基于用戶群的園區(qū)網(wǎng)網(wǎng)絡(luò)接入控制和認(rèn)證策略

摘 要:通過對園區(qū)網(wǎng)網(wǎng)絡(luò)接入控制和認(rèn)證現(xiàn)狀的簡述，提出了基于用戶群的網(wǎng)絡(luò)接入控制和認(rèn)證策略，分析其組成因素和實施的原則以及其優(yōu)點。

關(guān)鍵詞:用戶群;網(wǎng)絡(luò)接入控制;認(rèn)證策略;園區(qū)網(wǎng)

中圖分類號:TP393.1文獻(xiàn)標(biāo)識碼: 文章編號:1673-8454(2010)21-0023-02

一、網(wǎng)絡(luò)接入控制和認(rèn)證現(xiàn)狀

現(xiàn)有的網(wǎng)絡(luò)接入控制技術(shù)手段主要是:靜態(tài)IP+MAC綁定、IEEE 802.1x以及思科的NAC框架體系。對于終端的接入認(rèn)證主要采用的是Web/Portal認(rèn)證以及IEEE 802.1x+Radius認(rèn)證的方式。這些接入控制和認(rèn)證技術(shù)，存在著各自的優(yōu)點與不足。

在園區(qū)網(wǎng)管理方式中，大多數(shù)對網(wǎng)絡(luò)接入控制和認(rèn)證方法的選擇較為單一，在最大化技術(shù)手段的長處的同時，也將技術(shù)手段的不足進(jìn)行了無形的放大，例如802.1x+Radius認(rèn)證的方式在園區(qū)網(wǎng)中得到廣泛的應(yīng)用，但是Radius認(rèn)證服務(wù)器在無形中成為一個單點故障，一旦認(rèn)證服務(wù)器出現(xiàn)故障無法正常響應(yīng)認(rèn)證請求，則需要手工去除所有接入層交換機(jī)端口的802.1x的配置選項，工作量大并且影響園區(qū)網(wǎng)中某些重要終端的工作使用;Web/Portal認(rèn)證容易部署，方便用戶的使用，但是在無法確保二層安全的前提下，直接使用七層技術(shù)進(jìn)行認(rèn)證顯得不夠可靠。是否可以將多種接入控制和認(rèn)證手段綜合起來使用，發(fā)揮各自的優(yōu)勢，以適應(yīng)園區(qū)網(wǎng)復(fù)雜的應(yīng)用環(huán)境，成為一個值得討論研究的問題。

二、基于用戶群的網(wǎng)絡(luò)接入控制和認(rèn)證策略

所謂園區(qū)網(wǎng)用戶群是指為了便于進(jìn)行網(wǎng)絡(luò)管理而人為地對所有用戶進(jìn)行的邏輯劃分，在特定的網(wǎng)絡(luò)環(huán)境中可能與用戶的隸屬關(guān)系、工作的地理位置有一定程度的相同，但就更一般的網(wǎng)絡(luò)環(huán)境而言，它與傳統(tǒng)的用戶分組是不同的，它的定義和分類主要是基于圖1中的因素。……