政企支撑序列岗位认证培训系列教材(局域网基础知识分册)

1、1 1四川电信网络运行维护部用户至上用户至上 用心服务用心服务 Customer First Service ForemostCustomer First Service Foremost2 2四川电信网络运行维护部用户至上用户至上 用心服务用心服务 Customer First Service ForemostCustomer First Service Foremost课程介绍OSI七层模型以太网基本原理常见协议工作原理常见网络命令ACL及安全认证3 3四川电信网络运行维护部用户至上用户至上 用心服务用心服务 Customer First Service ForemostCustomer

2、First Service Foremost01.01.课程介绍课程介绍 目前政企客户网络由单机向局域网转变。虽然客户网络不属于电信维护范畴，但受竞争因素的影响，维护人员为客户局域网维护提供了不同程度的支撑。这就要求维护人员掌握局域网的维护技能，从而解决客户的燃眉之急，提升客户满意度。并为以后推行网络无忧等局域网有偿服务奠定基础。背景背景4 4四川电信网络运行维护部用户至上用户至上 用心服务用心服务 Customer First Service ForemostCustomer First Service ForemostOSI七层参考模型的信息流向动画OSI模型，即开放系统互连基本参考模型(

3、OSI/RM)，是国际标准组织(ISO)提出的一个试图使各种计算机在世界范围内互连为网络的标准框架，简称OSI。现今网络技术和设备上得到最广泛应用的不是OSI，而是TCP/IP。TCP/IP是事实上的国际标准。02.OSI02.OSI七层模型七层模型 5 5四川电信网络运行维护部用户至上用户至上 用心服务用心服务 Customer First Service ForemostCustomer First Service Foremost02.OSI02.OSI七层模型与设备、协议七层模型与设备、协议OSI模型常见设备常见协议应用层Telnet、HTTP、FTP、WWW、NFS、SMTP表示层J

4、PEG、MPEG、ASII会话层NFS、SQL、NETBIOS、RPC传输层TCP、UDP网络层路由器、三层交换机、防火墙等网关设备IP、IPX、OSPF、RIP、IGRP、ICMP、ARP、RARP数据链路层二层交换机、网桥PPP、FR、HDLC、VLAN、MAC物理层modem、中继器、线缆、集线器 RJ45、CLOCK、IEEE802.3TCPTCP：面向连接，可靠UDPUDP：面向无连接，不可靠说明：在以太网中，半双工和全双工是物理层的概念，而针对物理层的双工模式提供不同访问方式则是数据链路层的概念，这样就形成了以太网的一个重要特点：数据链路层和物理层是相关的。6 6四川电信网络运行维

5、护部用户至上用户至上 用心服务用心服务 Customer First Service ForemostCustomer First Service Foremost03.03.以太网基本原理以太网基本原理 以太网以太网是一种基带局域网技术，使用同轴电缆作为网络媒体，采用载波多路访问和碰撞检测（CSMA/CD）机制。 以太网采用CSMA/CD媒体访问机制，任何工作站都可以在任何时间访问网络。在发送数据之前，工作站首先需要侦听网络是否空闲，如果网络上没有任何数据传送，工作站就会把所要发送的信息投放到网络当中。否则，工作站只能等待网络下一次出现空闲的时候再进行数据的发送。要开通以太网的用户至少应具备

6、电脑和网卡。 局域网三个发展阶段：以太网/IEEE 802.3：采用同轴电缆作为网络媒体，传输速率达到10Mbps；100Mbps以太网：又称为快速以太网，采用双绞线作为网络媒体，传输速率达到100Mbps；1000Mbps以太网：又称为千兆以太网，采用光缆或双绞线作为网络媒体，传输速率达到1000Mbps（1Gbps）； 7 7四川电信网络运行维护部用户至上用户至上 用心服务用心服务 Customer First Service ForemostCustomer First Service Foremost03.03.以太网基本原理以太网基本原理- -典型组网模型典型组网模型第二层交换机（网

