認證技術(shù)白皮書

1、認證技術(shù)白皮書目 錄1前言22為什么使用認證33認證相關(guān)技術(shù)33.1PPPoE接入認證原理43.2WEB接入認證原理8接入認證原理143.4綁定認證原理183.5各種認證方式比較194華為認證方案特點204.1華為公司認證解決方案特點205華為認證技術(shù)解決方案225.1PPPoE接入認證典型組網(wǎng)方式235.2WEB接入認證典型組網(wǎng)方式24接入認證典型組網(wǎng)方式275.4綁定認證典型組網(wǎng)方式295.5多種認證自由組合291 前言在數(shù)據(jù)網(wǎng)絡(luò)中，包括企業(yè)網(wǎng)、INTERNET網(wǎng)絡(luò)等等，追求的是網(wǎng)絡(luò)簡單、開放，所有人可以自由接入和使用。而在電信數(shù)據(jù)網(wǎng)絡(luò)中，運營商(比如網(wǎng)絡(luò)服務(wù)提供商NSP、業(yè)務(wù)提供商ISP

2、等)關(guān)心的是網(wǎng)絡(luò)可運營和可管理，要管理每個用戶的接入、業(yè)務(wù)使用、費用等等。在可運營、可管理網(wǎng)絡(luò)中，引入了針對用戶管理的AAA技術(shù)，包括認證（Authentication）、授權(quán)（Authorization）、計費（Accounting）三個技術(shù)：認證，是在用戶開始使用系統(tǒng)時對其身份進行的確認動作。授權(quán)，是在網(wǎng)絡(luò)安全中，授權(quán)某用戶以特定的方式與某網(wǎng)絡(luò)系統(tǒng)通信。計費，是記錄并提供關(guān)于經(jīng)濟活動的確切清單或數(shù)據(jù)。認證是識別用戶身份的過程，而授權(quán)是根據(jù)認證識別后的用戶情況授予對應(yīng)的網(wǎng)絡(luò)使用權(quán)限（QoS、帶寬限制、訪問權(quán)限、用戶策略），而計費也是根據(jù)認證后的用戶身份采用對應(yīng)的計費策略并記錄、提供計費信息（

3、時長、流量、位置等等），三個技術(shù)緊密聯(lián)系但又相互獨立的。認證技術(shù)是用戶管理最基本的技術(shù)。目前網(wǎng)絡(luò)中，有許多設(shè)備不支持認證，有許多設(shè)備只支持某一種認證，同時認證技術(shù)種類繁多、認證要求各不相同，造成網(wǎng)絡(luò)中認證方案的混淆和混亂。華為公司經(jīng)過多年的努力，通過在全球運營商網(wǎng)絡(luò)中大量的應(yīng)用，對認證技術(shù)進行合作分析、商用、評估等，輸出了完整的、成熟的認證技術(shù)和方案，有效地提供了認證技術(shù)選擇、認證方案實施，很好地促進了寬帶網(wǎng)絡(luò)的優(yōu)化和應(yīng)用。本文將從如下幾個方面介紹認證技術(shù)：n 為什么使用認證n 認證相關(guān)技術(shù)n 華為認證技術(shù)解決方案及特點n 華為認證方案相關(guān)設(shè)備2 為什么使用認證l 電信數(shù)據(jù)網(wǎng)的困惑在電信數(shù)據(jù)網(wǎng)

4、絡(luò)中，服務(wù)提供商(比如網(wǎng)絡(luò)服務(wù)提供商NSP、業(yè)務(wù)提供商SP等)關(guān)心的是網(wǎng)絡(luò)可運營和可管理，要管理每個用戶的接入、業(yè)務(wù)使用、費用等等。而電信數(shù)據(jù)網(wǎng)絡(luò)中大量使用的是廣泛應(yīng)用在企業(yè)網(wǎng)、INTERNET網(wǎng)絡(luò)中的以太網(wǎng)交換機、路由器等設(shè)備，遵循的是典型的數(shù)據(jù)網(wǎng)絡(luò)理念，追求的是網(wǎng)絡(luò)簡單、開放，自由接入和使用。怎么才能夠在電信數(shù)據(jù)網(wǎng)絡(luò)中針對用戶進行運營、管理呢？最基本的技術(shù)就是通過認證識別用戶身份。l 成熟的認證技術(shù)當前最為普遍主流認證技術(shù)有三種：PPPoE/PPPoEoA/PPPoA認證、WEB認證和802.1X認證，這三種認證從標準狀態(tài)、商用情況看，技術(shù)上都已經(jīng)成熟。3 認證相關(guān)技術(shù)當前最為普遍主流認證

