NAC网络接入控制三种认证方式802.1X认证、MAC认证和Portal认证
- 1.NAC简介
- 2.802.1X认证
- 3. MAC认证
- 4. Portal认证
1.NAC简介
NAC(Network Access Control)称为网络接入控制,通过对接入网络的客户端和用户的认证保证网络的安全,是一种“端到端”的安全技术。
NAC包括三种认证方式:802.1X认证、MAC认证和Portal认证。
由于三种认证方式认证原理不同,各自适合的场景也有所差异,实际应用中,可以根据场景部署某一种合适的认证方式,也可以部署几种认证方式组成的混合认证,混合认证的组合方式以设备实际支持为准。
以下是 NAC(网络接入控制) 中三种认证方式(802.1X、MAC认证、Portal认证)的对比表格,从原理、适用场景、优缺点等方面进行详细说明:
| 对比项 | 802.1X认证 | MAC认证 | Portal认证 |
|---|---|---|---|
| 原理 | 基于端口的网络访问控制协议,客户端与认证服务器(如RADIUS)交互完成认证,使用EAP协议。 | 根据设备的MAC地址进行身份验证,无需客户端安装软件,由交换机或控制器比对预存地址库。 | 用户通过浏览器访问网络时强制跳转至认证页面,输入账号密码或短信验证码完成认证。 |
| 适用场景 | 企业内网、高安全要求的办公环境(如金融、政府机构)。 | 物联网设备(如摄像头、打印机)、不支持802.1X的终端(旧设备)。 | 公共场所(酒店、机场、商场)、访客网络、开放式Wi-Fi。 |
| 优点 | - 安全性高(支持动态密钥加密)。 - 精细化权限控制(基于用户/组授权)。 - 支持终端合规性检查。 | - 部署简单,无需客户端适配。 - 对终端透明(无需用户操作)。 - 成本低。 | - 用户友好,无需安装客户端。 - 支持多种认证方式(短信、微信、第三方账号)。 - 便于广告推送。 |
| 缺点 | - 需要客户端支持802.1X协议(如安装Supplicant软件)。 - 配置复杂(需部署RADIUS服务器)。 | - 安全性低(MAC地址易伪造)。 - 管理困难(MAC地址库需手动维护)。 - 无法区分用户身份。 | - 安全性较低(HTTP明文传输风险)。 - 依赖浏览器交互,兼容性问题。 - 用户需手动认证。 |
| 典型认证流程 | 1. 客户端发起认证请求。 2. 交换机转发至RADIUS服务器。 3. 服务器验证凭证后授权接入。 | 1. 设备连接网络。 2. 交换机检查MAC地址是否在允许列表。 3. 匹配则放行。 | 1. 用户连接Wi-Fi。 2. 访问任意网页跳转至Portal页面。 3. 输入凭证后放行。 |
| 安全性 | 高(支持证书、EAP-TLS等强认证方式)。 | 低(MAC地址易被窃取或克隆)。 | 中(依赖HTTPS可提升安全性,但仍有钓鱼风险)。 |
| 维护成本 | 高(需维护RADIUS服务器和客户端配置)。 | 中(需定期更新MAC地址库)。 | 低(云化Portal服务可降低运维压力)。 |
| 设备兼容性 | 需支持802.1X协议的终端(如Windows、Android、iOS)。 | 兼容所有联网设备(仅依赖MAC地址)。 | 兼容支持浏览器的设备(手机、PC、平板)。 |
补充说明
- 混合认证模式:
- 实际场景中可组合使用(如802.1X+MAC认证),例如:优先尝试802.1X认证,失败后降级为MAC认证。
- 技术演进:
- 802.1X可结合动态VLAN和策略下发(如Cisco ISE、华为Agile Controller)。
- MAC认证可结合AI分析设备行为,减少伪造风险。
- Portal认证可集成短信/微信认证,提升用户体验。
- 安全建议:
- 高敏感场景优先使用802.1X,并启用证书双向认证。
- MAC认证建议绑定IP或限制访问范围。
- Portal认证强制使用HTTPS,并部署反钓鱼检测。
NAC与AAA
NAC与AAA互相配合,共同完成接入认证功能。
NAC:用于用户和接入设备之间的交互。NAC负责控制用户的接入方式,即用户采用802.1X,MAC或Portal中的哪一种方式接入,接入过程中的各类参数和定时器。确保合法用户和接入设备建立安全稳定的连接。
AAA:用于接入设备与认证服务器之间的交互。AAA服务器通过对接入用户进行认证、授权和计费实现对接入用户访问权限的控制。
https://support.huawei.com/enterprise/zh/doc/EDOC1100333464/1cba9379
2.802.1X认证
