NAC网络准入控制

NAC网络准入控制

• 802.1X认证系统使用可扩展认证协议（Extensible Authentication Protocol，EAP）
来实现申请者、认证者和认证服务器之间的信息交互。常用的802.1X认证协议有防护
扩展验证协议（Protected Extensible Authentication Protocol，PEAP）和传输层安
全性协议（Transport Layer Security，TLS），其区别如下：
▫ PEAP：管理员给用户分配用户名、密码。用户在接入WLAN时输入用户名、密
码进行认证。
▫ TLS：用户使用证书进行认证，此认证方式一般结合企业App使用，如华为的
AnyOffice。
• 对于大中型企业的员工，推荐使用802.1X认证。

• 定义
▫ Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。用户上
网时，必须在门户网站进行认证，如果未认证成功，仅可以访问特定的网络资
源，认证成功后，才可以访问其他网络资源。
• 优点
▫ 一般情况下，客户端不需要安装额外的软件，直接在Web页面上认证，简单方
便。
▫ 便于运营，可以在Portal页面上进行业务拓展，如广告推送、企业宣传等。
▫ 技术成熟，被广泛应用于运营商、连锁快餐、酒店、学校等网络。
▫ 部署位置灵活，可以在接入层或关键数据的入口作访问控制。
▫ 用户管理灵活，可基于用户名与VLAN/IP地址/MAC地址的组合对用户进行认证。

• 该功能需要在设备配置MAC+Portal的混合认证，同时在认证服务器上开启MAC优先
的Portal认证功能并配置MAC地址有效时间。
• 如果客户端的MAC地址还保存在RADIUS服务器，则RADIUS服务器校验用户名和密
码（用户名和密码均为MAC地址）后，直接进行授权，用户授权后即可以直接访问网
络，不需要再次输入用户名密码进行认证。
• 如果客户端的MAC地址在RADIUS服务器已经过期，则RADIUS服务器会删除保存的
客户端MAC地址。MAC地址认证失败之后，接入设备会向客户端用户推送Portal认证
页面。客户端用户输入帐号和密码完成身份认证。