5、技術(shù)有三種：PPPoE/PPPoEoA/PPPoA認證、WEB認證和802.1X認證。嚴格意義上講，這三種認證技術(shù)并不是真正的認證方式，每種認證技術(shù)都支持兩種以上的認證方式，具體認證技術(shù)和認證方式關(guān)系如下表所示：表1 認證技術(shù)和認證方式關(guān)系表認證技術(shù)認證方式PPPoE認證PAP、CHAP、EAPWEB認證PAP、CHAP802.1X認證EAP其中，EAP定義了一個認證構(gòu)架，包含了很多種認證方式：圖2 EAP認證方式匯總同時，針對特殊應(yīng)用，還有綁定認證和快速認證等技術(shù)。3.1 PPPoE接入認證原理PPP是傳統(tǒng)的認證方式之一，PPPoE是利用以太網(wǎng)發(fā)送PPP包的傳輸方法和支持在同一以太網(wǎng)上建立多

6、個PPP連接的接入技術(shù)。PPPoE結(jié)合了以太網(wǎng)和PPP連接的綜合屬性。PPP協(xié)議是一種點到點的鏈路層協(xié)議，它提供了點到點的一種封裝、傳遞數(shù)據(jù)的一種方法。PPP協(xié)議一般包括三個協(xié)商階段：LCP（鏈路控制協(xié)議）階段，認證階段（比如CHAP/PAP），NCP（網(wǎng)絡(luò)層控制協(xié)議，比如IPCP)階段。撥號后，用戶計算機和局方的接入服務(wù)器在LCP階段協(xié)商底層鏈路參數(shù)，然后在認證階段進行用戶計算機將用戶名和密碼發(fā)送給接入服務(wù)器認證，接入服務(wù)器可以進行本地認證，可以通過RADIUS協(xié)議將用戶名和密碼發(fā)送給AAA服務(wù)器進行認證。認證通過后，在NCP（IPCP）協(xié)商階段，接入服務(wù)器給用戶計算機分配網(wǎng)絡(luò)層參數(shù)如IP地

7、址等。經(jīng)過PPP的三個協(xié)商階段后，用戶就可以發(fā)送和接受網(wǎng)絡(luò)報文。用戶收發(fā)的所有網(wǎng)絡(luò)層報文都封裝在PPP報文中。 PPP協(xié)議的一個重要的功能是提供了身份驗證功能。以太網(wǎng)是一種廣播網(wǎng)絡(luò)，其缺點是通訊雙方無法相互驗證對方身份，通訊是不安全的。PPP協(xié)議提供了通訊雙方身份驗證的功能，但是PPP協(xié)議是一種點對點的協(xié)議，協(xié)議中沒有提供地址信息。如果PPP應(yīng)用在以太網(wǎng)上，必須使用PPPoE再進行一次封裝，PPPoE協(xié)議提供了在以太網(wǎng)廣播鏈路上進行點對點通訊的能力。3.1.1 認證系統(tǒng)架構(gòu)對于基于PPPoE的認證系統(tǒng)，客戶終端上的PPPoE客戶端到PPPoE服務(wù)器之間為二層網(wǎng)絡(luò)，PPPoE服務(wù)器負責終結(jié)PPP

