基于
802.1X
协议的网络管理架构
龚伟
412001)
(株洲电力机车有限公司,湖南株洲
[摘
要]
网络管理技术是现代通信网络的重要组成部分,是保证网络高效、可靠、安全运行的重要基础。IEEE802.1x(portbasednetwork
accesscontrol)标准的颁布为解决在新网络环境下实现安全有效的认证机制提供了途径。
[关键词]802.1x协议;网络管理技术;网络安全1前言
在信息网络普及的同时,信息安全威胁随之也在不断增加,信息网络的安全性越来越引起人们的重视。在当前复杂的应用环境下,信息网络面临的安全形势非常严峻。
网络安全技术在近几年得到快速的发展,这一方面得益于从到地方的广泛重视,另一方面因为网络安全问题日益突出,网络安全企业不断跟进最新安全技术,不断推出满足用户需求、具有时代特色的安全产品,进一步促进了网络安全技术的发展。
IEEE802.1x(portbasednetworkaccesscontrol)标准的颁布为
解决在新网络环境下实现安全有效的认证机制提供了途径。本文将讨论结合802.1x协议实现的网络安全管理架构。
2802.1x
IEEE在2001年正式颁布了IEEE802.1x标准,用于基与以太网
的用户和设备接入认证。
IEEE802.1x又称为基于端口的访问控制协议(Portbasednetworkaccesscontrolprotocol),它可以通过端口的打开和关闭
未经授权的用户和设备访问网络。这里的端口可以是交换机设备的端口,也可以是逻辑端口。
2.1IEEE802.1x的组成
IEEE802.1x认证体系包括3个组成部分,即客户端(Supplicant)、
认证系统(Authenticatorsystem)
和认证服务器(Authentication
serversystem),三者之间通过EAPoL(extensibleauthenticationprotocoloverLAN)协议进行通信。
2.2IEEE802.1x的体系结构
如图1,客户端通过安装用于认证的802.1x客户端软件,在用户接入层设备上实现802.1x的认证系统部分,客户端与认证控制实体间应支持IEEE802.1x定义的EAPOL协议。
图1IEEE802.1X协议的体系结构
如图1所示,采用认证服务器负责进行802.1x认证,同时在启用
802.1x认证时,认证系统每个端口内部包括受控端口和非受控端口。
非受控端口始终处于双向连通状态,主要用来传递EAPoL协议帧,可以随时保证接收认证请求者发出的EAPoL认证报文,该端口除802.1x报文和广播报文外不允许任何业务输入输出;受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。当用户通过认证后,受控端口打开,允许客户端通过端口进行正常通信。
3基于802.1x的网络实现3.1
系统架构
为了更好地实现基于802.1x的网络管理,增强网络的可控性,本
24
2008年4月(上)
系统的设计思想是:采用集成标准的802.1x模块的网络设备,利用认证服务器对这些设备进行集中管理;将认证服务和策略集成,通过策略服务器对客户端进行集中式管理,并通过客户端安装的策略组件与补丁服务器、防病毒服务器等联动,最终达到对整个网络的基于策略的管理。其系统架构如下图所示。
图2系统架构
从上图可以看出,系统包括3个过程:802.1x认证过程、信息收集和策略设置过程、基于策略的客户端管理过程。
3.2重点目标
本方案的主要目标是实现网络中防病毒软件和操作系统补丁的有效管理。
过去,企业信息网络安全的防护中心一直定位于网络边界及核心数据区,通过部署各种各样的安全设备实现安全保障。但随着企业信息边界安全体系的基本完善,信息安全事件仍然层出不穷。内部员工安全管理不足、员工上网使用不当等行为带来的安全风险更为严重,企业管理人员也逐步认识到加强内部安全管理、采取相关的安全管理技术手段控制企业信息安全风险的重要性。制定有效的补丁管理措施,为终端用户及时安装杀毒软件,并保证病毒库及时更新,是网络安全的基本保证。
由于网络安全威胁的变化,系统漏洞已经成为影响网络安全的重要因素,2006年4月微软公布系统漏洞的当天,赛门铁克就证实其中
3个漏洞已经被黑客利用来发动攻击。制定有效的补丁管理措施,为终
端用户及时安装升级各种系统安全补丁,成为网络安全中越来越不可缺
少的重要保证。
3.3具体方案
3.3.1802.1x认证过程
当用户有上网需求时候打开802.1x客户端程序,输入用户名和口令,发起连接请求,此时客户端程序将发出请求认证的报文给802.1x网络设备,开始启动认证过程。802.1x网络设备将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。认证服务器受到转发来的用户信息后,从数据库中进行对照,如果口令符合,则认为该用户为合法用法,认证通过,否则视为认证失败,将认证结果通过信息传递给数据库,数据库将收集到的认证结果反馈给802.1x网络设备,802.1x网络设备根据这些信息指令,打开或者关闭受控端口。
3.3.2信息收集和策略设置
802.1x认证过程传送过来的认证用户信息和通过策略控制设置网
络管理的策略信息进行统一存储。
3.3.3基于策略的客户端管理
将802.1x认证组件和客户端策略组件集成,使客户端在进行
802.1x认证时候强制执行策略。根据策略检查结果决定用户接入网络