802.1X协议是一种基于端口的网络接入控制协议(Port based network access control protocol)。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级验证用户身份并控制其访问权限。
802.1X系统为典型的Client/Server结构,如图所示,包括三个实体:客户端(Client)、设备端(Device)和认证服务器(Server)。
-
客户端是位于局域网段一端的一个实体,由该链路另一端的设备端对其进行认证。客户端一般为一个用户终端设备,用户可以通过启动客户端软件发起802.1X认证。客户端必须支持EAPOL(Extensible Authentication Protocol over LAN,局域网上的可扩展认证协议)。
-
设备端是位于局域网段一端的另一个实体,对所连接的客户端进行认证。设备端通常为支持802.1X协议的网络设备,它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口。
-
认证服务器是为设备端提供认证服务的实体。认证服务器用于实现对用户进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。
802.1X认证系统使用可扩展认证协议EAP(Extensible Authentication Protocol)来实现客户端、设备端和认证服务器之间的信息交互。EAP协议可以运行在各种底层,包括数据链路层和上层协议(如UDP、TCP等),而不需要IP地址。因此使用EAP协议的802.1X认证具有良好的灵活性。
在客户端与设备端之间,EAP协议报文使用EAPoL(EAP over LANs)封装格式,直接承载于LAN环境中。在设备端与认证服务器之间,用户可以根据客户端支持情况和网络安全要求来决定采用的认证方式。802.1X认证方式:EAP终结方式和EAP中继方式。
- EAP终结方式,EAP报文在设备端终结并重新封装到RADIUS报文中,利用标准RADIUS协议完成认证、授权和计费。
- EAP中继方式,EAP报文被直接封装到RADIUS报文中(EAP over RADIUS,简称为EAPoR),以便穿越复杂的网络到达认证服务器。
| 对比项 | EAP 终结方式 | EAP 中继方式 |
|---|---|---|
| 协议处理位置 | 认证者(交换机/AP)终结 EAP,转换为 RADIUS | 认证者透传 EAP,由 RADIUS 服务器处理完整流程 |
| 支持的 EAP 方法 | 仅支持简单方法(如 EAP-MD5、EAP-PEAP-MSCHAPv2) | 支持所有 EAP 方法(如 EAP-TLS、EAP-SIM) |
| 安全性 | 认证者需处理敏感信息(如密码),存在泄露风险 | 端到端加密(如 TLS),认证者无法窥探交互内容 |
| 配置复杂度 | 需在认证者配置 EAP 参数(如证书、隧道配置) | 认证者无需配置 EAP 参数,服务器统一管理 |
| 适用场景 | 小型网络、认证方法简单(如用户名/密码) | 企业级网络、需高安全性(证书认证)或复杂 EAP |
EAP中继认证流程
1.客户端发送EAPoL-Start报文触发认证。
2.设备端发出一个Identity类型的请求报文(EAP-Request/Identity)请求客户端的身份信息。
3.客户端程序响应设备端发出的请求,将身份信息通过Identity类型的响应报文(EAP-Response/Identity)发送给设备端。
4.设备端响应报文中的EAP报文封装在RADIUS报文(RADIUS Access-Request)中,发送给认证服务器进行处理。
5.RADIUS服务器收到设备端转发的身份信息后,启动和客户端EAP认证方法的协商。RADIUS服务器选择一个EAP认证方法,将认证方法封装在RADIUS Access-Challenge报文中,发送给设备端。
6.设备端收到RADIUS服务器发送的RADIUS Access-Challenge报文后,将其中的EAP信息转发给客户端。
7.客户端收到由设备端传来的EAP信息后,解析其中的EAP认证方法,如果支持该认证方法,客户端发送EAP-Response报文给设备端;如果不支持,客户端选择一个支持的EAP认证方法封装到EAP-Response报文中发送给设备端。
8.设备将报文中的EAP信息封装到RADIUS报文中发给RADIUS服务器。
