文章总结： 网络准入控制的三种主要方式包括Portal认证、802.1x认证和MAB认证。Portal认证基于HTTP重定向，用户友好但安全性低，适合公共网络；802.1x认证基于链路层，安全性高但部署复杂，适合企业内网；MAB认证基于MAC地址，自动认证但易伪造，适合IoT设备。选择时应根据安全需求、设备类型和使用场景，结合零信任理念构建可信网络环境。 综合评分： 100 文章分类： 网络安全,终端安全,IoT安全,安全建设,解决方案

网安人士必知的三种准入方式：Portal认证、802.1x认证与MAB认证

原创

承影

兰花豆说网络安全

2025年12月1日 00:11 湖北

在数字化加速发展的今天，网络环境愈发复杂，终端数量呈指数级增长，安全边界逐渐消失。传统依赖网络隔离和固定边界防护的方式已无法满足企业和政府机构的安全需求，“可信接入”“零信任准入”等理念被推向前台。在这些理念的基础能力中，网络准入控制（NAC）是构建安全网络体系的重要一环，它确保只有合法、可信、满足安全策略的终端才能接入内网。

关于网络准入这块，我接触比较早，大概15年前做通信的时候，当时做AC/AP的时候，接触过Portal认证和802.1x认证，还涉及到Portal服务器和Radius服务器，那时候对协议这块了解的还是非常清楚的。一晃这么多年过去了，最近接触到准入，感觉有必要把基础知识拿出来给大家普及一下，具体的协议报文就不在此文赘述，如果要深钻技术原理的话，还是要理解协议报文以及相关字段要求。

在实际网络部署中，最常见的准入方式主要包括 Portal认证、802.1x认证和MAB认证。本文将从认证原理、流程特点和适用场景三个维度深入剖析这三种关键准入方式，帮助你全面理解其优缺点与应用逻辑。

一、Portal认证

1. 原理解析

Portal认证通常被称为网页认证，是基于HTTP/HTTPS重定向方式实现的网络准入手段。终端设备接入网络后，系统会通过DHCP分配IP地址，但此时网络访问权限受控，任何 HTTP/HTTPS 请求都会被网关或认证设备重定向到登录页面。用户需输入用户名、密码，或采用扫码、短信验证码、第三方登录等方式完成身份认证，系统验证成功后才允许其访问正常网络资源。

它的关键逻辑是：

接入网络 → 地址分配 → 网络隔离 → 用户验证 → 授权上网

2. 技术特点

• ### 无需在终端安装客户端
• ### 操作直观，使用体验类似酒店WiFi认证
• ### 支持多种身份认证方式（ LDAP、短信、扫码、企业微信等）

但其缺点也很明显：

● 依赖浏览器与HTTP流量，终端行为不可控

● 对 IoT 设备、摄像头、打印机等无浏览器终端支持较弱

● 安全级别相对较低，更多用于应用层身份认证，而非链路层控制

3. 适用场景

● 宾馆、校园、园区WiFi认证

● 访客网络接入

● 企业员工轻量认证环境

● 需要灵活推广、营销、广告展示的公共网络

Portal更像是一种“友好接入方式”，适合对便捷性要求高而安全强度要求适度的场景。

二、802.1x认证

1. 原理解析

802.1x是目前企业网络准入中安全等级最高、使用最广的方式，是一种基于链路层的准入控制机制。它通过端口级别的访问控制，在设备接入交换机或AC/AP时，先执行身份认证，未通过认证前，端口处于限制状态，不允许访问任何网络资源。

系统由三部分构成：

| | | | | — | — | — | | 角色 | 名称 | 说明 | | Supplicant | 终端客户端 | 发起认证 | | Authenticator | 交换机/AC/AP | 负责阻断或开放网络端口 | | Authentication Server | RADIUS服务器 | 负责认证与授权 |

核心认证流程：

终端发起接入 → 交换机阻断流量 → RADIUS认证终端身份 → 授权策略下发 → 放通网络

2. 技术优势

• 端口级准入，高安全性
• 支持证书、口令、账户等多种EAP认证方式
• 可结合终端安全状态检查（如补丁、防病毒、系统指纹）
• 支持零信任准入策略扩展

3. 不足与挑战

• 部署门槛较高，需要客户端支持802.1x组件
• 对兼容性要求较高，历史设备可能无法支持
• 初次部署成本较大，策略维护复杂

4. 适用场景

• 政企内网、核心办公网络
• 涉密环境与重点行业（电力、金融、能源、政府）
• 需要身份+设备双认证的高安全网络

如果说Portal管的是“上网凭证”，那么802.1x管的是“能不能进门”。

三、MAB认证（MAC地址旁路认证）

1. 基本原理

MAB的本质是通过终端的MAC地址来完成准入识别。当终端不支持802.1x或没有客户端时，交换机会采集该设备的MAC地址发送给认证服务器进行验证，一旦匹配成功，即允许设备接入网络。

认证流程逻辑：

终端接入网络 → 交换机获取MAC地址 → 向RADIUS发送信息 → 匹配通过 → 放行

2. 特点分析

• ### 无需用户干预，自动完成认证
• ### 适用于无操作界面的设备
• ### 可与802.1x组合，作为旁路补充策略

但其最大缺陷是：

• MAC地址易被伪造，安全级别低
• 缺乏终端身份真实性判定
• 常需搭配 NAC、指纹识别、行为检测加强安全

3. 典型应用场景

• IoT设备（摄像头、工控设备、POS机）
• 打印机、投影仪、门禁等固定资产设备
• 企业混合认证环境中用于兜底策略

总结：三种准入方式如何选？

| | | | | | | — | — | — | — | — | | 准入方式 | 安全等级 | 使用难度 | 是否需客户端 | 适用场景 | | Portal认证 | 中 | 低 | 否 | 公共网络、WiFi、访客网络 | | 802.1X认证 | 高 | 高 | 是 | 核心办公、安全要求高的网络 | | MAB认证 | 低 | 低 | 否 | 哑终端，IoT与无界面设备 |

如果把网络比作一栋办公楼：

● 802.1X 是门禁系统+身份证登记，没证件进不来

● Portal认证 是访客登记台，需要手动签到

● MAB认证 是专为固定设备准备的“白名单通道”

未来的网络准入控制趋势，将从单一认证方式向多因素认证与动态策略控制演进，最终形成基于身份、行为、设备指纹和环境感知的零信任接入体系。

如果你是网络安全从业者，理解这三种准入方式，是迈向成熟架构设计和安全体系建设的重要一步。掌握原理、理解场景、因地制宜部署，才能真正构建安全、可信、可管可控的企业网络环境。

END

推荐阅读