基于用户群的园区网网络接入控制和认证策略

2010-10-18黄岭，刘巍

中国教育信息化 2010年21期

关键词：用户群网络管理端口

黄岭，刘巍

（工程兵指挥学院教育技术中心,江苏徐州 221004）

基于用户群的园区网网络接入控制和认证策略

黄岭，刘巍

（工程兵指挥学院教育技术中心,江苏徐州 221004）

通过对园区网网络接入控制和认证现状的简述，提出了基于用户群的网络接入控制和认证策略，分析其组成因素和实施的原则以及其优点。

用户群；网络接入控制；认证策略；园区网

一、网络接入控制和认证现状

现有的网络接入控制技术手段主要是：静态IP+MAC绑定、IEEE802.1x以及思科的NAC框架体系。对于终端的接入认证主要采用的是Web/Portal认证以及IEEE802.1x+Radius认证的方式。这些接入控制和认证技术，存在着各自的优点与不足。

在园区网管理方式中，大多数对网络接入控制和认证方法的选择较为单一，在最大化技术手段的长处的同时，也将技术手段的不足进行了无形的放大，例如802.1x+Radius认证的方式在园区网中得到广泛的应用，但是Radius认证服务器在无形中成为一个单点故障，一旦认证服务器出现故障无法正常响应认证请求，则需要手工去除所有接入层交换机端口的802.1x的配置选项，工作量大并且影响园区网中某些重要终端的工作使用；Web/Portal认证容易部署，方便用户的使用，但是在无法确保二层安全的前提下，直接使用七层技术进行认证显得不够可靠。是否可以将多种接入控制和认证手段综合起来使用，发挥各自的优势，以适应园区网复杂的应用环境，成为一个值得讨论研究的问题。

二、基于用户群的网络接入控制和认证策略

所谓园区网用户群是指为了便于进行网络管理而人为地对所有用户进行的逻辑划分，在特定的网络环境中可能与用户的隶属关系、工作的地理位置有一定程度的相同，但就更一般的网络环境而言，它与传统的用户分组是不同的，它的定义和分类主要是基于图1中的因素。

1.用户的主要网络行为

用户的主要网络行为是指用户终端的功能角色对网络状态的需求性质。持续性的，如学校与科研机构的一些专业专用的服务器或其他设备，这些用户终端需要不断地发送或接收数据，保持相关服务的持续可利用性。间断性的，如大部分的园区网办公终端，普通的用户终端，教学使用的终端等，此类用户终端只是在用户需要使用网络时才会对网络产生需求，一般使用的时间相对集中。

对于网络有持续性需求的用户终端，由于IEEE802.1x需要部署客户端程序进行人为控制的认证，并且基于安全的因素考虑，IEEE802.1x的认证会开启定时的重认证，在无人值守的情况下可能会使网络端口无法经过认证而处于关闭的状态，不宜采用IEEE802.1x的接入控制。对于此类终端用户的网络接入控制可以采用传统的静态IP+MAC的绑定方式，如需要进一步考虑安全因素，可以结合VLAN的划分和开启接入层交换机端口的安全特性来防止用户篡改合法IP和MAC地址。而终端的认证可以使用Web/Portal方式，在二层安全的前提下，直接使用七层来进行认证也是合理可行的。

对于间断性网络需求的用户终端，如果对于安全因素考虑比较重大，则可以采用IEEE802.1x的接入控制方式，配合Radius的认证。如果安全因素比重较小，则可以使用静态的IP+MAC的绑定方式，结合Web/Portal的认证方式。

2.用户的流动性

用户的流动性是指网络接入区域内终端使用者变动或终端变动的频率程度。流动性大的区域，如参加短期培训学习或者会议的用户终端，特别是园区网中的学生群体，其特点是使用者固定，但是终端更换可能很频繁。流动性小的区域，如园区网的办公终端，教学使用终端等。

