资源描述:
《基于多虚拟网关技术的新型准入系统研究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、论文编号:20506基于多虚拟网关技术的新型准入系统研究梁良I,李炜I,洪微明1,程明I(江西省电力公司信息通信分公司,江西南昌330029)摘要:针对各类复杂网络,混合型准入部署和多种接入控制的问题,本文釆用多虚拟网关的准人控制技术,提出一种新型的准入控制系垛。该系统在不改变网络结构前提下,通过端口自主切换、动态VI.AN模式以及不同网段数据包交换,实现了适应多种网第设备及终端设备识别和锚定的功能,进而达到精确端口级别准人控制的目的。关■词:多虚拟网关;动态VLAN;瑞口级别;准入系统ANEWACCESSSYSTEMRESEARCHB
2、ASEDONMULTIPLEVIRTUALGATEWAYTECHNOLOGYUANGLiang1,UWei1,HONGWeiming1,CHENGMing*(LJiangxiElectricPowerCorporationInformationandCommunicationsBranch,Nanchang330029)ABSTRACT:Withthedevelopmentofthenetwork,thenetworksecurityaccesscontrolisparticularlyimportant.Aimingatallkind
3、sofcomplexnetworks,hybriddeploymentandavarietyofaccesscontrolproblem,themultiplevirtualgatewayaccesscontroltechnologyisusedinthispaper.Throughtheportindependentswitch,dynamicVLANmodelanddifferentnetworksegmentpacketswitchingmode.Thefunctionofidentificationandanchorofvari
4、ousnetworkequipmentsandterminalequipmentswithoutchangingthenetworkstnicturearerealized.Finally,thepurposeofaccurateportlevelaccesscontrolisachieved・KEYWORDS:MultipleVirtualGateway;DynamicVLAN;PortLevel;AccessSystem1引言在信息化建设全面展开的今天,越来越多的企事业单位和政务部门将信息技术应用于现代化办公和业务处理,经过多年的
5、网络建设,已逐步形成了一个完整的网络,对于安全准入系统的灵活性、复杂度的要求随之变高。网络越来越复杂,终端接入方式也越来越多,网络中存在着各种各样的新老网络设备,存在各种复杂的网络结构,像各类终端、多种品牌的交换机等。因此,如何做到灵活控制、安全接人,在多种接入方式并存的环境下,如何很好的满足及适应客户网络的复杂性是准入研究必须解决的难题。近年来,关于网络安全准入的研究逐渐增多,研究内容大多集中于安全准入的策略优化问题。虽有许多自主研发的企业开始关注准入多样性的问题,但大多数厂家的网络准入控制方案都无法友好的兼容各新老设备。本文针对基于
6、多虚拟网关技术,的提岀一种新型准入系统的研究,能够有效解决复杂网络和混合型网络准入部署难题,从而实现“灵活终端、网络不变”的目的,并且支持多种接入方式,很好的满足及适应了客户网络的复杂性,进而实现精确端口级别安全准入的目的。2问题描述首先,目前所有的802.1x平台都要求入网用户必须安装进行认证的入网客户端,然而这种情况存在许多缺陷:其一、新入网设备由于未安装客户端将在没有任何提示信息的情况下无法进行网络接入,这个过程由于缺乏引导入网的支持,即使是合法用户也无法被辅助入网进行正常的工作,设备无法有效地分清接入用户的身份,很难做到事后责任
7、审计;非桌面型ip设备也无法安装客户端入网。总之,采用客户端模式的802.lx平台无法进行web准入系统认证;苴二、大部分产品方案都要求对网络设备进行升级,如交换机、VPN、无线AP等升级为能够支持802.lx协议的网络设备.然后才能实现网络准入的控制这冲做法无法做到和多种网络设备的冇效结合•无法满定网络复杂度、多种接人方式并存的要求.在很大程度上给用户造成了不必要的浪费。其三.大部分的802.lx认证都是基于瑞口的,认证通过后端口完全放开•无法根据接入角色的不同进行基于目的地址、冃的端口或协议的细粒度权限控制,在所冇资源对所有入网者均
8、能够以同等权限进行访问的情况下•很容易产生内部交叉访问以至于重耍资源泄密的情况;故后,对干大部分厂商而言,标准的802.lx协议也无法解决端口下私接hub、无线路由器的情况。当网络中存在大量使用hub的情况