作者：    来源：    点击：    日期：2007-11-15 11:02:17   

　　
　　目前在宽带接入网和企业网中，以往用于电信运营网络中的AAA技术（授权、认证、计费），如传统的RADIUS、PPPoE，以及新兴的802.1x等用户认证功能等，开始被集成到智能交换机中，与认证服务器配合，从而实现基于用户的认证和访问控制。
　　
　　对于企业网来说，通常要实现在用户访问不同的网络服务资源时，进行认证、访问控制及服务认证，而不是针对用户接入端口进行接入认证。因此，常用的方式是以访问控制列表或RADIUS认证服务器，对相关应用服务资源设置不同的访问权限，并针对用户实现认证和授权。
　　
　　对于宽带接入网来说，则需要通过用户认证实现对端口联通状态的控制，通常要采用“PPPoE+RADIUS”或“802.1x+RADIUS”的方式来实现接入认证。
　　
　　PPPoE是一种较为成熟的认证方式，通过PPP协议封装以太网帧，在无连接的以太网上提供了点对点的连接。PPPoE类似传统的拨号接入方式，用户端采用一个拨号软件，发起PPP连接请求，穿过以太网交换机或者DSL设备，终结在集中控制管理层的接入网关设备上。接入网关设备负责终结PPP连接，并与RADIUS配合实现用户管理和策略控制。
　　
　　802.1x起源于802.11协议的EAPOL，是最近出现的一种以太网认证技术。 802.1x是IEEE为了解决基于端口的接入控制而定义的一个标准。
　　
　　802.1x认证方式主要通过认证前后打开/关闭用户接入端口来实现对用户接入的控制。基于端口的网络接入控制是在 LAN 设备的物理接入级对接入设备进行认证和控制。连接在物理端口上的用户设备如果能通过认证，就可以访问 LAN 内的资源；如果不能通过认证，则无法访问 LAN 内的资源，相当于物理上断开连接。认证通过时，从远端认证服务器可以传递来自用户的信息，如VLAN、CAR参数、优先级、用户的访问控制列表等; 认证通过后，用户的流量就将接受上述参数的监管。
　　
　　802.1x要求接入交换机支持EAPOL协议，至少支持该报文的透传，但现有通常的网络设备多数不支持。虽然越来越多的厂商开始提供支持802.1x的智能交换机产品，但由于该协议标准尚未成熟，各厂商实现的方式不尽相同，它的发展受到了一定程度的制约。
　　
　　原则五：
　　
　　防止网络攻击
　　
　　为确保核心交换机不受类似拒绝服务（DoS）攻击而导致全网瘫痪，有的厂商在核心路由交换机中采用了防火墙和IDS系统中的防攻击技术，以确保核心交换机更加稳固和强壮。此举尤其可以抵御来自网络内部的攻击，提高系统的安全性。但是目前，该技术在边缘交换机中仍较少采用。

首页 上一页 [1] [2]  下一页 尾页