以太網(wǎng)技術(shù)和接入認證技術(shù)的結合要求網(wǎng)絡(luò )接入控制完成以下

功能:

◆網(wǎng)絡(luò )的接入控制與網(wǎng)絡(luò )提供的業(yè)務(wù)類(lèi)型無(wú)關(guān)，即無(wú)論是有線(xiàn)接入業(yè)務(wù)或者是無(wú)線(xiàn)接入業(yè)務(wù)，或者其他形式的公眾以太接入業(yè)務(wù)，都采用一個(gè)通用的接入認證解決方案



◆電信級IP接入網(wǎng)絡(luò )要求對用戶(hù)進(jìn)行嚴格的控制和管理，包括控

制用戶(hù)對網(wǎng)絡(luò )的訪(fǎng)問(wèn)、用戶(hù)身份識別；

◆對于用戶(hù)來(lái)說(shuō)，只需要面對單一的認證界面，用戶(hù)可以實(shí)現在多種網(wǎng)絡(luò )接入業(yè)務(wù)間漫游

◆對于新興業(yè)務(wù)的支持也是選擇認證技術(shù)時(shí)要考慮的一個(gè)重要因素，認證技術(shù)必須保證在現有的認證體系下對新興業(yè)務(wù)的支持。
 
◆對于運營(yíng)商而言，通用的認證解決方案可以簡(jiǎn)化遠程接入VPN的安全管理，將用戶(hù)認證的范疇延伸到LAN范圍內。

◆適應電信級1P寬帶網(wǎng)接入控制需求的認證技術(shù)將簡(jiǎn)化運營(yíng)商網(wǎng)絡(luò )認證的體系結構，降低運營(yíng)商用于培訓和維護的費用，減少運營(yíng)成本。
 
按照 Internet網(wǎng)絡(luò )分層模型，在協(xié)議每一層都可以針對用戶(hù)或者設備進(jìn)行網(wǎng)絡(luò )接入的認證、鑒權。無(wú)論從對現有設備的改動(dòng)、多協(xié)議的支持、網(wǎng)絡(luò )安全還是網(wǎng)絡(luò )控制能力來(lái)看，鏈路層認證的優(yōu)勢突出，快速、簡(jiǎn)單和成本低廉也是它的優(yōu)勢。多數的鏈路層協(xié)議像PP和IE802都可以支持基于鏈路層的認證技術(shù)?？蛻?hù)在認證之前不需要進(jìn)行服務(wù)器的定位，不需要獲得IP地址。網(wǎng)絡(luò )接入設備只需要有限的層功能，可以輕易實(shí)現和AA的結合，從而提供豐富、靈活的認證方式和計費手段。在多協(xié)議網(wǎng)絡(luò )環(huán)境中，基于鏈路層的認證可以實(shí)現對上層應用的完全透明，也就是說(shuō)可以實(shí)現和新的網(wǎng)絡(luò )層協(xié)議(比如IPv6)的兼容。鏈路層認證處理減小了認證包處理的延時(shí)，保證了關(guān)鍵性應用的服務(wù)質(zhì)量在IEEE8O2LAN所定義的局域網(wǎng)環(huán)境中，只要存在物理的連接口，未經(jīng)授權的網(wǎng)絡(luò )設備就可以接入局域網(wǎng)，或者是未經(jīng)授權的用戶(hù)可以通過(guò)連接到局域網(wǎng)的設備進(jìn)入網(wǎng)絡(luò )。所以在校園網(wǎng)管理中，經(jīng)常發(fā)生IP盜用、IP地址沖突、賬號盜用、使用代理、用戶(hù)欠費、非法設備接入等情況。
 
采用傳統的IP與MAC綁定或IP與端口綁定的方式雖然可以在一定程度上解決此類(lèi)問(wèn)題，但隨著(zhù)用戶(hù)數的急劇增加和對業(yè)務(wù)多樣性要求的提高，網(wǎng)絡(luò )的安全性問(wèn)題日益突出。由于傳統認證方式對校園網(wǎng)中用戶(hù)數據包煩瑣的處理造成了網(wǎng)絡(luò )傳輸瓶頸，而通過(guò)增加其他網(wǎng)絡(luò )設備來(lái)解決傳輸瓶頸勢必造成網(wǎng)絡(luò )成本的提升，因此無(wú)法滿(mǎn)足用戶(hù)對網(wǎng)絡(luò )安全性、高效性和低成本的要求，給校園網(wǎng)管理帶來(lái)極大的難度。采用802.1X認證計費系統后，可以對接入用戶(hù)進(jìn)行賬號與IP、MAC、端口等多元素綁定，對學(xué)生用戶(hù)進(jìn)行多元素復合綁定，以唯一確定用戶(hù)。網(wǎng)絡(luò )中的非法用戶(hù)由于無(wú)法通過(guò)認證，支持802.1X的交換機的端口在物理上將把此用戶(hù)隔離在網(wǎng)各之。用計帶管看可以有效地自動(dòng)探測并屏蔽各種形式的代理服務(wù)器，包括單網(wǎng)卡代理，雙網(wǎng)卡代理，終端服務(wù)代理或者HTP、 Socket等各種代理形式，避免個(gè)賬號多人同時(shí)使用，減少安全隱患。

由于網(wǎng)站建設認證系統采用了受控端口和不受控端口。認證報文與業(yè)務(wù)報文互不干擾，因此認證計費效率高，對用戶(hù)的認證和計費不會(huì )對網(wǎng)絡(luò )性能造成瓶頸；用戶(hù)不會(huì )因認證而降低網(wǎng)絡(luò )訪(fǎng)問(wèn)效率:用戶(hù)不啟動(dòng)客戶(hù)端，其上連端口是禁止狀態(tài)，與外界的網(wǎng)絡(luò )是隔離狀態(tài)，避兔了原有網(wǎng)絡(luò )實(shí)時(shí)在線(xiàn)，經(jīng)常被掃描的情況。日志服務(wù)器記錄有用戶(hù)完整的訪(fǎng)問(wèn)記錄，包括源IP、目的IP、源端口、目的端口、源MAC、目的MAC、訪(fǎng)問(wèn)開(kāi)始時(shí)間、訪(fǎng)問(wèn)結束時(shí)間、發(fā)送流量、接受流量等，通過(guò)日志管理查詢(xún)系統，可以對日志進(jìn)行管理和查詢(xún)。