功能:
◆網(wǎng)絡(luò)的接入控制與網(wǎng)絡(luò)提供的業(yè)務(wù)類型無關(guān),即無論是有線接入業(yè)務(wù)或者是無線接入業(yè)務(wù),或者其他形式的公眾以太接入業(yè)務(wù),都采用一個(gè)通用的接入認(rèn)證解決方案
◆電信級(jí)IP接入網(wǎng)絡(luò)要求對(duì)用戶進(jìn)行嚴(yán)格的控制和管理,包括控
制用戶對(duì)網(wǎng)絡(luò)的訪問、用戶身份識(shí)別;
◆對(duì)于用戶來說,只需要面對(duì)單一的認(rèn)證界面,用戶可以實(shí)現(xiàn)在多種網(wǎng)絡(luò)接入業(yè)務(wù)間漫游
◆對(duì)于新興業(yè)務(wù)的支持也是選擇認(rèn)證技術(shù)時(shí)要考慮的一個(gè)重要因素,認(rèn)證技術(shù)必須保證在現(xiàn)有的認(rèn)證體系下對(duì)新興業(yè)務(wù)的支持。
◆對(duì)于運(yùn)營(yíng)商而言,通用的認(rèn)證解決方案可以簡(jiǎn)化遠(yuǎn)程接入VPN的安全管理,將用戶認(rèn)證的范疇延伸到LAN范圍內(nèi)。
◆適應(yīng)電信級(jí)1P寬帶網(wǎng)接入控制需求的認(rèn)證技術(shù)將簡(jiǎn)化運(yùn)營(yíng)商網(wǎng)絡(luò)認(rèn)證的體系結(jié)構(gòu),降低運(yùn)營(yíng)商用于培訓(xùn)和維護(hù)的費(fèi)用,減少運(yùn)營(yíng)成本。
按照 Internet網(wǎng)絡(luò)分層模型,在協(xié)議每一層都可以針對(duì)用戶或者設(shè)備進(jìn)行網(wǎng)絡(luò)接入的認(rèn)證、鑒權(quán)。無論從對(duì)現(xiàn)有設(shè)備的改動(dòng)、多協(xié)議的支持、網(wǎng)絡(luò)安全還是網(wǎng)絡(luò)控制能力來看,鏈路層認(rèn)證的優(yōu)勢(shì)突出,快速、簡(jiǎn)單和成本低廉也是它的優(yōu)勢(shì)。多數(shù)的鏈路層協(xié)議像PP和IE802都可以支持基于鏈路層的認(rèn)證技術(shù)??蛻粼谡J(rèn)證之前不需要進(jìn)行服務(wù)器的定位,不需要獲得IP地址。網(wǎng)絡(luò)接入設(shè)備只需要有限的層功能,可以輕易實(shí)現(xiàn)和AA的結(jié)合,從而提供豐富、靈活的認(rèn)證方式和計(jì)費(fèi)手段。在多協(xié)議網(wǎng)絡(luò)環(huán)境中,基于鏈路層的認(rèn)證可以實(shí)現(xiàn)對(duì)上層應(yīng)用的完全透明,也就是說可以實(shí)現(xiàn)和新的網(wǎng)絡(luò)層協(xié)議(比如IPv6)的兼容。鏈路層認(rèn)證處理減小了認(rèn)證包處理的延時(shí),保證了關(guān)鍵性應(yīng)用的服務(wù)質(zhì)量在IEEE8O2LAN所定義的局域網(wǎng)環(huán)境中,只要存在物理的連接口,未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備就可以接入局域網(wǎng),或者是未經(jīng)授權(quán)的用戶可以通過連接到局域網(wǎng)的設(shè)備進(jìn)入網(wǎng)絡(luò)。所以在校園網(wǎng)管理中,經(jīng)常發(fā)生IP盜用、IP地址沖突、賬號(hào)盜用、使用代理、用戶欠費(fèi)、非法設(shè)備接入等情況。
采用傳統(tǒng)的IP與MAC綁定或IP與端口綁定的方式雖然可以在一定程度上解決此類問題,但隨著用戶數(shù)的急劇增加和對(duì)業(yè)務(wù)多樣性要求的提高,網(wǎng)絡(luò)的安全性問題日益突出。由于傳統(tǒng)認(rèn)證方式對(duì)校園網(wǎng)中用戶數(shù)據(jù)包煩瑣的處理造成了網(wǎng)絡(luò)傳輸瓶頸,而通過增加其他網(wǎng)絡(luò)設(shè)備來解決傳輸瓶頸勢(shì)必造成網(wǎng)絡(luò)成本的提升,因此無法滿足用戶對(duì)網(wǎng)絡(luò)安全性、高效性和低成本的要求,給校園網(wǎng)管理帶來極大的難度。采用802.1X認(rèn)證計(jì)費(fèi)系統(tǒng)后,可以對(duì)接入用戶進(jìn)行賬號(hào)與IP、MAC、端口等多元素綁定,對(duì)學(xué)生用戶進(jìn)行多元素復(fù)合綁定,以唯一確定用戶。網(wǎng)絡(luò)中的非法用戶由于無法通過認(rèn)證,支持802.1X的交換機(jī)的端口在物理上將把此用戶隔離在網(wǎng)各之。用計(jì)帶管看可以有效地自動(dòng)探測(cè)并屏蔽各種形式的代理服務(wù)器,包括單網(wǎng)卡代理,雙網(wǎng)卡代理,終端服務(wù)代理或者HTP、 Socket等各種代理形式,避免個(gè)賬號(hào)多人同時(shí)使用,減少安全隱患。
由于網(wǎng)站建設(shè)認(rèn)證系統(tǒng)采用了受控端口和不受控端口。認(rèn)證報(bào)文與業(yè)務(wù)報(bào)文互不干擾,因此認(rèn)證計(jì)費(fèi)效率高,對(duì)用戶的認(rèn)證和計(jì)費(fèi)不會(huì)對(duì)網(wǎng)絡(luò)性能造成瓶頸;用戶不會(huì)因認(rèn)證而降低網(wǎng)絡(luò)訪問效率:用戶不啟動(dòng)客戶端,其上連端口是禁止?fàn)顟B(tài),與外界的網(wǎng)絡(luò)是隔離狀態(tài),避兔了原有網(wǎng)絡(luò)實(shí)時(shí)在線,經(jīng)常被掃描的情況。日志服務(wù)器記錄有用戶完整的訪問記錄,包括源IP、目的IP、源端口、目的端口、源MAC、目的MAC、訪問開始時(shí)間、訪問結(jié)束時(shí)間、發(fā)送流量、接受流量等,通過日志管理查詢系統(tǒng),可以對(duì)日志進(jìn)行管理和查詢。
本文地址:http://m.blackside-inc.com//article/3666.html