9.RADIUS服务器收到后,如果客户端与服务器选择的认证方法一致,EAP认证方法协商成功,开始认证。以EAP-PEAP认证方法为例,服务器将自己的证书封装到RADIUS报文中发送给设备端。设备收到后将证书转发给客户端。客户端校验服务器证书(可选),与RADIUS服务器协商TLS参数,建立TLS隧道。TLS隧道建立完成后,用户信息将通过TLS加密在客户端、设备端和RADIUS服务器之间传输。如果客户端与服务器的EAP认证方法协商失败,则终止认证流程,通知设备认证失败,设备去关联客户端。
10.RADIUS服务器完成对客户端身份验证之后,通知设备认证成功。
11.设备收到认证通过报文后向客户端发送认证成功报文(EAP-Success),并将端口改为授权状态,允许用户通过该端口访问网络。
12.用户在线期间,设备端会通过向客户端定期发送握手报文的方法,对用户的在线情况进行监测。具体实现参见authentication handshake命令。
13.客户端收到握手报文后,向设备发送应答报文,表示用户仍然在线。缺省情况下,若设备端发送的两次握手请求报文都未得到客户端应答,设备端就会让用户下线,防止用户因为异常原因下线而设备无法感知。具体实现参见authentication handshake命令。
14.客户端可以发送EAPoL-Logoff报文给设备端,主动要求下线。
15.设备端把端口状态从授权状态改变成未授权状态,并向客户端发送EAP-Failure报文。
EAP终结认证流程
EAP终结方式与EAP中继方式的认证流程相比,不同之处在于EAP认证方法协商由客户端和设备端完成,之后设备端会把用户信息送给RADIUS服务器,进行相关的认证处理。而在EAP中继方式中,EAP认证方法协商由客户端和服务器完成,设备端只是负责将EAP报文封装在RADIUS报文中透传认证服务器,整个认证处理都由认证服务器来完成。
华为文档说明:https://support.huawei.com/enterprise/zh/doc/EDOC1100333464/4201d8e8
新华三文档说明:https://www.h3c.com/cn/d_200812/624138_30003_0.htm
3. MAC认证
MAC认证,全称MAC地址认证,是一种基于接口和终端MAC地址对用户的访问权限进行控制的认证方法。
如图2-13所示,MAC认证系统为典型的客户端/服务器结构,包括三个实体:终端、接入设备和认证服务器。如图所示,MAC认证系统
- 终端:尝试接入网络的终端设备。
- 接入设备:是终端访问网络的网络控制点,是企业安全策略的实施者,负责按照客户网络制定的安全策略,实施相应的准入控制(允许、拒绝、隔离或限制)。
- 认证服务器:用于确认尝试接入网络的终端身份是否合法,还可以指定身份合法的终端所能拥有的网络访问权限。
https://support.huawei.com/enterprise/zh/doc/EDOC1100333464/71e2c72
4. Portal认证
Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。用户上网时,必须在门户网站进行认证,如果未认证成功,仅可以访问特定的网络资源,认证成功后,才可以访问其他网络资源。
Portal认证系统如图2-18所示,其主要包括四个基本要素:客户端、接入设备、Portal服务器与认证服务器。
- 客户端:安装有运行HTTP/HTTPS协议的浏览器的主机。
- 接入设备:交换机、路由器等接入设备的统称,主要有三方面的作用。
- 在认证之前,将认证网段内用户的所有HTTP/HTTPS请求都重定向到Portal服务器。
- 在认证过程中,与Portal服务器、认证服务器交互,完成对用户身份认证、授权与计费的功能。
- 在认证通过后,允许用户访问被管理员授权的网络资源。
- Portal服务器:接收客户端认证请求的服务器系统,提供免费门户服务和认证界面,与接入设备交互客户端的认证信息。
- 认证服务器:与接入设备进行交互,完成对用户的认证、授权与计费。
https://support.huawei.com/enterprise/zh/doc/EDOC1100333464/609549d8
![Bio-ORACLE数据分享[decade 2010-2020] [Surface layers]](https://i-blog.csdnimg.cn/direct/1e7e50fda34d4971bce453d601886a8e.png)
![[论文阅读] SeeSR: Towards Semantics-Aware Real-World Image Super-Resolution](https://i-blog.csdnimg.cn/direct/b58dc36f07b34d5fad3520c6a1224a76.png)
