隨著我國信息化的加速發展，各個行業和部門都建立了企業內部的網絡系統，這種企業網絡采用通用的TCP/IP作為通信協議，利用互聯網的3W技術，進行內部數據的共享和業務開展，同時，還以WEB模型做為標準平臺，實現辦公自動化。數字化和信息化已經是現代企業的基本標志，企業離開了網絡，離開了計算機，就如同人類離開了電和光明一樣，生產和管理將無法進行。

國有大型企業的內部網除了內部互聯互訪之外，還通過服務器或路由器與外網相聯，進行內部私網地址的轉換，從而進入公共網絡，使企業網聯通世界。大型企業網還以住地為中心，承擔企業職工的互聯網服務，因而，企業網建立起了通達企業生活區、辦公區的骨干網絡系統，形成了企業網絡獨特的發展道路。一般而言，企業網絡在發展過程中，會由于技術不到位，分片分區發展，造成整個網絡配置不統一，網絡運行的后續問題比較突出，主要表現在，重硬件輕軟件，重發展輕管理，通常是已經形成了一定的用戶規模了，而整個網絡還沒有配置相應的管理平臺和系統，用戶管理無序，網絡管理的五個功能域，即配置管理、故障管理、性能管理、記帳管理和安全管理不健全，有的網絡不能進行用戶管理，無用戶接入控制，有的無記賬功能，不能提供靈活和差異化的費用政策，有的還處于手工管理階段，網絡管理原始。接入用戶的訪問控制是寬帶系統的重點，在構建一個網絡時，接入認證的選擇已經是衡量這個網絡是不是可維護可管理和是不是一個智能化完整網絡的一個重要方面。那么，企業互聯網應當如何選擇接入認證方式呢？

一、應當選用主流的接入認證技術

在寬帶接入業務逐漸發展的過程中，接入認證技術是網絡發展的熱點技術領域，由于，認證技術比較復雜，到目前為止，還沒有一種認證方式能夠解決商業化網絡管理中的所有問題，只能是各有千秋。目前主流的認證方式主要有Web認證、PPPoE、802.1x，RADIUS認證。

1、WEB認證：WEB/Portal 認證方式，各設備廠商具體實現并不完全一致，但其認證過程可以歸納為：用戶開機并通過服務器分配認證IP地址，局端設備通過對該IP地址進行強制URL訪問到登陸頁面，用戶輸入用戶賬號信息并發往認證服務器, 認證服務器獲得用戶MAC/IP/VLAN ID作為用戶標識，認證服務器反饋認證成功信息，局端設備將用戶VLAN ID、用戶端口、用戶IP地址和MAC地址進行可選擇性的綁定并開放用戶的上網功能。這種方式認證和業務流也實現了分離，并可以方便地利用WEB服務器推出Portal和廣告等增值業務，對用戶進行業務宣傳及業務引導。

2、PPP0E認證：PPPoE(基于以太網的點到點協議)認證方，基于BNAS（寬帶接入服務器）和PPPoE的認證方法是較早出現也是最常見的一種用戶管理手段。

PPPoE方式用戶管理

采用安裝在端局POP節點的BNAS，負責終結由用戶PC機發起的PPPoE進程，并在BNAS后面連接運營商的RADIUS(遠程認證撥入用戶服務)認證服務器和RADIUS計費服務器。當用戶登錄時，BNAS將用戶名和口令傳送到認證服務器，驗證通過后，BNAS將允許用戶接入網絡，并啟動計費服務器對用戶進行計費。BNAS投資昂貴，采用BNAS+PPPoE這一認證方法將增加城域網建設的投資。 BNAS的業務接入方式與窄帶撥號接入服務器相同，采用PPP方式。采用PPP協議的好處是：成熟，便于實現，可以支持多協議，容易與ISP設施配合，支持加密、認證、記賬等功能。

3、802.1x認證，基于端口的網絡訪問控制技術，在傳統以太網設備的基礎上，采用IEEE 802.1x協議提供對基于以太網端口點到點連接的用戶進行認證、授權的能力，從而使以太網設備可以達到電信運營的要求，尤其在寬帶城域網的建設中可以發揮重大的作用。
802.1x協議是基于Client/Server的訪問控制和認證協議。它可以限制未經授權的用戶/設備通過接入端口訪問LAN/MAN。在獲得交換機或LAN提供的各種業務之前，802.1x對連接到交換機端口上的用戶/設備進行認證。在認證通過之前，802.1x只允許EAPoL(基于局域網的擴展認證協議)數據通過設備連接的交換機端口；認證通過以后，正常的數據可以順利地通過以太網端口。

