账户和密码等；绑定技术具有很高的安全性。

行业标准：IEEE标准，Windows XP系统内置支持。

易于运营：控制流和业务流完全分离，易于实现多业务运营。

使得802.1x更适合在宽带以太网中的使用。