5    系统部署

网络准入控制具体业务部署可分为3级：主干级、地区

级和接入级。由主干级的网络管理员进行基础策略的统一定
制，然后再进行层层下发。地区级和接人级的网络管理员可 以依据上一级准入控制下发的策略进行继承、自定义等操作， 从而生成更加满足本地需要的策略，如图4所示。

图3网络准入控制工作流程

图4网络准入控制幢务部署

主干级、地区级和接入级都部署了网络准人控制，地区 级系统上的相关认证策略、安全策略，用户策略等原则信息 则由主干级系统下发。相应地，接入级准人控制上的相关认 证策略、安全策略、用户策略等原则信息则由地区级准入控 制下发。同时，接入级通过信息上报的方式，将相关的安全
日志信息上报给地区级地区级可以对这些统计数据进行查
询以及汇总，并根据上报的统计数据做出相应的统计报表。 相应地，地区级对接入级上报内容进行汇总，做出相应的统 计报表上报给主干级。网络准入控制的组网分为局域网组网 和广域网组网两种模式。局域网组网根据网络接入设备是否 支持802．1x协议认证方式分为接入层组网和汇聚层组网两 种。广域网组网采用Portal协议认证方式。
(1)接入层组网：网络准入控制配合接入层交换机，通 过802．1x协议认证实现对接入用户进行控制。在这种组网方 案中，策略强制执行点在接入层交换机上，具有对不符合安

62  I叩叨晒，cis啊a_。④④圆。④田
万方数据
全策略的用户隔离严格的特点，可以有效防止来自网络内部
的安全威胁。 (2)汇聚层组网：在接人交换机不支持准入控制功能的
情况下，可以在汇聚交换机上启用准入控制功能来执行对用 户终端的控制。在这种组网方案中，安全策略的强制执行点 在汇聚层交换机上，对于接入层交换机内部之间的互访，可 以启用端口隔离、PVLAN等安全功能，来防止接入层交换 机内部主机的相互影响。
(5)广域网组网：在骨干路由器中强制用户进行Ponal 协议认证和安全状态检查，确保用户访问外网业务时具有符 合标准的安全状态。广域网终端控制方案的典型组网，由路 由器完成基于Portal协议认证的接入控制，进行用户网络访 问的通断与开放，由准入控制进行准入策略的控制，安全状 态的检测以及身份和安全认证。采用Portal认证时，用户终 端仍可以使用基于802．1x认证的准入控制用户端认证模块， 只是在访问外网业务时需要进行相应的认证过程。Portal认 证的系统组成由用户终端上运行的准入控制用户端认证模块， 联动设备(路由器)，Portal认证服务器、准入控制的资源访问 控制策略系统及相关的联动服务器等。
当用户需要访问广域网资源时，联动设备(路由器)不允 许用户数据通过，要求用户通过用户端认证模块输入认证信 息。联动设备(路由器)先将用户的认证信息传送至Portal服 务器，然后Porbl服务器再将认证信息由联动设备(路由器) 转发给资源访问控制策略系统进行身份认证和安全认证，认 证通过并验证用户符合定义的安全策略，路由器会打开用户 与网络的通路，用户可以访问网络；否则，根据控制策略中 定义的处理模式对用户进行相应的控制管理操作fl。3】。

4结语

通过对网络准入控制技术的全面理解与分析，可以实现 对用户属性、在线状态、流景限制的全面管理，并依托情况 汇总机制，实现对网络用户使用状态的全面掌握，进一步加 强对网络使用状态和应用质量的深度掌控。

参考文献
【l】IToIP白皮书．杭州华三通信技术有限公司EB／0L】．
【2009—02—0l】．http： ／／www．huawei一3com．com．
【2】数据业务接入管理系统(isAM)．中兴通讯股份有限公司
【EB／oL】．【2009一02—0 l】．http： ／／www．zte．com．cn．
【3】华为3coM．802．1 x协议原理与实现【EB／oL】．(2005一
04一13)．【2009一02一Ol】．http：／／www．enet．com．