用户认证管理技术对比

图1 认证方式分类及功能区别

图2 集中式、分布式认证点在网络中的分布

　　常见的校园网认证技术从认证位置和功能来看，主要分为准入认证和准出认证；从实现技术方面主要分为802.1X、Portal、IPoE（PPPoE技术由于组播特性支持较差，不适合校园网应用环境，故本文不做详述）；从认证点和使用技术可分为集中式认证和分布式认证。下文主要从分布式、集中式认证这个划分纬度来做对比分析。

　　分布式认证

　　分布式部署是目前主流的部署方式，认证点分布在接入或者汇聚交换机上，多采用802.1X或者Web认证技术，发生故障仅对单台设备下用户带来影响，范围很小，而且认证点的分布也减轻了单一设备集中认证带来的性能压力。

　　802.1X和Web认证技术在校园网的优势主要体现在安全性、业务支撑能力、可靠性、认证效率和校园流量模型匹配上面。但是在管理成本和扩容成本上有所欠缺，这主要体现在接入层设备众多，策略复杂导致配置工作量较大；而安全功能、可靠性在接入（汇聚）交换机上实现，较普通功能简单的交换机在扩容带来一定成本。

　　集中式认证

　　集中式认证主流技术为Portal、IPOE、PPPoE。其中,后两种技术在路由器作为BRAS设备时候使用，多用于运营商小区宽带，Portal方式则是在交换机上实现。

　　首先我们从业务流量模型上分析集中式认证。目前运营商广泛采用集中式认证，而校园里由于用户的特定业务、使用方式、习惯等原因，存在着大量横向通信的流量，如用户间文件共享，宿舍间联机对战，教研室间特定软件访问。图4是一张流量模型对比图。

图3 集中式认证在校园、小区宽带的流量模型对比

　　图中可以看出，在校园横向流量模型下进行分布式认证部署将更为匹配，而集中式认证在校园网这种横向流量模型的条件下，所有的数据流都要经过核心设备再绕回接入层，流量的迂回在校园网中不仅仅带来效率问题，还有逐级收敛问题，将带给核心设备很大的压力。在实际部署的时候，集中式认证的核心设备的性能要求较高，多采用双机热备的方式保证核心关键节点的可靠性。此种认证方式比较适用于老校区在经费有限的情况下进行网络改造，如IPv4到IPv6的升级，此时只需更换核心设备即实现网络的功能升级，而接入层采用旧有功能简单的交换机即可。