8、oE客戶端發(fā)起的PPPoE協(xié)議，并利用PPP協(xié)議中支持的認證方法對客戶終端的PPP連接請求進行認證?；赑PPoE的認證系統(tǒng)架構(gòu)見下圖：圖3 基于PPPoE的認證系統(tǒng)架構(gòu)基于PPPoE的認證系統(tǒng)功能實體協(xié)議棧見下圖。在PPP的LCP協(xié)商階段，進行認證。圖4 基于PPPoE的認證系統(tǒng)功能實體協(xié)議棧3.1.2 接入流程以PPP-CHAP為例，PPPoE用戶的接入流程如下：圖 1 PPPoE認證流程1) PPPOE客戶端向PPPOE服務(wù)器設(shè)備發(fā)送一個PADI報文，開始PPPoE接入。2) PPPOE服務(wù)器向客戶端發(fā)送PADO報文。3) 客戶端根據(jù)回應(yīng)，發(fā)起PADR請求給PPPOE服務(wù)器。4) PPP

9、OE服務(wù)器產(chǎn)生一個session id，通過PADS發(fā)給客戶端。5) 客戶端和PPPOE服務(wù)器之間進行PPP的LCP協(xié)商，建立鏈路層通信。同時，協(xié)商使用CHAP認證方式。6) PPPOE服務(wù)器通過Challenge報文發(fā)送給認證客戶端,提供一個128bit的Challenge。7) 客戶端收到Challenge報文后，將密碼和Challenge做MD5算法后的，在Response回應(yīng)報文中把它發(fā)送給PPPOE服務(wù)器。8) PPPOE服務(wù)器將Challenge、Challenge-Password和用戶名一起送到RADIUS用戶認證服務(wù)器，由RADIUS用戶認證服務(wù)器進行認證。9) RADIUS

10、用戶認證服務(wù)器根據(jù)用戶信息判斷用戶是否合法，然后回應(yīng)認證成功/失敗報文到PPPOE服務(wù)器。如果成功，攜帶協(xié)商參數(shù)，以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán)。如果認證失敗，則流程到此結(jié)束。10) PPPOE服務(wù)器將認證結(jié)果返回給客戶端。11) 用戶進行NCP（如IPCP）協(xié)商，通過PPPOE服務(wù)器獲取到規(guī)劃的IP地址等參數(shù)。12) 認證如果成功，PPPOE服務(wù)器發(fā)起計費開始請求給RADIUS用戶認證服務(wù)器。13) RADIUS用戶認證服務(wù)器回應(yīng)計費開始請求報文。用戶此時通過認證，并且獲得了合法的權(quán)限，可以正常開展網(wǎng)絡(luò)業(yè)務(wù)。當用戶希望終止網(wǎng)絡(luò)業(yè)務(wù)的時候，同樣也可以通過PPPoE斷開網(wǎng)絡(luò)連接，此時會按照12

11、）、13）中的格式發(fā)送計費終止報文。詳細情況，請參見下節(jié)。3.1.3 下線流程PPPoE用戶下線流程包括用戶主動下線和異常下線兩種情況。用戶主動下線流程如下圖所示。圖5 用戶主動下線流程1) 用戶通過PPPoE客戶端，主動向PPPoE服務(wù)器發(fā)送Terminate-Request；2) PPPoE服務(wù)器向PPPoE客戶端返回Terminate-Ack報文；3) PPPoE服務(wù)器向AAA服務(wù)器發(fā)送計費停止請求的報文；4) AAA服務(wù)器向認證點回計費停止請求報文的回應(yīng)。異常下線流程如下圖所示。圖6 異常下線流程1) PPPoE服務(wù)器檢測到用戶已經(jīng)不在線；2) PPPoE服務(wù)器向AAA服務(wù)器發(fā)送計費停

12、止請求的報文；3) AAA服務(wù)器向認證點回計費停止請求報文的回應(yīng)。3.2 WEB接入認證原理3.2.1 認證系統(tǒng)架構(gòu)基于WEB的認證系統(tǒng)架構(gòu)見下圖。接入服務(wù)器對來自STA的HTTP請求重定向到POTRAL服務(wù)器中，利用PORTAL頁面對用戶進行認證。圖7 基于WEB的認證系統(tǒng)架構(gòu)基于WEB的認證系統(tǒng)功能實體協(xié)議棧見下圖。圖8 基于WEB的認證系統(tǒng)功能實體協(xié)議棧3.2.2 WEB接入認證流程用戶在WEB認證之前，必須先通過DHCP、靜態(tài)配置等獲得IP地址。用戶如果被配置成強制WEB認證，則用戶只需要輸入自己喜歡的網(wǎng)頁即可，系統(tǒng)自動下載認證網(wǎng)頁。用戶提交了用戶名和密碼之后，接入服務(wù)器與WEB認證服

