校园网wifi登录认证界面
(1)802.1x准入认证802.1x将接入层设备作为准入认证的控制点,对试图接入网络的用户终端进行身份认证,防止非法用户和终端接入网络,降低各种安全威胁在校园扩散的风险。
接入层EIA解决方案组网应用方案说明用户终端需要安装客户端(若操作系统支持也可以不安装客户端),在上网前首先进行802.1x认证,否则将不能接入网络。
802.1x认证要求用户名密码信息准确,并且满足管理员设置的接入条件(接入的时间、地点等)和绑定检查信息(终端的IP、MAC等),才能被授予相应的网络权限。
802.1x方案优缺点优点:因为在接入层做准入认证,对于网络准入的控制最严格,保证在未通过认证的情况下,终端无法访问任何未被授权的网络,最大程度保障了整个网络的准入安全。
缺点:需要在每一台接入设备上配置认证,部署实施工作量巨大,尤其对于分支结构较多、组网复杂的场景,实施难度很大,且难以维护。
(2)Portal准入认证Portal一般将汇聚层及以上设备作为安全准入控制点,实施EIA解决方案,这样可简化EIA解决方案的应用部署。
尤其是在对用户原有企业网络进行改造,实施EIA解决方案时,可以将原有汇聚层设备替换为支持EIA解决方案的汇聚层设备,或者通过简单旁挂的方式,实现EIA解决方案的应用部署。
分支机构出口方式组网应用方案说明这种组网结构中,将Portal认证设备部署在园区网汇聚层或者分支机构出口位置,EIA认证服务器部署在总部核心位置,用户的每一次接入认证请求都需要发送到总部的EIA上进行身份验证,只有验证通过的用户才允许接入到总网络中,可以有效阻止来自分支机构的安全威胁。
总部入口路由器方式组网应用方案说明将Portal认证设备部署在园区网核心或者总入口,这种部署方式只能控制分支机构的用户访问总部网络的情况,分支机构内部互访无法进行认证准入控制。
部署最简单,工作量小,可以直接将总部入口路由器换成支持Portal协议的认证设备,或者在入口路由器旁挂Portal设备,简单部署即可实现Portal准入认证。
Portal方案优缺点优点:Portal设备一般部署位置较高(如汇聚层或核心层),部署更简单方便。
同时,Portal可不依赖于客户端,通过网页即可以实现简单认证,易用性更好。
缺点:Portal控制点位置较高,对接入层设备的控制力度不足,Portal是私有协议,都会自己的实现方式,通用性不够,设备混合使用的场景下会有难以适配的问题,需要通过旁挂Portal网关的方式解决。
(3)WLAN准入认证无线局域网的安全问题主要体现在访问控制和数据传输两个层面。
在访问控制层面上,非授权或者非安全的客户一旦接入网络后,将会直接面对校园的核心服务器,威胁校园的核心业务,因此能对无线接入用户进行身份识别、安全检查和网络授权的访问控制系统必不可少。
在无线网络中,结合使用EIA解决方案,可以有效的满足园区网的无线安全准入的需求。
组网特点介绍物理组网方式与802.1x接入方式相同。
FIT AP与无线控制器之间的连接可以使用二层连接,也可以使用三层连接。
用户接入时需要首先通过客户端认证接入无线网络,然后进行Portal接入。
或者直接连接802.1x的SSID,安全接入无线网络。
在组网中,用户IP地址不发生变化的情况下,可以在AP之间漫游。
基于用户身份的控制信息在AC上下发。