" id="b1img" alt="米课”N+1“思维建站-非官方免费技术支持,Wordpress/Zencart/Opencart建站、SEO" title="米课”N+1“思维建站-非官方免费技术支持,Wordpress/Zencart/Opencart建站、SEO">
  • " alt="米课”N+1“思维建站-非官方免费技术支持,Wordpress/Zencart/Opencart建站、SEO" title="米课”N+1“思维建站-非官方免费技术支持,Wordpress/Zencart/Opencart建站、SEO" />
  • " alt="Windows/Linux服务器运维技术支持 环境搭建、应用发布、服务器管理、虚拟化、云计算" title="Windows/Linux服务器运维技术支持 环境搭建、应用发布、服务器管理、虚拟化、云计算" />
  • " alt="高校/小型企业网络运维与建设免费技术支持,网络规划、网络优化、故障排除、网络管理" title="高校/小型企业网络运维与建设免费技术支持,网络规划、网络优化、故障排除、网络管理" />

802.1X:期待与问题并存

网络运维2009-09-18 itlogger阅读(730) 评论(0)

随着对终端用户的控制成为国内校园网的新安全策略,高校对准入控制探讨的声音越来越大,其中802.1X由于争议颇大,更成为焦点。
那么,在校园网环境中实行802.1X的可行性如何?

需求
首先,分析一下校园网在用户接入方面必须面对的一些安全问题。在校园网用户接入方面,常见的有以下几个方面的安全需求。
1. 对用户的身份进行标识和认证,保证只有授权的用户可以访问校园网;
2. 及时发现影响网络运行的异常行为的来源,以便采取控制措施减小对网络的影响;
3. 一些安全事件的事后追查,有时也需要追踪到用户的身份;
4. 校园网使用计费,一般也要惟一标识每个用户的身份。
国内高校的校园网经过多年的发展,逐渐形成了许多行之有效的身份认证技术和系统。但由于政策和管理模式不同,所采取的技术方案和管理制度也不尽相同。常见的认证方案包括:
1. 开放访问。没有认证,这种情况无法满足上述任何一种需求;
2. 校内开放访问。只在用户访问校外资源时进行认证,一般在校园网出口处安装认证网关设备。这种方法比较适合CERNET流量计费政策,但是无法防止用户通过代理访问外部资源,不能防止外来用户滥用校园网中的资源,对于校内发生的安全事件也无法追查;
3. 基于MAC地址的认证。在三层交换机上登记用户的网卡地址,只有授权的主机可以访问,这种方式的管理难度很大。
上述第二种方案可能是目前校园网中最为普遍的认证方式。然而,随着由于网络技术的发展、网络安全形势的变化,许多组织和机构对网络接入认证有了更加细粒度的要求,基于802.1X的端口认证是网络工程领域比较看好的技术之一。
802.1X在安全性方面的优势比较值得肯定,可以实现细粒度的身份认证、细粒度的控制、安全事件的追踪、集中管理用户访问权限(通过VLAN设置)、用户安全状态的检查与更新。
可以说,基于802.1X的身份认证技术和准入控制思想给网络管理者提供了一个美好的蓝图,在很大程度上满足了管理者的期待。

问题
但是802.1X的部署也给网络的管理者和使用者都造成了一定的不便,这几乎是不可避免的结果。实施它还需要解决很多问题,需要考虑诸如相关的网络设备是否支持802.1X协议?802.1X认证系统如何与已有的认证计费系统结合?客户端如何分发?如何控制与平衡工作量的增加等问题。
实施有实施的好处,但是也要付出较大代价。作为网络的管理者,我们不仅要考虑网络的安全,更重要的是提供用户满意的网络服务。因此我们需要从多个方面考虑802.1X的技术和管理问题。
首先,与企业网相比,多数校园网管理相对开放、宽松,网络和设备的资产管理复杂,很难像企业网一样实现集中式、强制性的管理措施。实施802.1X的端口认证,多数需要在用户客户端上安装专用软件,这就需要改变用户的上网习惯,可能会遇到很大的阻力。如果要实施这一方案,一定要对此有所准备,做好用户的宣传工作。
其次,从技术方面来讲,802.1X本身只是一种身份认证的技术,对计费的支持并不成熟。尽管IETF中RADEXT工作组正在致力于使RADIUS协议适于局域网中的计费,但是现有交换机上的实现对计费的支持并不成熟,特别是在CERNET环境中计费方式比较复杂的情况下。如果校园网已有认证计费系统,怎样使两者结合,尽量少地改变用户的使用习惯,或者不太增加操作的复杂性,也是需要考虑的问题。

讨论
目前有的学校已经实施了基于802.1X的接入控制,有的学校正在实验,有的学校还在观望。实施准入控制在校园网中究竟有哪些好处?从技术上和管理上究竟可能有哪些困难和问题?基于这些问题和争议,2008年1月9日,“校园网管理与安全论坛”聚焦802.1X。来自清华大学、北京大学、中国农业大学、北京理工大学、中国戏曲学院等多所高校的网管老师汇聚一堂探讨802.1X在校园网中的部署。
为能更加充分地探讨802.1X在校园网环境中的实施,《中国教育网络》杂志以802.1X为封面报道主题,将本次论坛探讨的一些话题整理发表,并做了更加深入的挖掘,试图提供一定借鉴,希望引发更多思考。
报道内容主要包括:802.1X技术介绍;校园网中部署802.1X的几个焦点问题的探讨;校园网中部署802.1X需要从哪些方面考虑;802.1X与无线局域网安全以及中国农业大学在此方面的实践情况。
我们是否应该选择实施基于802.1X的技术方案,本文作者不打算给出任何建议。这需要网络管理者对技术原理等各种情况有了全面了解之后,根据自己单位的实际情况做出决策,不要被商业宣传牵着鼻子走。

本文根据作者在2008年初“校园网管理与安全论坛”上的发言提纲整理。文章介绍了802.1X技术的工作原理,在此基础上介绍了Cisco公司的网络准入控制(NAC)和Microsoft公司的网络接入保护(NAP)方案,最后介绍了清华校园802.1X认证系统的设计和实施情况。

来源:www.edu.cn

转载请注明 :IT樵客
文章地址:http://www.itlogger.com/network/894.html
标签:,
相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注