或者只能访问隔离区。
隔离区是指用户在通过安全认证之前允许访问的一组主机的集合。一般情况下,隔离区可能包含防病毒软件安装升级服务器(防病毒管理中心)、WSUS补丁更新服务器和策略服务器。隔离区具体包含哪些主机一般在接入层交换机上配置。
具体的客户端管理过程如下图所示。
图3基于策略的客户端管理
1)补丁检查
客户端进行802.1x认证时会自动调用WSUS客户端插件进行补丁检查,如果有需要下载的补丁或者更新程序,则WSUS客户端插件会自动从WSUSServer侧下载所需更新并自动安装。WSUS软件补丁服务器负责对终端用户的计算机进行补丁状态检查,判断是否合格以及不合格时自动更新所缺少的补丁,策略服务器负责决定何时发起补丁状态检查操作,并负责控制补丁状态检查不合格的端点用户只能访问隔离区内的资源,待端点用户的计算机补丁状态检查合格后才解除对该用
(上接第23页)
温度偏高;进气密度降低;排气管网阻力过大;吸入管路过滤器堵塞;密封间隙过大;空压机流道堵塞等。
根据上述几种可能的原因,采取分析工艺参数、检查等手段将其一一排除,而对于后两项,只有拆掉机盖检查才能确定。空压机前采用空气过滤器,在进口空气干燥洁净的情况下空压机内通常不会结垢。气体通道内的结垢,会使有效通流截面变窄,流动阻力增加,排气量下降。对叶轮、扩压器来说,过多的尘垢还会在一定程度上改变气流的流动速度和方向,使叶片进口气流方向与叶片进口安装角之间产生正冲角,在叶片的非工作面上出现边界层分离,导致气流对叶片的冲击,使压缩机的效率和排气量下降。为保持机组长周期运行,针对上述存在的问题可以采取以下几种措施:更换止推轴承主推瓦块;将镶嵌在隔板上的已损坏的级间密封改换成新的级间密封;对空压机的转子、隔板进行清洗除垢;转子送厂家修磨,重做动平衡。
4.2压缩机各级排气温度不稳
离心式压缩机运转过程中,经常会出现压缩机的各级排气温度有不同程度升高的现象,有时升高得很快。在检查水压和水温都正常的情况下,都会想到冷却器芯脏堵或结垢等原因。但是一旦拆卸维修、除垢之后会发现,其实这不是主要问题。这是因为忽略了一个很小但是却很重要的部件,即门形垫。门形垫的一面为光滑的平面,目的是把门形垫牢固粘在冷却器芯的外表面。另一面为带有很多小方格的平面,目的是
应用科技
户计算机的隔离。两者通过客户端策略组件与微软公司支持联动功能的补丁升级客户端之间的API接口实现。
2)防病毒软件管理
客户端进行802.1x认证时自动检查是否安装了防病毒软件,并检查防病毒软件病毒库版本。检查的防病毒软件和病毒库版本由管理员通过策略控制台在策略服务器设置。如果未达到要求,策略服务器将强制用户只能访问隔离区内的资源,待检查合格后才解除对该用户计算机的隔离。
同时我们也应该看到,该系统由于将802.1x认证和策略组件集成,需要用户安装定制的客户端程序。
4结束语
通过上面的叙述我们可以了解到,本文提出的结合802.1x认证技术实现网络管理的具体解决方案,克服了802.1x网络设备无法对用户进行基于粒度管理的缺点。标准的802.1x协议定义的是基于物理端口的访问控制,一旦某个物理端口打开,则连接在同一端口的其他用户可以不通过认证而使用网络,这样造成难以实现对单个用户的安全控制和管理。正式正对802.1x网络设备这一特点,系统设计将用户认证和策略管理集成,并结合隔离区的概念,保证打开端口时只允许合法用户通过端口访问网络。
[参考文献]
[1]IEEEstandardforlocalandmetropolitanareanetworks-port-basednetwork
accesscontrol[S].IEEEStd,802.1x,2001.
[2]杨富华,彭钢,潘宏.关于802.1x认证技术在校园网应用中问题的探讨[J].中国医学教育技术,2006.
[3]柏刚.基与以太网端口的用户访问控制技术[J].宽带城域网,2002.
[4]AruneshM,WilliamA.ArbaughaninitialsecurityanalysisoftheIEEE802.1xstandard[EB/OL].[2002-10-06].http://citeseer.nj.nec.com.
为阻隔水循环的短路。离心式压缩机之所以结构紧凑,很大一部分原因,是冷却材料和内部结构紧凑。水路的循环,就是经过门形垫的一个口进入,另一个口排出,中间经过的就是冷却器芯。但是在安装时,如果门形垫没有粘牢,或者安装时因为冷却器内壁的摩擦,造成门形垫松动脱落,都会导致水循环通道短路。所谓水循环短路,就是有很大一部分水直接从进口进入,未经冷却器芯而直接从出口处出去,其结果就是换热量减少,排气温度升高。
5总结
离心式空气压缩机长期使用可能会出现以上某种故障,导致运行指标下降,不能满足生产要求,这时应当及时停机检查问题,找到相应的故障原因并及时处理。同时,在日常生产中,应该定期做好设备检修工作,才能保证这个生产过程的顺利进行,避免失效情况的发生。
[参考文献]
[1]刘涛.离心式压缩机喘振故障的预防[J].中国设备工程,2001.[2]唐善华,薛献忠.离心式压缩机喘振问题分析[J].油气运输,2003.[3]盛强,王寿桃,胡磊.空气离心压缩机运转失效分析[J].风机技术,2004.[4]张立发,翟所斌.大型空分装置离心式压缩机振动故障分析及处理风机技术[J].2008.
[5]马雷.离心式压缩机故障原因分析及处理措施[J].风机技术,2007.
TECHNOLOGYTREND
25
