我還清楚的記得,2006年剛進公司的時候,學習產品、技術,有一道經典的考題,爲什麼802.1X強於PPPoE和BAS認證的方式,我還記得當時那2個經典的理由:
1,802.1X是將安全做到邊緣,用戶可以實現入網即安全,而BAS是高高在上的,用戶無需認證即可訪問到同一網關下的其他用戶,可控性差,常常造成未認證之前的各種***。
2,BAS是集中式認證,對於用戶數量龐大的網絡,例如高校宿舍網,集中式設備的性能瓶頸明顯,不適合上萬用戶規模的部署,而802.1X將認證的性能壓力分佈在各個接入交換機上,性能好。
一轉眼6年時間過去了,技術的發展打破了很多禁錮,把我們帶入一個集中認證的時代,在這個時代,用戶的需求和廠商的技術發生了很大的變化,以高校用戶爲例:
1,局域網內橫向流量幾乎爲零。所謂橫向流量,也叫東西流量(左西右東嘛),是指用戶在局域網內部的流量,在2006年之前,橫向流量在高校中是非常普遍的,FTP分享、局域網遊戲(如CS等)還是那時的普遍應用,因爲互聯網帶寬小嘛,所以大家還是習慣於在局域網裏面玩耍;現在則不同了,FTP分享被豐富的視頻網站所取代,而局域網遊戲則被大量的網遊所取代,加上web 2.0時代的各種SNS應用,使得原本豐富的東西流量變得幾乎爲零了,而整個網絡中充滿着縱向流量(南北流量),大家都在紛紛的往互聯網上跑,當然,我們的出口也大了,帶寬也高了。某知名高校的網絡中心曾做過實驗,將宿舍上網的網關從樓棟匯聚改到核心上,兩週之後來看數據,發現流量幾乎沒什麼變化,足見橫向的訪問基本已經消失了。
2,高校網絡中心對於龐大的設備維護工作量不堪重負。10000個學生,就意味着數百臺接入交換機,算上樓層匯聚,基本一個高校上千臺接入交換機是很正常的,而一個高校網絡中心最多也就是20多人,負責網絡設備維護的不超過10個人,這龐大的維護工作量還真是讓人頭疼,更可怕的是,如果將安全、管理、認證、計費這些高級功能都實現在接入設備上(即經典的802.1X實現方式),那無疑會進一步增加這些設備的維護量,搞過網絡設備維護的人都知道,功能開的越複雜,出問題的可能性就越大,出現配置調整的時候的工作量也就越大。於是高校網絡中心的用戶都開始渴求着能夠將這分佈在數十棟樓宇中的高級功能回收到網絡中心的機房中。
3,傳統BAS設備的性能大幅提升。相比於2006年以前,BAS設備的性能有了天翻地覆的變化,而價格也降到了比較合理的程度。現在主流廠商的BAS設備承載個10000多在線用戶是完全可以做到的,而用戶付出的成本也可以接受。
基於以上三點,我們看到近幾年來越來越多的用戶開始轉向採用BAS設備和PPPoE協議來搭建自己的認證計費體系,正向那句古話說的“三十年河東,三十年河西”,當BAS解決了性能問題,當最終用戶的流量模型發生了變化,當降低運維管理工作強度的需求強於終端安全的需求的時候,集中式的認證管理成爲高校用戶的一個更好的選擇,而廠商此時應快速跟進用戶的這種需求變化,推出更適合的產品。