7、桥技术）使用可编程的ASIC（专用集成电路）通过高速背板/总线（速率可达每秒几十GB）并基于MAC地址完成不同端口间的数据转发，价格最低，性能亦最低，支持VLAN，通常为非网管型第三层交换机（路由技术） 使用可编程的ASIC（专用集成电路）而不是运行在处理器之上的软件进行数据转发和IP路由处理，具有线速路由功能，可为每个端口配置独立的IP地址，可根据IP地址划分为小而独立的VLAN既可完成第二层交换机的端口交换功能，又能完成部分路由器的路由功能第四层交换机 能够基于传输层中的TCP/UDP应用端口号决定传输，即根据端口主机的应用需求来自主确定或动态限制端口的交换过程和数据流量，即具有第四层智能

8、应用交换需求工作组级交换机(接入层 Access layer) 一般为固定配置，10/100Mbps自适应，通常支持的信息点少于100个。部门级交换机（汇聚层 distribution layer） 一般为千兆位第三层交换机，固定配置或模块配置，通常能支持300500个信息点。企业级交换机 (核心层 core layer) 一般采用模块配置，属于第三层或第四层千兆位（或以上）交换机，通常能支持500个信息点以上。Desktop SwitchRack SwitchModule switch8 8四川电信网络运行维护部用户至上用户至上 用心服务用心服务 Customer First Service

9、 ForemostCustomer First Service Foremost04.04.常见协议工作原理常见协议工作原理协议 Telnet&SSHRS232&RS485802.1x&RADIUS802.11a/b/gRJ45&RJ11工具超级终端SecCRTSnifferethernet非常用接口9 9四川电信网络运行维护部用户至上用户至上 用心服务用心服务 Customer First Service ForemostCustomer First Service Foremost04.04.常见协议工作原理常见协议工作原理 网络协议简介网络协议简介ARPA

10、RP，全称Address Resolution Protocol，中文名为地址解析协议，它工作在数据链路层，用于将网络中的协议地址（当前网络中大多是IP地址）解析为本地的硬件地址（MAC地址）。RARPRARP(AReverseAddressResolutionProtocol反向地址解析协议),用于MAC地址到IP的解析,此协议多用于无盘工作站.比如局域网中有一台主机只知道物理地址而不知道IP地址，那么可以通过RARP协议发出征求自身IP地址的广播请求，然后由RARP服务器负责回答。ICMPICMP是“InternetControlMessageProtocol”（Internet控制报文协

11、议）的缩写。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。 NAT（Network Address Translation）起到将内部私有地址翻译成外部合法的全局地址的功能，它使得不具有合法IP地址的用户可以通过NAT访问到外部Internet.当建立内部网的时候,建议使用以下地址组用于主机,这些地址是由Network Working Group(RFC 1918)保留用于私有网络地址分配的.Class A:

12、to 54Class B: to 54Class C: to 541010四川电信网络运行维护部用户至上用户至上 用心服务用心服务 Customer First Service ForemostCustomer First Service Foremost04.04.常见协议工作原理常见协议工作原理-ARP-ARP特点：没有认证/确认机制无法阻止伪造的ARPreply报文伪造的源/目的伪造IP/MAC路由 00-11-22-33-44-01 A192.168

13、.0.2 00-11-22-33-44-02 B 00-11-22-33-44-03 广播一个ARP请求包 广播一个ARP请求包 ARP应答 地址解析协议（Address Resolution Protocol，ARP）是在仅知道主机的IP地址时确定其物理地址的一种协议。ARP协议使用的是广播包的形式发送ARP的机制是信任局域网内的所有用户1111四川电信网络运行维护部用户至上用户至上 用心服务用心服务 Customer First Service ForemostCustomer First Service Foremost04.04.常见故障常见故障-ARP-ARP【

14、故障现象】 当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。 切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。 由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞 以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。【解决方案】 在服务器上将网关的

15、MAC地址和IP绑定，如果网关支持IP/MAC绑定，在您的路由器绑定即可，或者使用能将MAC地址和IP地址进行绑定的交换来避免此类情况发生。 在计算机上做MACIP绑定，将网关IP地址与MAC地址设为静态: arp -s 00-0A-EB-BC-8E-7A 更新杀毒软件和系统补丁1212四川电信网络运行维护部用户至上用户至上 用心服务用心服务 Customer First Service ForemostCustomer First Service Foremost04.04.常见协议工作原理常见协议工作原理VRRPVRRPHSRP 是思科专利的热备份协议1313四川电信

