网络准入控制技术与设计(2)

来源:南粤论文中心 作者:张莉,齐锦,吕鲁宁, 发表于:2010-04-08 10:21  点击:
【关健词】准入控制;资源访问控制策略系统;802.1x认证;Porta
5 系统部署 网络准入控制具体业务部署可分为3级:主干级、地区 级和接入级。由主干级的网络管理员进行基础策略的统一定 制,然后再进行层层下发。地区级和接人级的网络管理员可 以依据上一级准入控制下发的策略进行

5    系统部署

网络准入控制具体业务部署可分为3级:主干级、地区

级和接入级。由主干级的网络管理员进行基础策略的统一定
制,然后再进行层层下发。地区级和接人级的网络管理员可 以依据上一级准入控制下发的策略进行继承、自定义等操作, 从而生成更加满足本地需要的策略,如图4所示。

 

图3网络准入控制工作流程


图4网络准入控制幢务部署

主干级、地区级和接入级都部署了网络准人控制,地区 级系统上的相关认证策略、安全策略,用户策略等原则信息 则由主干级系统下发。相应地,接入级准人控制上的相关认 证策略、安全策略、用户策略等原则信息则由地区级准入控 制下发。同时,接入级通过信息上报的方式,将相关的安全
日志信息上报给地区级地区级可以对这些统计数据进行查
询以及汇总,并根据上报的统计数据做出相应的统计报表。 相应地,地区级对接入级上报内容进行汇总,做出相应的统 计报表上报给主干级。网络准入控制的组网分为局域网组网 和广域网组网两种模式。局域网组网根据网络接入设备是否 支持802.1x协议认证方式分为接入层组网和汇聚层组网两 种。广域网组网采用Portal协议认证方式。
(1)接入层组网:网络准入控制配合接入层交换机,通 过802.1x协议认证实现对接入用户进行控制。在这种组网方 案中,策略强制执行点在接入层交换机上,具有对不符合安

62  I叩叨晒,cis啊a_。④④圆。④田
万方数据
全策略的用户隔离严格的特点,可以有效防止来自网络内部
的安全威胁。 (2)汇聚层组网:在接人交换机不支持准入控制功能的
情况下,可以在汇聚交换机上启用准入控制功能来执行对用 户终端的控制。在这种组网方案中,安全策略的强制执行点 在汇聚层交换机上,对于接入层交换机内部之间的互访,可 以启用端口隔离、PVLAN等安全功能,来防止接入层交换 机内部主机的相互影响。
(5)广域网组网:在骨干路由器中强制用户进行Ponal 协议认证和安全状态检查,确保用户访问外网业务时具有符 合标准的安全状态。广域网终端控制方案的典型组网,由路 由器完成基于Portal协议认证的接入控制,进行用户网络访 问的通断与开放,由准入控制进行准入策略的控制,安全状 态的检测以及身份和安全认证。采用Portal认证时,用户终 端仍可以使用基于802.1x认证的准入控制用户端认证模块, 只是在访问外网业务时需要进行相应的认证过程。Portal认 证的系统组成由用户终端上运行的准入控制用户端认证模块, 联动设备(路由器),Portal认证服务器、准入控制的资源访问 控制策略系统及相关的联动服务器等。
当用户需要访问广域网资源时,联动设备(路由器)不允 许用户数据通过,要求用户通过用户端认证模块输入认证信 息。联动设备(路由器)先将用户的认证信息传送至Portal服 务器,然后Porbl服务器再将认证信息由联动设备(路由器) 转发给资源访问控制策略系统进行身份认证和安全认证,认 证通过并验证用户符合定义的安全策略,路由器会打开用户 与网络的通路,用户可以访问网络;否则,根据控制策略中 定义的处理模式对用户进行相应的控制管理操作fl。3】。

4结语

通过对网络准入控制技术的全面理解与分析,可以实现 对用户属性、在线状态、流景限制的全面管理,并依托情况 汇总机制,实现对网络用户使用状态的全面掌握,进一步加 强对网络使用状态和应用质量的深度掌控。

参考文献
【l】IToIP白皮书.杭州华三通信技术有限公司EB/0L】.
【2009—02—0l】.http: //www.huawei一3com.com.
【2】数据业务接入管理系统(isAM).中兴通讯股份有限公司
【EB/oL】.【2009一02—0 l】.http: //www.zte.com.cn.
【3】华为3coM.802.1 x协议原理与实现【EB/oL】.(2005一
04一13).【2009一02一Ol】.http://www.enet.com.
 

(责任编辑:南粤论文中心)转贴于南粤论文中心: http://www.nylw.net(南粤论文中心__代写代发论文_毕业论文带写_广州职称论文代发_广州论文网)
顶一下
(0)
0%
踩一下
(0)
0%


版权声明:因本文均来自于网络,如果有版权方面侵犯,请及时联系本站删除.