最近遇到一个挺有意思的案子。有个工厂IT负责人跟我说,他们厂区部署了200多台AP,结果员工上网不用认证,访客不用认证,连隔壁施工单位的人都能连上内网。他问我要不要上一个网络接入认证系统。我问他你现在的网络架构是什么,他说用的是PPPoE拨号的。我说你这方案本身就有认证,问题不在于要不要上系统,而在于协议选型就选错了。
这类问题在实际项目中很常见。很多企业在规划网络准入的时候,第一步就走偏了——把精力全放在选哪个厂家的产品、买多少带宽、AP放多少个,却没认真想过认证协议本身跟业务场景匹不匹配。一旦协议定错,后面无论怎么调策略、上什么系统,都是在填前面的坑。
网络接入认证系统领域最常见的三种协议是PPPoE、802.1X和Portal。它们分别代表三种完全不同的接入思路,适用于完全不同的场景。选对了,后面的实施省心一半;选错了,天天救火。
PPPoE这个协议在宽带运营商那边用了几十年,技术成熟,稳定性没问题。但它就是点对点拨号,需要在每一台终端上配置拨号软件或者在路由器里写入账号密码。
在企业场景里,PPPoE的硬伤很明显。员工用的设备五花八门,台式机、笔记本、手机、平板、扫码枪、工业PDA、甚至打印机——不是所有设备都支持PPPoE拨号,尤其是移动终端和物联网设备,基本都不支持。你为了让每台设备都连上网,要么给每台设备单独配置,要么在AP上开启桥接模式让它透传,这样一来,PPPoE的认证机制就被绕开了,等于白做。
还有一个现实问题:PPPoE拨号的时候会占用终端资源,某些工控软件在PPPoE环境下会出现兼容性问题。我见过一个案例,工厂车间的MES系统在做数据采集的时候,因为PPPoE断线重拨,直接导致数据丢失了一批,后来排查了半天才发现是认证协议在作怪。
PPPoE适合的场景是:运营商接入侧的光猫或者网关设备,由运营商来做拨号和认证;企业内部接入层用PPPoE的情况极少,除非你的终端设备全部是标准化管理的PC,而且你有能力在每一台设备上部署客户端。
802.1X是基于端口的网络接入控制协议,它的核心思路是在交换机或AP的端口层面做认证——设备只有通过了认证,端口才开放,网络才通。它不需要在每一台终端上装客户端软件,但需要在交换机或者无线控制器上启用802.1X功能,并且有RADIUS服务器配合。
802.1X的最大好处是:它对终端是透明的。员工连上WiFi之后,系统自动弹出认证界面,不需要手动配置什么参数。认证通过后,设备就永久在线了,直到主动下线或者认证过期。这个体验比PPPoE好很多。
但它的部署门槛不低。首先,你得有支持802.1X的设备,不是所有交换机和AP都原生支持这个功能。其次,802.1X需要跟RADIUS服务器联动,RADIUS服务器本身要维护用户数据库,还要跟企业的AD域或者OA系统对接,这套流程搞下来,实施周期和运维成本都不低。
还有一个容易被忽视的点:802.1X对设备类型有要求。不是所有设备都能支持802.1X认证,比如老旧的打印机、工业传感器、部分国产手机,可能根本没法完成802.1X握手。如果你有大量哑终端需要入网,802.1X不是好选择。
802.1X适合的场景有两个:一是高安全级别的办公环境,比如金融机构、政府机关,需要对每台入网设备做严格管控;二是终端品类相对统一、以笔记本和台式机为主的中大型企业。如果你的终端设备种类多、移动性强,那就得掂量掂量。
Portal认证也叫Web认证,是三种方案里最灵活的一种。用户连上WiFi之后,浏览器会自动弹出认证页面,输入账号密码或者扫码就可以上网。这个流程对用户来说最直观,不需要装软件,不需要配置参数,手机和电脑都能用。
Portal认证的灵活性体现在它可以做非常精细的策略控制。基于Portal的认证系统可以判断用户是谁、什么时间上网、从哪个AP或哪个楼层接入、上的是什么网站,然后决定推哪个认证页面、给多少带宽、允许多长时间。这种精细化控制是PPPoE和802.1X很难实现的。
但Portal也不是完美的。它的安全性比802.1X要弱一些,因为它就是在HTTP层做认证,理论上存在被中间人攻击的风险。不过在大多数企业办公场景里,这个风险是可控的。另外,Portal认证依赖浏览器,某些不支持打开浏览器的设备——比如打印机直接打印、扫码枪联网——就无法使用Portal认证。
Portal认证还有一个痛点:页面体验。各家厂商的Portal页面定制能力差距很大。有些系统只能推固定的几个模板,页面丑、不能自适应手机、跳转速度慢,员工用起来怨声载道。好的Portal体验应该能做到:手机和电脑自适应页面、支持微信或短信一键登录、认证成功后自动跳转企业内网,整个过程三秒以内完成。
蓝海卓越的有线无线统一认证平台同时支持PPPoE、802.1X和Portal三种认证方式,这一点对于实际项目很关键。因为很多企业的现状是:生产车间用PPPoE哑终端接入,办公区用802.1X,移动办公和访客用Portal——三种场景同时存在,每种场景的协议需求不一样。
如果一套系统只能支持一种协议,那就只能削足适履,把所有场景都强行套进同一个协议里。但现实是企业里终端种类繁多、业务需求各异,一套真正可用的网络接入认证系统,必须能同时容纳多种协议,并且在后台统一管理用户策略。
蓝海卓越的平台在协议层面还支持对接多厂商的AC和交换机设备,包括华为、中兴、H3C、锐捷、信锐、思科、JUNIPER等主流厂商。这意味着:如果企业已经有了某家品牌的无线控制器,不需要换掉现有设备,直接在蓝海卓越平台上做对接就可以把认证系统搭起来。对于已经投了大量设备预算的企业来说,这个兼容能力省去的设备替换成本是实实在在的。
如果还要我总结一个简单粗暴的判断方法:先问自己三个问题。
第一个问题,你的终端主要是人还是设备?如果是手机、笔记本、平板这类人员使用的终端,优先考虑Portal或者802.1X,体验好、管理方便。如果是工业传感器、摄像头、扫码枪这类哑终端,优先考虑PPPoE或者MAC地址白名单。
第二个问题,你的安全管控需求有多高?如果是金融、政府、医疗这类对数据安全要求极高的行业,优先选802.1X,配合有线侧的端口准入,把安全边界收紧。如果是一般的企业办公场景,Portal配合4W策略能满足大部分需求。
第三个问题,你有多少时间和预算做系统集成?如果企业已经部署了AD域,而且IT团队有能力做RADIUS和802.1X的联动,可以选802.1X。如果希望快速上线、不想折腾对接,Portal是最好的选择。
换句话说,协议选型不是越高级越好,而是越匹配越好。网络接入认证系统选对了,后面的实施省心一半;选错了,天天救火。
有时候最简单的Portal反而是最优解,有时候企业花大价钱上了802.1X,最后发现工程师根本不管用,设备死活连不上,天天找IT吐槽。选型之前多做调研,多问几个"如果遇到这种情况怎么办",比选完再填坑要合算得多。
English