16、网络运行维护部用户至上用户至上 用心服务用心服务 Customer First Service ForemostCustomer First Service Foremost04.04.常见协议工作原理常见协议工作原理NATNATHSRP 是思科专利的热备份协议NAT（Network Address Translation） ： 网络地址转换协议，用来实现私有网络地址与公有网络地址之间的转换。应用场景：当使用私有网络地址的内部网络的主机访问因特网或与外部网络的主机通信时需要用到地址转换优点地址转换的优点：1.内部网络的主机可以通过该功能访问网外资源；2.为内部主机提供了隐私privacy 保护

17、；3.解决了日益紧张的IP地址资源。缺点：1.由于需要对数据报文进行IP地址的转换，涉及IP地址的数据报的报头不能被加密；2.网络调试变得更加困难。比如某一台内部网络的主机试图攻击其他网络，则很难指出究竟是哪一台机器是恶意的，因为主机的IP地址被屏蔽了。1414四川电信网络运行维护部用户至上用户至上 用心服务用心服务 Customer First Service ForemostCustomer First Service Foremost04.04.常见故障常见故障【案例背景】 目前，有很多单位自建局域网且没有专职的网络维护人员，内网经常出现网络不通、掉线等故障。用户本身对网络也不熟悉，容易

18、造成电信光纤不好用的错觉，从而给异网运营商的策反提供了突破口。【解决方案】 1515四川电信网络运行维护部用户至上用户至上 用心服务用心服务 Customer First Service ForemostCustomer First Service Foremost05.05.常见网络命令常见网络命令 IP IP地址分类地址分类1 1IP地址分类IP地址分为网络地址和主机地址二个部分，A类地址前8位为网络地址，后24位为主机地址，B类地址16位为网络地址，后16位为主机地址，C类地址前24位为网络地址，后8位为主机地址，网络地址范围如下表所示：种类种类网络地址范围网络地址范围 A

19、到55 B -55C -55D 到55用于多点广播 E 到54保留 55用于广播 子网划分(subnetting)的优点:1.减少网络流量2.提高网络性能3.简化管理4.易于扩大地理范围/24其中/24表示子网掩码为示例：3/27网络地址：2主机地址：掩码：255.

20、255.255.32反向掩码：11616四川电信网络运行维护部用户至上用户至上 用心服务用心服务 Customer First Service ForemostCustomer First Service Foremost05.05.常见网络命令常见网络命令 IP IP地址分类地址分类2 2对照表掩码掩码位位/8(A类地址默认掩码)/9/10/11/12/13/14/15/16(B类地址默

21、认掩码)255.255.128/17/18/19/20/21/22/23/24(C类地址默认掩码)28/2592/2624/2740/2848/2952/30IP相关计算方法 公式：H=2N-2H：可用ip数量N：主机位数减2是因为全0主机位与网络号重复不可能，

22、而主机位为全1时，定义为网络广播地址也不可用。 确定ip所在的网段十进制IP与掩码，转换为二进制，然后进行逻辑与操作，得出的结果即为网段号。 判断IP是否属于同一网段1、把十进制IP与掩码转换为二进制，然后进行逻辑与操作，得出的结果即为网段号。2、如果得出的网段号相同，则为同一网段，否则为不同网段IP，不同网段IP间通信，需要有路由功能的设备参与。1717四川电信网络运行维护部用户至上用户至上 用心服务用心服务 Customer First Service ForemostCustomer First Service Foremost05.05.常见网络命令常见网络命令广播地址 广播地址是一种

23、特殊的IP地址形式，一种是直接广播地址，一种是有限广播地址。 直接广播地址包含一个有效的网络号和一个全“1”的主机号，如55，255就是一个主机号，202则是C类的IP地址，C类IP地址就是我们常接触到的。 一一. . 直接广播地址直接广播地址所谓广播地址指同时向网上所有的主机发送报文，也就是说，不管物理网络特性如何，internet网支持广播传输。如55就是B类地址中的一个广播地址，你将信息送到此地址，就是将信息送给网络号为136.78的所有主机二二. .有限广播地址：有限广播地址：不被路由支持，只作本地广播。目的ip地址为255.255.25

24、5.255三三. .回送地址回送地址 标示本机，这是规定，不做解释。其作用是测试TCP/IP配置和连接，利用带有回送（loopback）地址的ping 命令（即ping ），验证tcp/ip安装是否正确，是否已经绑定到你的网络适配器上。地地 址址 类类 子子 网网 广广 播播 048子子 网网 掩掩 码码 728C63A15