13、務(wù)器協(xié)調(diào)工作，對用戶進行認證。下面以普通動態(tài)用戶為例，具體步驟如下：客戶終端 145接入服務(wù)器DHCP服務(wù)器AAA服務(wù)器WEB認證服務(wù)器23城域網(wǎng)67891011圖9 VLAN用戶接入流程（WEB認證）（1）（4）為動態(tài)用戶通過DHCP協(xié)議獲取地址的過程（靜態(tài)用戶手工配置地址即可。）；（5）用戶訪問WEB認證服務(wù)器的認證頁面，并在其中輸入用戶名、密碼，點擊登陸按鈕；（6）WEB認證服務(wù)器將用戶的信息通過內(nèi)部協(xié)議，通知接入服務(wù)器；（7）接入服務(wù)器到相應(yīng)的AAA服務(wù)器對該用戶進行認證；（8）AAA服務(wù)器返回認證結(jié)果給接入服務(wù)器；（9）接入服務(wù)器將認證結(jié)果通知WEB認證服務(wù)器；（10）WEB認證服務(wù)

14、器通過HTTP頁面將認證結(jié)果通知用戶；（11）如果認證成功用戶即可正常訪問網(wǎng)絡(luò)資源。3.2.3 三層用戶的WEB認證用戶沒有與接入服務(wù)器 2層相連，中間存在路由器等3層設(shè)備，這樣用戶到接入服務(wù)器的報文中只有用戶的IP地址沒有MAC地址信息，這種類型的用戶稱為3層認證用戶。與2層認證用戶不同的是3層認證用戶的MAC地址接入服務(wù)器獲取不到，因而不能進行MAC、IP的綁定檢查安全性不高容易仿冒；ARP請求不能穿透路由器因而不能對用戶進行ARP探測確定是否在線。對此，接入服務(wù)器要求3層認證用戶必須進行WEB認證，不能通過綁定認證等方式上線。另外，接入服務(wù)器支持當網(wǎng)絡(luò)發(fā)生問題用戶原先的線路不同，但有另一

15、條線路可以訪問接入服務(wù)器的情況，此時接入服務(wù)器可以通過新的IP包找到到達用戶的新路徑更新相關(guān)的信息。IP報文觸發(fā)3層用戶上線的流程如下圖所示：圖10 IP報文觸發(fā)3層認證用戶上線流程（1）用戶的IP報文到達接入服務(wù)器，接入服務(wù)器為其分配資源建立預連接；（2）用戶的HTTP請求被強制到（或用戶主動訪問)WEB認證服務(wù)器的認證頁面，并在其中輸入用戶名、密碼，點擊登陸按鈕；（3）WEB認證服務(wù)器將用戶的信息通過內(nèi)部協(xié)議，通知接入服務(wù)器；（4）接入服務(wù)器到相應(yīng)的AAA服務(wù)器對該用戶進行認證；（5）AAA服務(wù)器返回認證結(jié)果給接入服務(wù)器；（6）接入服務(wù)器將認證結(jié)果通知WEB認證服務(wù)器；（7）WEB認證服務(wù)

16、器通過HTTP頁面將認證結(jié)果通知用戶；（8）如果認證成功用戶即可正常訪問網(wǎng)絡(luò)資源。3.2.4 WEB認證用戶下線流程WEB認證用戶下線流程包括用戶主動下線和異常下線兩種情況。用戶主動下線流程如下圖所示。圖11 用戶正常下線流程1) 當用戶需要下線時，可以點擊認證結(jié)果頁面上的下線機制，向Portal服務(wù)器發(fā)起一個下線請求。2) Portal服務(wù)器向接入服務(wù)器發(fā)起下線請求。3) 接入服務(wù)器返回下線結(jié)果給Portal服務(wù)器。4) Portal服務(wù)器根據(jù)下線結(jié)果，推送含有對應(yīng)的信息的頁面給用戶。5) 當接入服務(wù)器收到下線請求時，向RADIUS服務(wù)器發(fā)計費結(jié)束報文。6) RADIUS服務(wù)器回應(yīng)接入服務(wù)器

