郑州大学自2004年启用认证以来，采用的是某厂商的802.1X认证方案（SAM系统）。学生用户使用学号登录，教职工使用职工卡号登录，入网绑定IP、MAC、账号、密码。通过这种准入的认证方式，基本解决了私架代理、路由器共享上网、地址盗用等问题。但随着近两年智能上网设备的普及，802.1X的局限性逐渐显现出来。

　　目前存在的问题

　　1.SAM系统自身的封闭性

　　SAM系统作为一个商业系统，是基于该厂商自有设备的基础上开发出来的。在使用中，该系统对自家设备的支持必然是最好的。虽然近两年该系统宣称也支持其他厂商的802.1X设备，但是品牌和类型非常狭窄。这就导致了在启用SAM认证的区域，设备采购必然把该厂商产品作为第一选择。这也与很多高校推行的引进数个品牌竞争的原则相冲突。

　　2.Wi-Fi上网需求

　　随着智能上网设备的增多，各类设备对无线上网的需求越来越强烈。目前学校在学生宿舍和教职工家庭已经铺设有有线网络，无线网络尚未覆盖到此类区域。由于802.1X协议的特殊性，目前尚没有成熟商用的支持802.1X协议的无线路由器。根据市场调查，TP-LINK在7系列以后的无线路由器中支持802.1X拨号，但是实测发现存在拨号成功率低、容易掉线等问题。虽然也可以在各类手持设备操作系统上开发客户端，但目前该厂商并没有成熟方案。另外，有一部分设备不具备安装软件的能力，如智能电视，显然在目前的条件下无法解决。

　　解决办法

　　如果直接采购已有厂商的Web认证系统，可以最快解决问题，但是势必又陷入问题1的怪圈。出于综合考虑，学校在目前的条件下自行开发一套Web认证系统，利用SAM系统一些功能，又独立于设备。原有SAM认证架构如图1所示。

图1   SAM认证架构

　　在目前网络基础上，增加一台Portal设备H3C-SR6602，添加一台Web认证服务器，改造后网络架构如图2所示。

图2   Web认证示意图