校园网认证-设备较简单的无线认证系统

接入层EIA办理方案组网运用

用户终端须要安装客户端（若操作系统支持也可以不安装客户端），在上网前首先进行802.1x认证，否则将不能接入网络。

802.1x认证哀求用户名密码信息准确，并且知足管理员设置的接入条件（接入的韶光、地点等）和绑定检讨信息（终真个IP、MAC等），才能被付与相应的网络权限。

802.1x方案优缺陷

优点：由于在接入层做准入认证，对付网络准入的掌握最严格，担保在未通过认证的情形下，终端无法访问任何未被授权的网络，最大程度保障了全体网络的准入安全。

缺陷：须要在每一台接入设备上配置认证，支配履行事情量巨大，尤其对付分支构造较多、组网繁芜的场景，履行难度很大，且难以掩护。

（2）Portal准入认证

Portal一样平常将汇聚层及以上设备作为安全准入掌握点，履行EIA办理方案，这样可简化EIA办理方案的运用支配。
尤其是在对用户原有企业网络进行改造，履行EIA办理方案时，可以将原有汇聚层设备更换为支持EIA办理方案的汇聚层设备，或者通过大略旁挂的办法，实现EIA办理方案的运用支配。

分支机构出口办法组网运用方案解释

这种组网构造中，将Portal认证设备支配在园区网汇聚层或者分支机构出口位置，EIA认证做事器支配在总部核心位置，用户的每一次接入认证要求都须要发送到总部的EIA上进行身份验证，只有验证通过的用户才许可接入到总网络中，可以有效阻挡来自分支机构的安全威胁。

总部入口路由器办法组网运用

将Portal认证设备支配在园区网核心或者总入口，这种支配办法只能掌握分支机构的用户访问总部网络的情形，分支机构内部互访无法进行认证准入掌握。

支配最大略，事情量小，可以直接将总部入口路由器换成支持Portal协议的认证设备，或者在入口路由器旁挂Portal设备，大略支配即可实现Portal准入认证。

比较适用于流量集中转发的场景，如果是本地转发的情形，由于掌握点太高，无法对本地流量做认证准入掌握。

优点：Portal设备一样平常支配位置较高（如汇聚层或核心层），支配更大略方便。
同时，Portal可不依赖于客户端，通过网页即可以实现大略认证，易用性更好。
末了，Portal扩展性好，可以扩展为微信认证、短信认证和二维码认证，适用于内网、访客、营销等多种场景，运用更广泛。

缺陷：Portal掌握点位置较高，对接入层设备的掌握力度不敷，Portal是私有协议，都会自己的实现办法，通用性不足，设备稠浊利用的场景下会有难以适配的问题，须要通过旁挂Portal网关的办法办理。

（3）WLAN准入认证

无线局域网的安全问题紧张表示在访问掌握和数据传输两个层面。
在访问掌握层面上，非授权或者非安全的客户一旦接入网络后，将会直接面对校园的核心做事器，威胁校园的核心业务，因此能对无线接入用户进行身份识别、安全检讨和网络授权的访问掌握系统必不可少。
在无线网络中，结合利用EIA办理方案，可以有效的知足园区网的无线安全准入的需求。

组网特点先容

物理组网办法与802.1x接入办法相同。

FIT AP与无线掌握器之间的连接可以利用二层连接，也可以利用三层连接。

用户接入时须要首先通过客户端认证接入无线网络，然后进行Portal接入。
或者直接连接802.1x的SSID，安全接入无线网络。

在组网中，用户IP地址不发生变革的情形下，可以在AP之间漫游。

基于用户身份的掌握信息在AC高下发。