17、的計費結(jié)束報文。異常下線包含兩種情況：接入服務(wù)器偵測到用戶下線s圖12 接入服務(wù)器檢測到用戶異常下線流程1) 接入服務(wù)器檢測到用戶下線，向Portal服務(wù)器發(fā)出下線請求。2) Portal服務(wù)器回應(yīng)下線成功。3) 當接入服務(wù)器收到下線請求時，向RADIUS用戶認證服務(wù)器發(fā)計費結(jié)束報文。4) RADIUS用戶認證服務(wù)器回應(yīng)接入服務(wù)器的計費結(jié)束報文。Portal服務(wù)器偵測到用戶下線圖13 Portal服務(wù)器檢測到用戶異常下線流程1) Portal 服務(wù)器偵測到用戶下線，向接入服務(wù)器發(fā)出下線請求。2) 接入服務(wù)器回應(yīng)下線成功。3) 當接入服務(wù)器收到下線請求時，向RADIUS用戶認證服務(wù)器發(fā)計費結(jié)束報

18、文。4) RADIUS用戶認證服務(wù)器回應(yīng)接入服務(wù)器的計費結(jié)束報文。3.3 802.1X接入認證原理3.3.1 認證系統(tǒng)架構(gòu)基于802.1x的認證系統(tǒng)架構(gòu)見下圖。在此種架構(gòu)下，系統(tǒng)實現(xiàn)IEEE 802.1x中定義的認證請求者、認證點和認證服務(wù)器的三元結(jié)構(gòu)。認證請求者對應(yīng)客戶終端，認證點可以對應(yīng)接入服務(wù)器，認證服務(wù)器對應(yīng)AAA服務(wù)器?；?02.1x的認證系統(tǒng)利用EAP協(xié)議的擴展能力可以選用不同的認證算法。圖14 基于802.1x的認證系統(tǒng)架構(gòu)基于802.1x的EAP認證系統(tǒng)各實體協(xié)議棧見下圖。圖15 基于802.1x的認證系統(tǒng)功能實體透傳方式協(xié)議棧3.3.2 802.1X接入認證流程基于802.

19、1x的認證系統(tǒng)利用EAP協(xié)議的擴展能力可以選用不同的認證算法。以EAP-MD5為例：圖16 EAP-MD5認證方式交互圖流程描述如下：1. 在用戶和接入服務(wù)器之間建立好物理連接后，用戶客戶端向接入服務(wù)器發(fā)送一個EAPoL-Start報文（如果用戶是動態(tài)分配地址的，可能是DHCP請求報文；如果用戶是手工配置地址的，可能是ARP請求報文），開始802.1x接入的開始。2. 接入服務(wù)器向客戶端發(fā)送EAP-Request/Identity報文，要求客戶端將用戶名送上來。3. 客戶端回應(yīng)一個EAP-Response/Identity給接入服務(wù)器的請求，其中包括用戶名。4. 接入服務(wù)器以EAP Over

20、RADIUS的報文格式向RADIUS認證服務(wù)器發(fā)送Access-Request報文，里面含有客戶端發(fā)給接入服務(wù)器的EAP-Response/Identity報文，將用戶名提交RADIUS認證服務(wù)器。5. 接入服務(wù)器產(chǎn)生一個128 bit的Challenge。6. RADIUS認證服務(wù)器回應(yīng)接入服務(wù)器一個Access-Challenge報文，里面含有EAP-Request/MD5-Challenge報文，送給接入服務(wù)器用戶對應(yīng)的Challenge。7. 接入服務(wù)器通過EAP-Request/MD5-Challenge發(fā)送給認證客戶端,送給用戶Challenge。8. 客戶端收到EAP-Reque

