基于 EAPOU 网络准入控制技术的应用
文/吴秋玫
本文对基于网络的EAPOL和EAPOU准入控制技术进行了介绍,并对这两种网络准入控制技术进行了对比,给出了在大中型网络中EAPOU网络准入控制技术的应用选择依据。就EAPOU网络准入控制技术的应用,提出了详细的应用部署方案,并对应用成效进行了阐述。
【关键词】EAPOU EAPOL 网络准入控制技术
近年来,我国的信息技术发展迅速,为带动我国科技进步与经济发展做出了巨大贡献。但随着信息技术的深入应用,信息安全问题也日趋突出。从信息技术的发展应用过程来看,信息安全问题一直是信息技术发展的主要阻力之一。为了加强网络应用安全管理,网络准入控制技术得到了广泛应用,将网络准入控制技术与传统的网络安全技术如防火墙、防病毒技术结合,将被动防御变为主动防御,有效提升了信息安全管理。当前被广泛采用的网络准入控制技术主要是基于网络的准入控制,主要包括基于 EAPOL(EAP Over 802.1x)的802.1x 技 术、 基 于 EAPOU(EAP Over UDP或 CISCO EOU)的 CISCO EOU 技术。本文以基于 EAPOU 网络准入控制技术作为研究对象,通过对 EAPOL 和 EAPOU 准入控制技术进行介绍,在将两种技术进行对比的基础上,对 EAPOU 网络准入控制技术的应用展开了深入研究。
1 网络准入控制技术介绍
1.1 EAPOL与EAPOU准入控制技术
EAP 是 Extensible Authentication Protocol的缩写,EAP 最初是用作为 PPP 的扩展认证协议,使 PPP 的认证更具安全性。EAP与 802.1x 的 结 合 就 是 EAPOL(EAP Over LAN),或者称为 EAP over 802.1x。EAPOL最初使用来进行局域网内身份认证的工具,随着 2000 年爆发的蠕虫病毒,其便开始用作电脑安全状态的认证, 即在进行身份认证的同时,对终端电脑的安全状态进行检测。
EAPOU 是 Cisco NAC 技术的第一个实现版本,最早是在 2003 年在 Cisco 的路由器上实现,后来在 Cisco 的 3 层交换机上也实现了EAPOU。EAPOL 是在网络的接入层进行准入控制,而 EAPOU 通过在网络的汇聚层或核心层进行准入控制,不仅可以确保终端计算机上的网络安全,而且可以有效地对当前系统的安全状态进行识别。EAPOU 的工作原理是当支持 EAPOU 的汇聚层设备接收到终端设备发来的数据包时,汇聚层 EAPOU 设备将要求终端设备进行 EAP 认证。EAP 认证包封装在 UDP包内,在 EAP 认证的内容中,身份认证其实并不重要,重要的是安全状态认证。如果安全状态不符合企业策略,汇聚层 EAPOU 设备将从策略服务器上下载 ACL,限制不安全的客户端的网络访问,并对其进行修复。
1.2 两种网络准入控制技术的对比
EAPOL 主要实现的是对网络接入层的准入控制,由于 802.1x 协议被网络厂商广泛支持,所以 EAPOL 是支持范围最广的网络准入技术,因为控制点接入交换机,最接近终端电脑,可以对不符合策略的电脑做到最严格的准入控制,但正因为这样,使得 EAPOL 的配置管理也较为复杂,特别是在规模较大的网络中部署起来就更为困难。图 1 为 EAPOL 的部署示意图:EAPOU 对网络的准入控制主要集中在其核心层和汇聚层,只要在汇聚层或核心层进行部署控制,即能做到对终端的全面控制,因为控制点在汇聚层,而不是接入层,离终端越远,控制力越弱。如果终端不受管理,即使其不符合安全策略,它只是不能访问汇聚层以后的网络,而可以照常访问其所在的接入层的网络,所以控制强制性不如 EAPOL。但与 EAPOL相比,EAPOU 对网络接入设备的要求较低,主要原因为:EAPOU 准入控制的覆盖面积较大,且在汇聚层或核心层的设备大都少于接入层设备,所以部署起来要相对容易些。图 2 为EAPOU 的部署示意图:
2 EAPOU网络准入控制技术的应用
2.1 选择依据
在大中型网络中,一般存在网络接入层设备多、设备厂商多、部分设备不支持 802.1x 及 HUB 接入、VPN 接入、Wirelesss 接入等情况,若采用 802.1x 部署方式会导致配置管理复杂、部署难度大、802.1x 准入的动态 VLAN切换影响网络性能、无法做到全网终端的准入控制等问题,因此不建议采用 EAPOL 部署方式。EAPOU 网络准入控制技术应用的选择依据便是其自身的技术原理。当网络准入控制在运行时,需要由网络接入设备发出控制消息并向主机设备申请委托书,随后,AAA(验证、授权、记账)服务器的信任代理便同入网计算机的信任代理建立起较为安全的 EAP(身份验证)对话。对话开始后,入网计算机的信任代理便开始对 AAA 服务器进行入网核查。最后,经由信任代理与相关网络设备传递的委托书便可以经由控制服务器接收后进行相应的认证与授权。
2.2 EAPOU准入控制技术的部署方案及应用成效
以 cisco 公司的网络准入控制产品作为技术实现的主要设备,展开企业网络准入技术方案的部署,具体步骤如下:
(1)准入控制网络设备的运行。运行包括交换机、安全设备、路由器和无线接入点等准入控制设备,并通过相应软件将其功能增强后集成到网络控制平台中;
(2)执行基于RADIUS(远程接入协议)的 AAA 服务器,利用 cisco 公司的 ACS(自动控制系统) 确定网络接入权限的相关决策点;
(3)可信代理的部署。利用 cisco 公司研发的CTA(IDE的技术规范族)通过多种方式部署可信代理,即使 CTA 作为独立代理,直接从 cisco 公司分发,与此同时,进行思科安全自动活动软件(cisco securityagent)的分发;
(4)安全代理的部署。将思科安全自动活动软件接入入网计算机,使其防止蠕虫和计算机病毒,进而为 NAC 提供热修复与操作系统补丁的相关信息;
(5)利用 Cisco WorksVMS 对 CSA 认证进行批量部署,并利用Cisco security MARs实现NAC与其他安全设备的管理部署。此套 EAPOU 准入控制技术部署方案的实施有效增强的企业网络系统的安全性,通过对核心层与汇聚层网络安全状态的准入控制,提高了企业网络系统的抗病毒能力与抗干扰能力,从整体上保护了企业信息安全。图 3 为 EAPOU 网络准入控制部署框架,其中左半部分为内网示意图,右半部分为外网示意图。由图可知,内网 CAS(查询网站)部署设计的模式为外带真是网关模式,由于核心交换机和汇聚交换机的连接方式为路由连接,且系统终端与 CAS 之间的连接为三层连接,因此,在进行部署时,需要分别在核心交换机与汇聚交换机上做出相应的策略路由认证,使系统将认证 VLAN 的流量导入 CAS 中的非信任接口。而外网 CAS 的部署模式主要以 OOB REAL-IP GW 为主,且由于在部署过程中,其终端同CAS之间的连接为二层连接,因此,不需要系统进行策略路由认证。
3 结论
本文以 EAPOU 网络准入控制技术作为研究对象,通过对比其与 EAPOL 的相关特点,对 EAPOU 准入控制技术的部署方案进行了详细研究。可见,未来加强对 EAPOU 网络准入控制技术的研究与应用力度,对于和谐、安全网络环境的建设具有重要的历史作用和现实意义。
参考文献
[1]常润梅,孟利青.企业终端准入控制与数据防泄密安全应用[J].电信工程技术与标准化,2013,03(12):76-80.
[2]李琰.企业网络终端准入控制解决方案[J]. 数字技术与应用 ,2013,06(09):15.
[3]索龙.蜂窝网M2M的准入控制与调度方法研究 [D]. 西安电子科技大学 ,2013.
作者单位
云南电网公司普洱供电局 云南省普洱市 665000