25、.16.192.055B55B27 示例：示例：1818四川电信网络运行维护部用户至上用户至上 用心服务用心服务 Customer First Service ForemostCustomer First Service Foremost05.05.常见网络命令常见网络命令TTLTTLIPIP报文中一部分字段专门用来描述报文的生命周期报文中一部分字段专门用来描述报文的生命周期，即即Time To Time To Live (TTL) Live (TTL) 。每一个被发送出的IP信息包都有一个TTL

26、域，该域被设置为一个较高的数值，最大值为255。当信息包在网络中被传输时，TTL的域值通过一个路由器时递减1；当TTL 递减到0时，信息包被路由器抛弃。 LINUX Kernel 2.2.x & 2.4.x ICMP LINUX Kernel 2.2.x & 2.4.x ICMP 回显应答的回显应答的 TTL TTL 字段值为字段值为 6464 FreeBSD 4.1, 4.0, 3.4; Sun Solaris 2.5.1, 2.6, 2.7, 2.8; OpenBSD 2.6, 2.7； NetBSD ；HP UX 10.20 ICMP ICMP 回显应答的回显应答的 TT

27、L TTL 字段值为字段值为 255 255 Windows 95/98/98SE ；Windows ME ICMP ICMP 回显应答的回显应答的 TTL TTL 字段值为字段值为 32 32 Windows NT4 WRKS ；Windows NT4 Server；Windows 2000 ICMP ICMP 回显应答的回显应答的 TTL TTL 字段值为字段值为 128 128 1919四川电信网络运行维护部用户至上用户至上 用心服务用心服务 Customer First Service ForemostCustomer First Service Foremost05.05.常见网络命

28、令常见网络命令 协议与端口协议与端口1）21ftp 此端口开放表示服务器提供了FTP服务，入侵者通常会扫描此端口并判断是否允许匿名登陆，如果能找到可写目录，还可以上传一些黑客程序做近一步入侵。 2）23Telnet 此端口开放表示服务器提供了远程登陆服务，如果你有管理员的用户名和密码，可以通过这个服务来完全控制主机（不过要先搞定NTLM身份认证），获得一个命令行下的shell。许多入侵者喜欢开启这个服务作为后门。3）25smtp 此端口开放表示服务器提供了SMTP服务，一些不支持身份验证的服务器允许入侵者发送邮件到任何地点，SMTP服务器（尤其是sendmail）也是进入系统的最常用方法之一。

29、4）69TFTP(UDP) 此端口开放表示服务器提供了TFTP服务，它允许从服务器下载文件，也可以写入文件，如果管理员错误配置，入侵者甚至可以下载密码文件。许多入侵者通过在自己机器运行此服务来传文件到目标机器，从而实现文件的传输。6）80http 此端口开放表示服务器提供了HTTP服务，可以让访问者浏览其网页等，大部分针对IIS服务器的溢出攻击都是通过这个端口的，可以说是入侵者最常攻击的一个端口了。7）443 HTTPS网页浏览端口，主要是用于HTTPS 服务，是提供加密和通过安全端口传输的另一种HTTP。 2020四川电信网络运行维护部用户至上用户至上 用心服务用心服务 Customer F

30、irst Service ForemostCustomer First Service Foremost05.05.常见网络命令常见网络命令A ping 测试连通性。B netstat a -显示所有的有效连接信息列表 C arp a -查看高速缓存中的mac地址D tracert-跟踪数据包经过的路径E route print-查看路由表F ipconfig-查询网卡参数G telnet远程登录H msconfig激活系统配置程序登录：login,shutdown,reboot文件：grep,find,mv,ls,cat系统管理：top,kill,crontab,at网络：ifconfig,

31、ip,ping,netstat, telnet,ftp,traceroute.route,nslookup系统安全：passwd,su,chmod, chown,who,chattr其它：tar,manWindows常用命令Linux常用命令实例：ping命令： -l 1472，返回“Reply from 43: bytes=1472 time=1ms TTL=57”，表明到达的服务器的时延为1ms，且通路上能通过1472字节大小的数据包；如返回“Request timed out”，表明网络不可达，但不能说明网络不通，有可能是对方服务器禁止ping。2121四川电信网