21、st/MD5-Challenge報文后，將密碼和Challenge做MD5算法后的Challenge-Password，在EAP-Response/MD5-Challenge回應(yīng)中把它發(fā)送給接入服務(wù)器。9. 接入服務(wù)器將Challenge-Password通過Access-Request報文送到RADIUS用戶認證服務(wù)器，由RADIUS用戶認證服務(wù)器進行認證。10. RADIUS用戶認證服務(wù)器根據(jù)用戶信息判斷用戶是否合法，然后回應(yīng)認證成功/失敗報文到接入服務(wù)器。如果成功，攜帶協(xié)商參數(shù)，以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán)。11. 接入服務(wù)器根據(jù)認證結(jié)果，給用戶回應(yīng)EAP-Success/EAP-F

22、ailure，通知用戶認證結(jié)果。如果認證失敗，則流程到此結(jié)束。如果成功，可以進行后續(xù)的授權(quán)、計費等流程。3.3.3 用戶下線流程用戶下線流程包括用戶主動下線和異常下線兩類情況。用戶主動下線流程如下圖所示。圖17 用戶主動下線流程1) 客戶端主動向認證點發(fā)送EAP-Logoff消息；2) 認證點向認證服務(wù)器發(fā)送計費停止請求的報文；3) 認證服務(wù)器向認證點回計費停止請求報文的回應(yīng)。異常下線流程如下圖所示：圖18 認證點檢測用戶下線流程1) 認證點檢測發(fā)現(xiàn)用戶已經(jīng)不在線；2) 認證點向認證服務(wù)器發(fā)送計費停止請求的報文；3) 認證服務(wù)器向認證點回計費停止請求報文的回應(yīng)。3.4 綁定認證原理所謂綁定認證

23、就是使用用戶連接的物理信息進行認證。系統(tǒng)自動根據(jù)用戶所在的端口、VLAN等物理信息到對應(yīng)的AAA服務(wù)器進行認證，用戶無需手工認證。3.5 各種認證方式比較表2 各種認證方式比較表認證方式PPPoE認證WEB認證802.1x認證接入控制粒度PPP連接VLAN用戶、物理端口邏輯端口客戶端支持商用客戶端WinXP集成標準瀏覽器廠商私有客戶端WinXP有限支持組播支持組播報文可以不通過PPPoE封裝支持支持封裝開銷PPP封裝大報文分片以太網(wǎng)封裝以太網(wǎng)封裝IP地址分配方式IPCPDHCP/靜態(tài)DHCP/靜態(tài)（擴展）IP地址分配流程先認證后分配IP先分配IP后認證二次地址分配認證后DHCP分配地址額外的W

24、LAN支持無無重認證機制密鑰傳送EAP-SIM認證協(xié)議標準標準協(xié)議私有協(xié)議標準認證協(xié)議與RADIUS Server配合標準協(xié)議標準協(xié)議標準協(xié)議附加設(shè)備RADIUS ServerPORTAL ServerRADIUS ServerRADIUS ServerAS（EAP-SIM認證）用戶異常離線檢測LCP ECHO報文WEB keep-alive檢測ARP檢測Keep-alive機制重認證機制技術(shù)應(yīng)用情況成熟成熟新技術(shù)附加業(yè)務(wù)特性VPDN支持認證前免費資源訪問認證界面廣告業(yè)務(wù)服務(wù)選擇業(yè)務(wù)定制無同時，需要注意的是，上述認證方式都包含了兩部分內(nèi)容：1. 用戶終端和接入服務(wù)器之間使用PPPoE、WEB和

25、802.1X認證；2. 接入服務(wù)器和AAA服務(wù)器之間使用的標準的或者擴展的RADIUS協(xié)議。主要差異都在第一部分中；第二部分除802.1X使用擴展的EAP屬性外，其他都一樣。4 華為認證技術(shù)解決方案認證應(yīng)用在所有運營領(lǐng)域，同時結(jié)合認證技術(shù)本身特點，認證技術(shù)的選用有四個原則：l 客戶使用習慣從用戶習慣看，窄帶用戶習慣PPPoE認證客戶端，酒店、會議等用戶習慣WEB認證界面，WLAN用戶習慣802.1x認證認證客戶端。服務(wù)器及VIP用戶習慣綁定認證。l 網(wǎng)絡(luò)提供能力基于ATM的DSLAM支持可以提供PPPoE，以太網(wǎng)交換機可以提供802.1X，多數(shù)基于IP的BAS設(shè)備提供兩種以上的認證技術(shù)。802

