农大校园网802.1x实施体会.pdf

农大校园网农大校园网802.1x实施体会实施体会中国农业大学网络中心 邹仁明 zrm@主要内容? 为何要布署802.1x－－需求分析? 传统入网控制方式存在的问题 ? 我校802.1x接入控制实施方案? 主要功能 ? 布署802.1x接入控制的优缺点 ? 今后我校802.1x布署策略为何要布署802.1x? 传统的用户上网控制方式 ? 我校校园网接入控制方法为：出口网关控制方 式即：接入校园网时不受控制，只有在用户 访问校外资源时，出口网关设备才控制用户的 访问权限，并采取相应的策略进行上网计费传统上网控制方式存在的问题?对校园网出口的影响： ?对用户的控制管理措施集中放在校园网出口来实施，对网络访问障碍较 大，增加出口断网的风险概率随着出口网速增大，出口网关将成为网络 访问的瓶颈 ?安全问题： ?不易确认用户的上网身份、不易定位上网主机 ?主机接入校园网不受控制，主机上网没有记录 ?用户可自由更改主机MAC地址、IP地址，当出现安全事件时，网管难以 定位造事者 ?计费问题 ?上网帐户可以被合用、转让，可以采用网络共享、宽带路由器、代理服务 器等方式来实现一个帐户大家共用盗用帐户现象也时有发生。

?难以了解用户主机上网的攻击行为、中毒情况 ?用户不能入网时，难以判断故障原因我校802.1x实施方案? 采用锐捷SAM计费管理系统，有三块： ? 认证服务器：radius认证服务器 + sql数据库 + jboss WWW服务器 ? radius接入设备: 接入交换机 (S2126G/S2150G)，接入端口启用802.1x认 证 ? 用户安装锐捷SAM客户端软件，通过802.1x认 证后方可访问校园网 ? 校园网出口网关不对用户进行访问控制，由 锐捷SAM计费系统实施计费：包月方式锐捷SAM计费管理系统计费策略目前使用802.1x的主要功能? 计费策略：包月 ? 用户上网认证后，帐户、主机MAC自动与交 换机端口绑定，帐户不能混用、共享使用 ? 记录用户上网记录，明确用户的上网身份实施802.1x的好处? 采用入网认证措施，增强了内网的安全性 ? 帐户不能多机共享使用 ? 帐户与上网端口自动绑定，帐户不能借用 ? 用户上网日志详细、查询方便实施802.1x后存在的问题?帐户解绑问题 ?帐户绑定与用户入网点变动的矛盾，要求管理员进行解绑定， 增加了管理工作量 ?计费方式比较单一：计时、包月 ?对用户上网的上传下传量不可控制。

我校是在出口安装了流量 控制设备，控制BT等点到点应用 ?全校范围内推广实施802.1x接入控制有一定的难度 ?校园网交换机品牌较多，有点交换机支持802.1x、有的交换 机不支持 ?802.1x分基本功能与扩展功能两部分，许多802.1x控制功能 由其私有的扩展功能来实现的不同厂家交换机802.1x扩展 部分的功能不一样，给全校实施802.1x控制措施带来困难 ?如果希望在全校实施802.1x，一般需要选用同一家的产品，对不 同家的二层网络设备需要更换或改造，给实施带来难度我校802.1x布署策略? 在有条件的区域实施802.1X认证，如：新 校区或新建楼宇 ? 在老的网络环境下仍采用网关方式，逐步过 渡 ? 今后方向： ? 计费、身份认证、防毒、安全审计一体化我校网络拓扑结构新校区网络拓扑结构—实施802.1x谢谢！。