NAC网络准入必看：Portal认证和802.1X认证之间有何区别

在企业身份认证场景中，办公网络的接入认证至关重要，这便引出了NAC 网络准入控制的概念。NAC，即 Network Access Control，是用来管理和控制网络用户访问的系统，主要目的是确保网络的安全性以及资源的合理使用。在 NAC 网络准入机制里，最常见的就是 Portal 认证和 802.1X 协议。

一个经典问题：Portal 认证和 802.1X 认证有何区别？

Portal认证与802.1X认证的区别

首先，它俩都是用来验证入网用户的身份的，防止像黑客电脑、未授权终端此类非法设备随意接入企业网络，进而降低数据泄露、病毒传播等风险。

其次，Portal 认证是应用层的认证，在 7 层，是基于 web 页面的便捷认证机制。它依赖 web 页面重定向，本质是 “应用层拦截 + 认证”，用户一般看到的是 web 界面。而802.1X 认证是数据链路层，在 2 层，是基于端口的严格身份认证，直接管控交换机、AP 等网络设备的物理或逻辑端口，属于 “链路层准入”，用户感知到的通常是客户端界面。

用户连接网络时，在 Portal 认证前，用户所持设备已有内网 IP 地址，但网络设备会拦截所有未放行的网络请求，如访问百度、邮箱等，并强制重定向到 Portal 认证页面。而 802.1X 认证前，用户所持设备仅被允许 802.1X 认证报文通行，禁止 DHCP、HTTP 等所有业务报文，也就无法获取内网 IP 地址。基于这些特性，802.1X 相比 Portal 认证的安全性更高，适合固定员工网络准入场景；Portal 便捷性优先，适合临时用户、访客等企业外部人员的网络接入身份认证。

对于打印机、IoT 这类既不支持 802.1X 客户端，又无法弹出 Portal 页面的终端设备，如何做网络准入控制？在这种场景，网络管理员一般采取MAC Bypass 旁路认证。MAC 认证本质上可以被看做是一种简化的、无感的 Portal 认证，无需人工交互，但其实它是利用 802.1X 架构来实现的。

Portal 和 802.1X 都采用 RADIUS 作为认证服务器。所以 NAC 网络准入系统通常由 RADIUS 服务器搭配各种认证方式构成，比如 Portal 协议里的短信认证、扫码认证、临时用户授权等，802.1X 协议里的账密认证、证书认证等。

宁盾网络准入系统部分认证方式

企业一般会根据不同场景分别采用 Portal、802.1X、MAC 认证，实现协同互补，构建多层次的网络接入认证体系。此外，专业的 NAC 方案，不仅能验证用户身份，还能验证设备合规性，比如检查终端设备有无安装杀毒软件、是否符合企业安全策略，以而提升企业内网终端安全基线。

常见NAC方案及特点

1. 网络设备厂商方案：如思科的 ISE 身份服务引擎、华为的 Campus 方案等。这类方案对自家网络设备兼容性好，但在定制化访客管理流程方面支持不足。

2. 上网行为设备厂商方案：这类方案以上网行为监控为主，网络认证是其中一个分支能力且作用于网络出口，属于网络准出方案，而非准入。

3. 第三方身份认证厂商方案：以宁盾为例，优势在于能同时兼容纳管异构网络设备，在认证方式、认证策略上更灵活，对复杂场景适应性强。

如今，因国产化改造和本地化服务需求，很多企业选择国内 NAC 网络准入方案替代国外方案，如微软 NPS 等。