26、.1X對應(yīng)的AAA服務(wù)器必須能夠提供EAP認證功能。l 客戶終端成熟度PPPoE客戶端非常成熟、穩(wěn)定，WEB認證只要標準商用的WWW瀏覽器，但802.1x客戶端目前還只有Windows XP和Windows 2000 SP1有限支持。l 網(wǎng)絡(luò)維護工作量PPPoE和802.1x有專用客戶終端，需要說明書和維護，有相當?shù)木S護工作量；WEB認證沒有專用客戶終端，維護工作量小，但由于使用商用的WWW瀏覽器因此對客戶操作系統(tǒng)、瀏覽器均有一定的要求。4.1 PPPoE接入認證典型組網(wǎng)方式（1）本地認證組網(wǎng)方式對于小的局點，Quidway® MA5200系列寬帶智能接入服務(wù)器對任何接入方式都提供了

27、強大的本地認證功能，從而可以省去RADIUS服務(wù)器減少組網(wǎng)成本。下面是PPPoE用戶本地認證的組網(wǎng)示意圖：MA 5200 BRASEthernetEthernetNE RouterIP BackboneAAA server圖19 本地認證組網(wǎng)示意圖PPPoE在撥號上網(wǎng)時將用戶名和密碼送到MA5200，如果本地有該用戶并且密碼驗證通過就允許用戶上網(wǎng)，否則拒絕。（2）RADIUS認證組網(wǎng)方式Quidway® MA5200系列寬帶智能接入服務(wù)器同時也支持靈活的RADIUS認證的功能。下面是PPPoE用戶RADIUS認證的組網(wǎng)示意圖。MA 5200 BRASEthernetEthernetN

28、E RouterIP BackboneAAA ServerDHCP Server圖20 RADIUS認證組網(wǎng)示意圖收到用戶的認證請求后將用戶名和密碼發(fā)送到RADIUS服務(wù)器進行認證，如果認證成功，就根據(jù)配置對用戶進行分配地址，如果分配成功就通知用戶認證成功，進行IPCP協(xié)商。（3）混合組網(wǎng)方式Quidway® MA5200系列寬帶智能接入服務(wù)器根據(jù)用戶的認證信息，可以判斷用戶需要進行本地認證，還是RADIUS認證，從而可以根據(jù)組網(wǎng)需要組合使用本地認證和RADIUS認證。4.2 WEB接入認證典型組網(wǎng)方式（1）本地認證組網(wǎng)方式對于小的局點，Quidway® MA5200系列寬

29、帶智能接入服務(wù)器對任何接入方式都提供了強大的本地認證功能，可以省去RADIUS服務(wù)器、Portal服務(wù)器、DHCP服務(wù)器，從而減少組網(wǎng)成本。下面是WEB用戶本地認證的組網(wǎng)示意圖：MA 5200 BRASEthernetEthernetNE RouterIP BackboneAAA serverDHCP serverPortal server圖21 本地認證組網(wǎng)示意圖WEB認證時將用戶名和密碼送到MA5200，如果本地有該用戶并且密碼驗證通過就允許用戶上網(wǎng)，否則拒絕。（2）RADIUS認證組網(wǎng)方式Quidway® MA5200系列寬帶智能接入服務(wù)器同時也支持靈活的RADIUS認證的功能。下面是WEB認證用戶RADIUS認證的組網(wǎng)示意圖。MA 5200 BRASEthernetEthernetNE RouterIP BackboneAAA ServerDHCP ServerPortal Server圖22 RADIUS認證組網(wǎng)示意圖收到用戶的認證請求后將用戶名和密碼發(fā)送到RADIUS服務(wù)器進行認證。（3）混合組網(wǎng)方式Quidway® MA5200系列寬帶智能接入服務(wù)器根據(jù)用戶的認證信息，可以判斷用戶需要進行本地認證，還是RADIUS認證，從而可