4、RADIUS認證：RADIUS是英文(Remote Authentication Dial In User Service)的縮寫，是網絡遠程接入設備的客戶和包含用戶認證與配置信息的服務器之間信息交換的標準客戶/服務器模式。它包含有關用戶的專門文檔，如：用戶名、接入口令、接入權限等。這是保持遠程接入網絡的集中認證、授權、記費和審查的得到接受的標準。RADIUS認證系統包含三個方面：認證部分、客戶協議以及記費部分,其中： RADIUS 認證部分一般安裝在網絡中的某臺服務器上，即RADIUS認證服務器； 客戶協議運行在遠程接入設備上，如：遠程接入服務器或者路由器。這些RADIUS客戶把認證請求發送給RADIUS認證服務器，并按照服務器發回的響應做出行動； RADIUS記費部分收集統計數據，并可以生成有關與網絡建立的撥入會話的報告。

二、幾種認證方式的比較

WEB認證：不需要安裝客戶端軟件的是Web認證方式，這也是Web認證方式被提出來并具備一定競爭力的最主要理由。這帶來的好處在于網絡的運營商無需為最終用戶提供客戶端安裝指導、維護等一系列服務，降低了成本和工作量，并使業務容易被接受和推廣。

PPP0E：它主要的缺陷是局端接入設備的開銷比較大，局端設備容易形成瓶頸。數據包中有一定的開銷。在用戶認證通過后，由寬帶接入服務器（BAS），向后臺的RADIUS服務器發送計費開始包，在用戶下線后（用戶主動掛斷、異常死機、網絡斷等），由BAS向后臺的RADIUS服務器發送計費結束包。后臺計費系統便可根據計費起始包、結束包進行按時長、按流量進行實時計費。由于PPPoE的點對點的本質，在用戶主機和BAS之間，限制了多播協議的存在。這樣，將會在一定程度上，影響今后視頻業務的開展，PPPoE出現較早，產品支持最多

802.1x認證：簡潔高效，純以太網技術內核，保持了IP網絡無連接特性，不需要進行協議間的多層封裝，去除了不必要的開銷和冗余；消除網絡認證計費瓶頸和單點故障，易于支持多業務和新興流媒體業務，控制流和業務流完全分離，易于實現跨平臺多業務運營，少量改造傳統包月制等單一收費制網絡即可升級成運營級網絡，而且網絡的運營成本也有望降低，但要注意它是基于交換機端口，認證粒度是端口，在應用時要考慮這一因素。802.1x為新認證方式，產品支持最少

RADIUS認證：實時記費能力差，Radius 認證是一種軟硬件廣泛支持的認證方式。

三、企業寬帶網絡接入認證方式的選擇

企業寬帶網絡都是商業化的網絡，網絡建設需要投入，而投資的回收和維護費用都需要用戶分擔，因此，控制用戶非法接入，實現營運效益，選擇網絡接入技術十分重要，但是，面對多種技術，究竟應當如何選擇呢？原則是：

1、量力而行原則，企業網絡應當根據資金實力，如果資金有保證，就選擇比較成熟的和相對完善的主流技術。

2、易維護易管理原則，企業網絡規模一般比不上正規網絡運營商，不可能考慮十分周全，應當從自己的用戶實際出發，結合自己的網絡應用、高層應用和增值業務、業務策略、運營、控制和安全、網絡管理等幾個方面來選擇各種認證方式。

3、有利于提高服務質量原則，當今時代信息業競爭加劇，用戶需求多種多樣，服務質量是第一位的，選擇一種認證技術時，要綜合評價服務器端建設，管理流程、用戶側使用效果、運行穩定性等，如果一種技術的應用造成網絡上層和下層（用戶）使用中問題頻出，那么，這項技術就不能產生良好的效果和目標。

本文從企業網絡的建設情況，引出企業寬帶網絡出現的問題，其核心問題是技術的不完善，造成用戶管理缺失，由此討論了幾種流行的接入認證技術方式，以期幫助企業網絡在建設和改擴時有一個正確的選擇，使企業網絡向智能化升級。