7.1　Wi-Fi认证规划

7.1.1　Wi-Fi认证方案

根据现有Wi-Fi网络认证方式，制定与现网融合的Wi-Fi认证方案，主要包括集团认证和本地认证两种。其中，集团认证是指Wi-Fi用户认证要使用统一的集团RADIUS认证服务器，通过WEB进行认证的方式。而本地认证则是使用在本地设置RADIUS认证服务器，可以通过多种方式（如PPPoE、WEB认证、IEEE 802.1x等）进行认证。

1．集团认证

集团认证的网络结构如图7-1所示。

图7-1　集团认证网络结构图

图7-1中，所有用户需要通过集团认证服务器进行认证。因此，认证方式较为固定，每用户安全措施也相对有限。

2．本地认证

本地认证的网络结构如图7-2所示。

图7-2　本地认证网络结构图

图7-2中，采用本地认证的用户可通过WEB认证方式，连接到本地认证的RADIUS服务器，完成认证。

本地认证与集团认证相比，设备可靠性高，并且支持多种认证方式，可实现灵活配置，安全性保证较好。

结合Wi-Fi网络用户认证需求以及当地运营商认证服务器现有的规划部署方案，Wi-Fi核心网认证可采用集团认证和本地认证相结合的方案。集团认证可方便部署统一的集团业务，如“随e行”等；本地认证具有灵活方便的特点，有利于Wi-Fi网络的快速使用。因此，对于用户定制的业务或预付费业务以及移动性比较高的业务，主要采用集中式集团认证；而对于集团会议等业务，主要采用本地认证。

7.1.2　认证方式的选择

根据网络情况，可选的认证方式主要有3种：基于PPPoE的认证、基于WEB的认证和基于IEEE 802.1x的认证。

PPPoE认证是基于以太网的点对点协议，主要目的是把最经济的局域网技术、以太网和点对点协议的可扩展性及管理控制功能结合在一起。PPPoE在城域网上得到了广泛的应用，Wi-Fi使用PPPoE认证方式对原有的AAA（认证、授权、计费）系统的冲击最小，但PPPoE的缺点是需要客户端软件或者是Windows XP。

WEB认证方式在网络上得到一定的应用，但不如PPPoE广泛。WEB认证方式实现起来比较复杂，而且用户在开机时必须触发DHCP请求，这样用户一开机就需占用IP地址；另外，由于用户开机时与AP建立的无线链路可能还不稳定，该次DHCP过程失败的可能性较大。这样用户必须手动刷新其网卡，否则不能正常认证。WEB方式使用很方便，不需要客户端软件。

对于集中的统一认证后台，在公共场所能够同时提供两种认证方式，以方便用户的使用，比如有些用户喜欢和习惯使用PPPoE，而某些用户对DHCP似乎更熟悉和了解。若原有设备无法实现DHCP＋WEB，可以先支持PPPoE认证方式；对于家庭用户和企业用户，可以只支持PPPoE认证方式。

随着Wi-Fi建设规模的迅速扩大，网络上原有的认证系统已经不能很好地适应用户数量急剧增加和宽带业务多样性的要求。IEEE 802.1x协议对认证方式和认证体系结构进行了优化，解决了传统PPPoE和WEB/Portal认证方式带来的问题，更适合在Wi-Fi网络中使用。

IEEE 802.1x称为基于端口的访问控制协议（Port Based Network Access Control Protocol）。

IEEE 802.1x协议的体系结构包括三个重要的部分：客户端（Supplicant System）、认证系统（Authenticator System）、认证服务器（Authentication Server System）。

IEEE 802.1x认证协议已经得到了很多软件厂商的重视，目前微软也在大力推广，并在Windows XP上已经整合IEEE 802.1x客户端软件，无需要另外安装客户端软件。只是目前运营商尚未大规模采用IEEE 802.1x认证技术，在采用前需要进行一定的技术积累。