基于用户群的园区网网络接入控制和认证策略

　　基于用户群的园区网网络接入控制和认证策略

　　论文摘要:通过对园区网网络接入控制和认证现状的简述,提出了基于用户群的网络接入控制和认证策略。分析其组成因素和实施的原则以及其优点。

　　论文关键词:用户群;网络接入控制;认证策略;园区网

　　一、网络接入控制和认证现状

　　现有的网络接入控制技术手段主要是:静态IP+MAC绑定、IEEE 802．1x以及思科的NAC框架体系。对于终端的接入认证主要采用的是Web肌rtal认证以及IEEE802．1x+Radius认证的方式。这些接入控制和认证技术,存在着各自的优点与不足。

　　在园区网管理方式中．大多数对网络接入控制和认证方法的选择较为单一．在最大化技术手段的长处的同时．也将技术手段的不足进行了无形的放大．例如802．1x+Radius认证的方式在园区网中得到广泛的应用．但是Radius认证服务器在无形中成为一个单点故障．一旦认证服务器出现故障无法正常响应认证请求．则需要手工去除所有接入层交换机端口的802．1x的配置选项．工作量大并且影响园区网中某些重要终端的工作使用:Web／Portal认证容易部署．方便用户的使用．但是在无法确保二层安全的前提下．直接使用七层技术进行认证显得不够可靠。是否可以将多种接入控制和认证手段综合起来使用．发挥各自的优势．以适应园区网复杂的应用环境．成为一个值得讨论研究的问题．

　　二、基于用户群的网络接入控制和认证策略

　　所谓园区网用户群是指为了便于进行网络管理而人为地对所有用户进行的逻辑划分．在特定的网络环境中可能与用户的隶属关系、工作的地理位置有一定程度的相同．但就更一般的网络环境而言．它与传统的用户分组是不同的,它的定义和分类主要是基于图l中的因素。

　　1．用户的主要网络行为

　　用户的主要网络行为是指用户终端的功能角色对网络状态的需求性质。持续性的,如学校与科研机构的一些专业专用的服务器或其他设备．这些用户终端需要不断地发送或接收数据。保持相关服务的持续可利用性．间断性的,如大部分的园区网办公终端．普通的用户终端,教学使用的终端等。此类用户终端只是在用户需要使用网络时才会对网络产生需求．一般使用的时间相对集中。

　　对于网络有持续性需求的用户终端．由于IEEE802．1x需要部署客户端程序进行人为控制的认证．并且基于安全的因素考虑．IEEE 802．1x的认证会开启定时的重认证．在无人值守的情况下可能会使网络端El无法经过认证而处于关闭的状态．不宜采用IEEE 802．1x的接入控制。对于此类终端用户的网络接入控制可以采用传统的静态IP+MAC的绑定方式．如需要进一步考虑安全因素．可以结合VLAN的划分和开启接人层交换机端口的安全特性来防止用户篡改合法IP和MAC地址．而终端的认证可以使用Web／Portal方式．在二层安全的前提下。直接使用七层来进行认证也是合理可行的．

　　对于间断性网络需求的用户终端．如果对于安全因素考虑比较重大．则可以采用IEEE 802．1x的接入控制方式．配合Radius的认证。如果安全因素比重较小．则可以使用静态的IP+MAC的绑定方式,结合Web／Portal的认证方式。

　　2．用户的流动性

　　用户的流动性是指网络接入区域内终端使用者变动或终端变动的频率程度。流动性大的区域．如参加短期培训学习或者会议的用户终端．特别是园区网中的学生群体,其特点是使用者固定,但是终端更换可能很频繁。流动性小的区域,如园区网的办公终端,教学使用终端等。对于流动性大的区域的网络接人控制．出于安全考虑以及非法接入的可能性．应该使用IEEE 802．1x控制接入端口的状态,结合Radius进行身份认证．同时可以根据实际情况需要对网络接入的用户身份、用户网络参数、交换机信息进行选择性的绑定．从而对用户或终端的流动性进行限制。而对于流动性小的