校园网中的接入控制作者:高明成来源:《电脑知识与技术》2012年第35期 摘要:主要介绍基于交换机端口的接入控制方法及在校园网中的实现。
关键词:交换机;接入控制;校园网
铁钢砂 中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2012)35-8369-03
当前的校园网络中提供的资源日益多样化,有些资源面向全校师生,而有些重要资源仅面向教职员工或教职员工中的部分体。如何实现对网络用户的分类接入控制,对于维护网络中资源的安全性有着重要意义。 1 研究现状
网络中常见的接入控制技术,除了国内几家网络设备生产厂商自主研发的接入控制技术以外,还包括依据链路层设备端口安全特性的用户接入认证技术、有线及无线网络中依据IE EE802.1X的用户认证技术[1]、网络层设备上的IP-MACKU波可调电衰减器地址绑定接入控制技术、代理服务与防火墙相结合的方法、统一身份认证技术等。各种接入控制技术的特点如下:帕蒂尼
1)基于链路层设备端口安全特性的用户接入认证技术。此种方式主要是在链路层设备上将用户所使用终端的MAC地址与链路层设备端口绑定,达到用户接入控制的目的。但这种接入控制方式是在低层实现的,缺乏管理的灵活性,小范围内使用较为合适。由于终端在发送数据帧时并不直接从物理网卡ROM里面读取MAC地址,就存在人为修改MAC夏国玺地址的可能性,因此其安全性并不高。
那一代人的读书功夫 2)网络层网络设备上的IP-MAC地址绑定接入控制技术。此种方式主要是在网络层设备上将用户所使用终端的MAC地址和IP地址与链路层设备端口三者绑定,达到用户接入控制的目的。其能够实现较为严格的用户接入控制,安全性较高。另一方面,由于这种方式需绑定三个对象,因此缺乏管理的灵活性,用户接入日志无法审核[2],适于小范围内应用。
3)有线及无线网络中依据IEEE802.1X的用户认证技术。使用此认证技术时,接入有线网络或无线网络的用户并不能直接使用网络资源,需要先在“认证服务器”上获得许可,
才可以访问网络。IEEE802.1X的用户认证技术需三个要素即:认证申请者(终端)、认证接入设备和认证服务器。用户接入认证的功能主要在认证服务器上实现,在一定程度上弱化了网络接入设备的接入控制功能[3]。
燕赵政协新闻网
