飞连
飞连
- 文档首页
飞连管理员指南网络准入入网认证方式选型建议
文档反馈
问问助手在通过飞连构建企业网络准入系统时,选择合适的认证协议是实现安全与体验平衡的关键。飞连目前支持两种主流的网络准入协议:802.1x 认证与 Portal 认证。
本文将为您解析两种协议的工作原理、架构组成及应用场景,帮助您根据业务需求做出最优选择。
802.1x 是一种基于端口的网络接入控制标准,广泛应用于企业有线办公网(交换机接入)与无线办公网(Wi-Fi 接入)。与全员共用同一个 Wi-Fi 密码或插网线即入网的模式不同,802.1x 要求每位员工使用独立的身份凭证入网,由认证服务器统一管理接入权限,实现“一人一密,身份可追溯”。
适用场景
- 受控办公电脑接入:公司统一配发的笔记本电脑,需要长期、稳定、免操作的内网连接。
- 高安全管控要求:研发、财务等核心部门,不仅需要核验身份,还需通过飞连客户端对终端进行合规性检查(如杀毒软件运行状态)。
- 动态网络赋权:需要基于员工身份(部门、岗位)在入网时自动划分不同的 VLAN 或 ACL 权限。
核心组件与角色
在飞连 802.1x 架构中,包含以下四个核心角色:
- 终端设备:员工办公设备。设备上通常需安装飞连客户端(结合 Windows AD 域认证等手动配置场景除外),用于发起 EAP 认证请求、提交身份信息以及进行环境安全检查。
- 网络接入设备:具备接入控制能力并启用了认证功能的网络硬件,如有线交换机、无线控制器(AC)或无线控制点(AP)。其作用是在认证通过前拦截所有业务流量,作为中继将认证信息转发至认证服务器。
- 飞连 RADIUS 节点:飞连的认证接入组件,负责与网络接入设备通信,处理身份校验请求,并将认证结果返回给网络接入设备。
- 飞连管理后台:系统的控制核心,负责存储用户信息、维护准入策略、执行身份核验并下发最终的准入决策。
网络架构与数据流转
工作流程
- 连接与拦截:终端设备连接办公 Wi-Fi 或插上有线网线。网络接入设备识别到新连接,在认证通过前,仅允许该终端传输认证相关的流量(EAP 报文),拦截其他业务报文。
- 请求转发:终端通过飞连客户端发起入网请求。网络接入设备将该请求封装在标准 RADIUS 报文中,转发给预先配置好的飞连 RADIUS 节点。
- 身份校验:飞连 RADIUS 节点联动飞连 Server,验证用户账号、密码或证书的合法性,并匹配对应的接入策略。
- 下发准入决策:校验完成后,飞连向网络接入设备发送接入接受(Access-Accept)或接入拒绝(Access-Reject)指令。
- 动态授权:在准许接入的同时,飞连可根据用户所属角色,动态指令网络接入设备将终端划分至对应的 VLAN(虚拟局域网)或应用相应的 ACL(访问控制列表)策略,实现精细化的网络隔离。
方案优势
- 二层物理拦截:在数据链路层拦截非法流量,安全性高于基于三层重定向的 Portal 认证。
- 动态切网(CoA):支持在终端运行过程中实时感知安全状态。一旦设备不合规,可动态将其切换至隔离 VLAN,无需断开重连。
- 自动化入网:配合飞连客户端实现静默连接,免除手动配置 SSID、协议、证书等复杂参数的成本。
Portal 认证(又称 Web 认证)是一种无客户端的准入方式。用户连接 Wi-Fi 后,流量会被网络接入设备拦截并重定向至一个认证网页(Portal 页面),用户在网页上完成身份核验后即可上网。
适用场景
- 访客接待接入:合作伙伴、面试人员等外来用户,无需安装任何软件,通过扫码或短信验证码实现“即连即用”。
- 移动办公(BYOD):员工使用私人手机或平板接入 Wi-Fi 访问非核心资源,追求快速、便捷的接入体验。
- 临时/特殊终端接入:无法安装客户端但具备浏览器功能的智能终端,或作为员工电脑客户端出现故障时的临时应急上网通道。
核心组件与角色
在飞连 Portal 架构中,主要包含以下核心角色:
- 终端设备:员工或访客的设备。无需安装飞连客户端,仅需具备标准的网页浏览器(PC 浏览器或移动端 H5)。
- 网络接入设备:具备 HTTP 重定向功能的无线控制器(AC)、无线访问点(AP)或有线交换机等网络硬件。负责在认证前拦截用户的 HTTP 请求,强制跳转至认证页面;并在最终接收到“认证成功”指令后放开网络权限。
- Portal 模块:负责接收终端网页提交的身份凭据,并向网络接入设备发起认证握手请求的组件。根据选型方案的不同,其部署形态分为两类:
- 网络接入设备内置(对应方案一):集成在网络接入设备(AC)内部。终端直接将凭据表单提交至网络接入设备,由网络接入设备直接触发后续的 RADIUS 校验。