32、络运行维护部用户至上用户至上 用心服务用心服务 Customer First Service ForemostCustomer First Service Foremost06.ACL06.ACL及安全认证及安全认证ACLACL基础基础ACLACL的基本原理、功能与局限性的基本原理、功能与局限性基本原理基本原理：ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。功能功能：网络中的节点资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。ACL的主

33、要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。配置配置ACLACL的基本原则：的基本原则：在实施ACL的过程中，应当遵循如下两个基本原则： 最小特权原则：只给受控对象完成任务所必须的最小的权限 最靠近受控对象原则：所有的网络层访问权限控制局限性局限性：由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到end to end的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。2222四川电信网络运行

34、维护部用户至上用户至上 用心服务用心服务 Customer First Service ForemostCustomer First Service Foremost06.ACL06.ACL及安全认证及安全认证ACLACL分类分类标准标准IP ACLIP ACL扩展的扩展的IP ACLIP ACL的配置的配置命名的命名的IP ACLIP ACL基于时间的基于时间的ACLACL反向反向ACLACL如何实现单向访问控制如何实现单向访问控制ip access-list extend fi-access-limitip access-list extend fi-access-limitdeny ip

35、 any 55deny ip any 55permit ip any anypermit ip any anyint vlan 5int vlan 5ip access-group fi-access-limit inip access-group fi-access-limit inint vlan 6int vlan 6ip access-group fi-access-limit inip access-group fi-access-limit in错误的配置错误的配置2323四川电信网络运行维护部用户至上用户至上 用心服

36、务用心服务 Customer First Service ForemostCustomer First Service Foremost06.ACL06.ACL及安全认证及安全认证反向反向ACLACL示例示例reflect r-main timeout xxxreflect r-main timeout xxx：其中的reflect关键字表明该条目可以用于捕捉建立反向的ACL条目所需要的信息。r-main是reflect组的名字，具备相同reflect组名字的所有的ACL条目为一个reflect组。timeout xxx表明由这条ACL条目所建立起来的反向ACL条目在没有流量的情况下，多长时间

37、后会消失（缺省值为300秒），单位为秒。evaluate r-mainevaluate r-main：在fi-access-limit(反ACL)中，指有符合r-main这个reflect组中所定义的acl条目的流量发生时，在evaluate语句所在的当前位置动态生成一条反向的permit语句。ip access-list extend fi-mainip access-list extend fi-mainpermit tcp any 55 permit tcp any 55 reflect r-main timeout

38、 120reflect r-main timeout 120permit udp any 55 permit udp any 55 reflect r-main timeout 200reflect r-main timeout 200permit icmp any permit icmp any 55 reflect r-main timeout 55 reflect r-main timeout 10permit ip any anypermi

39、t ip any anyint vlan 4int vlan 4ip access-group fi-main inip access-group fi-main inip access-list extend fi-access-limitip access-list extend fi-access-limitevaluate r-mainevaluate r-maindeny ip any 55deny ip any 55permit ip any anypermit ip any anyint vlan 5int vlan

40、 5ip access-group fi-access-limit inip access-group fi-access-limit inint vlan 6int vlan 6ip access-group fi-access-limit inip access-group fi-access-limit in正确的配置正确的配置CiscoCisco特有特有2424四川电信网络运行维护部用户至上用户至上 用心服务用心服务 Customer First Service ForemostCustomer First Service Foremost06.ACL06.ACL及安全认证及安全认证-

41、 -常用认证方式介绍宽带网中使用的主要认证技术包括三类，即PPPoE技术、802.1X技术和DHCP+WEB技术。PPPoEPPPoE（RFC2516）技术采用以太网报文封装PPP报文，由于IP包和PPP报文不兼容，必须有专门的设备终结PPP报文并转换成IP报文，这种设备就是宽带接入服务器。用户和宽带接入服务器之间采用以太网封装PPP报文，其通信过程包括两个阶段，即发现阶段和会话阶段发现阶段和会话阶段。因此PPPoE方式其整个通信过程都必须进行PPPoE的封装，效率较低，随着用户数量的大量增加对BRAS设备的性能要求呈指数上升。802.1X802.1X技术技术是基于端口（包括物理端口和逻辑端口