对于流动性大的区域的网络接入控制，出于安全考虑以及非法接入的可能性，应该使用IEEE802.1x控制接入端口的状态，结合Radius进行身份认证，同时可以根据实际情况需要对网络接入的用户身份、用户网络参数、交换机信息进行选择性的绑定，从而对用户或终端的流动性进行限制。而对于流动性小的区域，可以沿用静态的绑定方式，使用Web/Portal认证方式，也可以选择IEEE802.1x进行接入控制，但是不适合做基于Radius的认证绑定，在流动性小的区域中，教室使用的公共教学机器属于使用人变动频率快、终端不变的特殊情况，如果做认证绑定则使用者发生变化时需要进行解绑操作，增加网络管理维护的工作量。

3.用户的计算机网络知识层次

用户对计算机技术以及网络技术应用的了解认识程度也决定了网络接入控制和认证的策略。用户的知识层次高，则意味着可能对网络的使用不仅仅是应用层面的，对网络的结构、数据传输、安全设置等都有一定的了解和认识，此类用户可能会改变使用终端的网络参数，也可能对网络的安全策略进行挑战，对一些攻击或不良软件的使用也更为灵活熟练。知识层次低的用户对网络的使用一般仅限于对网络的应用，也就是基于网络的各种应用程序，对于网络参数的设定不会做出改变，不会对网络底层的策略、设置进行修改。

如果完全依据用户的计算机网络知识层次来进行用户群的划分，也缺乏合理的考量，需要建立对知识层次高的用户群的社会道德和法律认知度的模型，思科以及其他一些著名的网络方案提供商在考虑网络构建的安全性时都将用户对社会道德的责任感和对法律的认知度作为一个重要的网络安全评估因素，通过该模型对用户群的安全等级及管理策略进行评估。

对于计算机网络知识层次较高的用户群，要分析其权限可以控制的有价值的重要资源，其拥有的重要资源，对其存在的潜在利益关系进行假定性分析，确定其安全的等级，进而选择合适的网络接入控制方法，对于安全等级较低的用户群，可使用IEEE802.1x+Radius的控制认证手段，对接入的端口进行严格的控制，同时利用管理软件对相关接入的网络参数如IP地址、MAC地址、交换机端口和用户账户进行绑定。而安全等级评估较高的用户，说明其没有潜在的利益关系，同时所掌握或控制的重要资源有限，可以采用较为方便的静态分配地址、静态绑定、Web/Portal认证的方式。

而知识层次较低的用户群，根据对其进行评估而进行接入控制与认证的选择。如果其安全等级较高，则为方便其使用，可以采用静态绑定，Web/Portal认证的方式，为防止他人非法接入获取资源，还需要对接入的交换机开启端口安全特性。若安全等级评估较低，则也需要对其实施较为严格的控制和认证策略。

在实际实施基于用户群的网络接入控制和认证策略时，不能只是独立考虑图1中的某个因素，每个划分的用户群的属性都可能跨越多个因素，需要进行科学的用户群划分，才能将网络管理的策略优势最大化。

三、基于用户群的网络接入控制和认证策略的优点

1.减轻安全设备的压力，分流认证流量，防止单点故障的出现

Web/Portal认证需要通过防火墙来进行触发认证行为，单一的Web/Portal认证对于大型的园区网而言，可能会增加防火墙等安全设备的压力，而纯粹的Radius认证又过于依赖认证服务器的状态，基于IEEE802.1x的Radius认证一旦失去了认证服务器的支持，则所有的网络接入端口将全部处于关闭的状态，重新恢复的工作量将非常大。多种策略的部署可以有效地防止单点故障造成整个网络无法使用的现象出现。

2.机制灵活，降低网络管理的难度与繁杂度

在同一网络环境中部署不同接入控制和认证策略，看似将网络管理维护的复杂度增加了，但是在实际操作过程中，由于各种接入控制与认证策略分流了网络故障同时发生的情况，所以也在一定程度上减轻了网络管理工作的繁杂度。

3.科学合理，侧重网络管理的主动性

通过科学地对用户进行群的划分，可以主动面对网络管理中存在的一些问题，将部分问题解决在萌芽状态，变网络管理的被动性为主动性，提高网络管理的质量。