- 飞连独立托管(对应方案二):由飞连后台提供独立的协议处理组件。负责代替网络接入设备接收终端表单,将其封装为标准的 Portal 认证请求报文并转发至网络接入设备;同时接收网络接入设备的认证结果,向终端推送最终页面。
- 飞连 Server:飞连系统的管控中心。负责提供可视化的员工/访客认证网页,识别网络接入设备并下发指定的“认证信息接收地址”,以及作为最终的数据库,校验账号密码的合法性。
技术实施模式
为了适配不同厂家和型号的网络接入设备,飞连 Portal 认证提供了两种技术实施模式。两种模式的主要区别在于:终端在网页上点击“登录”后,账号密码是通过什么路径传递给网络接入设备(AC)的。
说明
以下各模式均以员工 Portal 认证为例。访客认证的底层逻辑与此一致,仅在实际部署时,系统会根据用户身份对认证页面(如短信/扫码)、凭据接收地址及 RADIUS 端口等参数进行差异化配置,以实现业务策略的精细化隔离。
方案一:使用 AC 内置 Portal 认证(首选)
此模式下,网络接入设备(AC)自带完整的网页表单接收能力,终端直接与 AC 对接。
- 数据流向:终端点击登录 ➔ 账密直接发给 AC 设备 ➔ AC 发给后端的 RADIUS/飞连 Server 进行核对。密码正确后,由 AC 设备直接向终端推送“认证成功”页面。
- 优势:通信链路最短,交互步骤少,认证速度最快。完全依赖成熟的标准 RADIUS 协议,配置逻辑清晰。
- 适用场景:首选方案。适用于您的网络接入设备性能良好、支持标准内置对接功能,且包含多品牌硬件混用的企业网络环境。
方案二:使用飞连 Portal Server 认证
此模式下,飞连系统启用“飞连 Portal Server”模块作为中间转发站,代替 AC 接收终端发来的网页表单信息。
- 数据流向:终端点击登录 ➔ 账密先发给飞连 Portal Server ➔ 飞连 Portal Server 打包转发给 AC 设备 ➔ AC 发给后端的 RADIUS/飞连 Server 进行核对。密码正确后,AC 通知飞连 Portal Server,由飞连 Portal Server 向终端推送“认证成功”页面。
- 优势:将复杂的网页信息接收工作交由飞连处理,降低了对网络接入设备软硬件性能和功能的要求。
- 适用场景:当您的 AC 设备对 Portal 网页数据接收存在兼容性问题,强制要求外部 Portal 协议握手时使用。
- 局限性:由于外部 Portal 协议(如 Portal 1.0/2.0)多为国内厂商主导,非国际通用标准,因此国外品牌设备(如 Cisco、Aruba 等)通常不支持此模式。
工作流程
无论您在后台选择上述哪种实施模式,Portal 认证对终端用户而言,体验是一致的。其底层逻辑遵循以下 4 个阶段:
- 预连接与拦截(共性阶段):终端连接网络并获取 IP,网络接入设备拦截其上网请求,仅允许访问基础的 DNS 和指定的免认证白名单地址。
- 触发网页与指路(共性阶段):终端发起 HTTP 请求时被强制重定向到飞连 Server 提供的认证网页。此时,飞连 Server 会根据后台配置,指示浏览器将稍后填写的凭据发给 AC(方案一)或发给飞连 Portal Server(方案二)。
- 凭据提交与转发(差异阶段):用户输入凭证并提交。数据按照您选择的实施方案路径(直接给 AC 或 经飞连 Portal Server 转发给 AC),最终汇聚到网络接入设备,并统一上报给后端的 RADIUS/飞连 Server。
- 校验与放行(共性阶段):飞连后端校验凭证通过后,下发“接受(Access-Accept)”指令给网络接入设备。设备解除拦截,终端获得完整网络权限,并收到认证成功的页面提示。
您可以根据下表直观对比两种协议的差异:
维度 | 802.1x 认证 | Portal 认证 |
|---|---|---|
目标用户 | 企业员工(受控终端) | 访客、外包人员、员工个人设备 |
客户端要求 | 必须安装飞连客户端 | 无需安装飞连客户端(仅需浏览器) |
安全性 | 极高:二层物理拦截、支持 CoA 动态切网、支持设备环境合规检测 | 中等:三层重定向拦截、侧重于身份核验 |
入网体验 | 首次登录后,后续自动感知并连接 | 认证到期后需手动在页面重新登录 |
权限控制 | 强:支持动态 VLAN/ACL、动态切网 | 中:通常基于静态网段放行 |
硬件兼容性 | 极高:基于标准 RADIUS,支持全球主流厂商 |
|
认证方式 | 飞连账号、Windows AD 认证、数字证书 | 飞连账号、第三方扫码、短信/邮箱验证码 |