42、如MAC地址、VLAN等）的认证技术，其认证阶段采用EAP（RFC2284）报文，EAP报文是PPP报文的扩展，其认证阶段与PPPoE方式类似。其认证过程为：用户通过用户通过802.1X802.1X客户端软件发起认证（客户端软件发起认证（EAPoLEAPoL报文）报文） 交换机终结交换机终结EAPoAEAPoA报文并向认证服务器转发报文并向认证服务器转发EAPEAP报报文文 认证通过认证通过DHCPDHCP服务器分配服务器分配IPIP地址地址 受控端口打开受控端口打开 正常通信正常通信。由此可以看出，802.1X认证仅仅在认证阶段进行EAP封装，通信过程中采用TCP/IP协议。DHCP+WEB

43、DHCP+WEB方式方式各设备厂商具体实现并不完全一致，但其认证过程可以归纳为：用户开机并通过：用户开机并通过DHCPDHCP服务器分配认证服务器分配认证IPIP地址地址 局端设备通过对该局端设备通过对该IPIP地址进行强制地址进行强制URLURL访问到登陆页面访问到登陆页面 用户输入用户帐用户输入用户帐号信息并发往认证服务器号信息并发往认证服务器 认证服务器反馈认证成功信息认证服务器反馈认证成功信息 局端设备将用户局端设备将用户VLANVLAN、用户端口、用户、用户端口、用户IPIP地地址和址和MACMAC地址进行可选择性的绑定并开放用户的上网功能地址进行可选择性的绑定并开放用户的上网功能。

44、这种方式认证和业务流也实现了分离，并可以方面地利用WEB服务器推出PORTAL和广告等增值业务，对用户进行业务宣传及业务引导。 802.1X和DHCP+WEB均采用认证流和数据流相分离的方式，该方式也决定了其对组播支持能力较强（只要局端设备支持），这两种方式的带宽利用率均较高，同时可以避免城域网汇聚层同时作为BRAS使用。802.1X和DHCP+WEB两种方式比较而言，802.1X802.1X在用户控制能力方面较弱，只能进行端口在用户控制能力方面较弱，只能进行端口/ /带宽的控制带宽的控制，而DHCP+WEBDHCP+WEB方式则可以对接入的用户数量方式则可以对接入的用户数量进行控制，但认证阶

45、段需要全程VLAN支持，对VLAN资源消耗较大，802.1X和DHCP+WEB对局端交换机均有要求，DHCP+WEB由于采用Portal方式，其增值业务能力较强。从产品支持能力来看，由于802.1X是IEEE标准，局端设备选择范围较大，同时可以避免城域网汇聚层设备同时作为BRAS使用，而DHCP+WEB则要实现较多的ACL控制，其设备要求也较高；从客户端支持来看，由于802.1X目前没有标准的客户端，不同厂商客户端程序不同，容易导致放号困难及维护工作量较大。总体而言，PPPoE技术成熟，效率低，对组播等新业务支持能力差（目前BRAS均不支持组播）；802.1X设备选择范围大，但对用户控制能力及

46、客户端软件标准性较差，目前尚未大规模商业；DHCPWEB可以实现较多的增值业务，同时可以很好的支持组播业务，但WEB目前没有统一的标准。2525四川电信网络运行维护部用户至上用户至上 用心服务用心服务 Customer First Service ForemostCustomer First Service Foremost06.ACL06.ACL及安全认证及安全认证- -常用认证方式介绍 AAAAAA指的是指的是Authentication(Authentication(鉴别鉴别) )，Authorization(Authorization(授权授权) )，Accounting(Accoun

47、ting(计费计费) )。鉴别。鉴别(Authentication)(Authentication)指用户在使用网络系统中的资源指用户在使用网络系统中的资源时对用户身份的确认。时对用户身份的确认。这一过程，通过与用户的交互获得身份信息(诸如用户名口令组合、生物特征获得等)，然后提交给认证服务器；后者对身份信息与存储在数据库里的用户信息进行核对处理，然后根据处理结果确认用户身份是否正确。例如，移动通信系统能够识别其网络内网络终端设备的标志和用户标志。授权授权(Authorization)(Authorization)网络系统授权用户以特定的方式使用其资源网络系统授权用户以特定的方式使用其资源，这一过程指定了被认证的用户在接入网络后能够使用的业务和拥有的权限，如授予的IP地址等。仍以移