华为技术篇之协议原理与实现(3)

　　3．和其他认证方式的比较：

　　IEEE802.1x协议虽然源于IEEE 802.11无线以太网（EAPOW），但是，它在以太网中的引入，解决了传统的PPPOE和WEB/PORTAL认证方式带来的问题，消除了网络瓶颈，减轻了网络封装开销，降低了建网成本。

　　众所周知，PPPOE是从基于ATM的窄带网引入到宽带以太网的，由此可以看出，PPPOE并不是为宽带以太网量身定做的认证技术，将其应用于宽带以太网，必然会有其局限性，虽然其方式较灵活，在窄带网中有较丰富的应用经验，但是，它的封装方式，也造成了宽带以太网的种种等问题。在PPPOE认证中，认证系统必须将每个包进行拆解才能判断和识别用户是否合法，一旦用户增多或者数据包增大，封装速度必然跟不上，成为了网络瓶颈；其次这样大量的拆包解包过程必须由一个功能强劲同时价格昂贵的设备来完成，这个设备就是我们传统的BAS，每个用户发出的每个数据包BAS必须进行拆包识别和封装转发；为了解决瓶颈问题，厂商想出了提高BAS性能，或者采用大量分布式BAS等方式来解决问题，但是BAS的功能就决定了它是一个昂贵的设备，这样一来建设成本就会越来越高。

　　WEB/PORTAL认证是基于业务类型的认证，不需要安装其他客户端软件，只需要浏览器就能完成，就用户来说较为方便。但是由于WEB认证走的是7层协议，从逻辑上来说为了达到网络2层的连接而跑到7层做认证，这首先不符合网络逻辑。其次由于认证走的是7层协议，对设备必然提出更高要求，增加了建网成本。第三，WEB是在认证前就为用户分配了IP地址，对目前网络珍贵的IP地址来说造成了浪费，而且分配IP地址的DHCP对用户而言是完全裸露的，容易造成被恶意攻击，一旦受攻击瘫痪，整网就没法认证；为了解决易受攻击问题，就必须加装一个防火墙，这样一来又大大增加了建网成本。WEB/PORTAL认证用户连接性差，不容易检测用户离线，基于时间的计费较难实现；用户在访问网络前，不管是 TELNET、FTP还是其它业务，必须使用浏览器进行WEB认证，易用性不够好；而且认证前后业务流和数据流无法区分。所以，在以太网中，WEB/PORTAL认证目前只是限于在酒店,校园等网络环境中使用。