可管理性网络设计探讨.pdfVIP

虽然用户认证管理技术在电信宽带用户中已经比较成熟，但对于大型企业网还很少运用。借 AD、 RADIUS等现有的宽带用户认证管理技术进行用户的识别和认证。 Windows AD(Active Directory，活动目录)是Windows2000操作平台中的核心组件 之一，存储了有关网络对象的信息，供管理员、用户和应用程序使用。它使得组织机构可以 有效地共享和管理网络资源和用户信息。活动目录可在简化管理、增加安全性、扩展互操作 性等方面为用户提供极大便利。但是WindowsAD服务承载能力有限，系统资源消耗很大， 这些都导致Windows AD在企业中不能大规模地运用。 Access RADIUS是一种c／s结构协议，它的客户端最初就是NAS(NetServer)服务 quire数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过MD5加密 的，双方使用共享密钥，这个密钥不经过网络传播。 RADIUS是目前最常用的认证计费协议之一，它简单安全、易于管理、扩展性好，所 以得到广泛应用。但是由于协议本身的缺陷，比如基于UDP的传输、简单的丢包机制、没 有关于重传的规定和集中式计费服务，都使得它不太适应当前网络的发展，需要进一步 改进。 PPPoE(PPPover 术十分成熟且使用广泛，而PPP协议在传统的拨号上网应用中显示出良好的可扩展性和优 质的管理控制机制，二者结合而成的PPPoE协议得到了宽带接入运营商的认可并广为采用。 但可以看出，PPPoE并不是为宽带以太网量身定做的认证技术，将其应用于宽带以太网， 必然会有其局限性，尤其是它的封装方式也造成了宽带以太网发展中的种种问题。 IEEE 802．1x是一个基于端口的网络访问控制标准。最早它是无线以太网遵循的一种应 用协议。802．1x的实质是对以太网端口进行鉴权，采用了“可控端口”和“不可控端口” 的逻辑功能，有效实现了业务与认证的分离。在802．1x的认证体系结构中，业务与认证分 离，业务报文直接承载在正常的二层报文上通过可控端口进行交换；通过认证之后的数据包 是无需封装的纯数据包。而且由于802．1x认证包采用了在不可控通道中的独立处理的方式， 因此认证处理容量可以很大，消除了传统网络瓶颈。 对于用户认证的几种技术在实际生活中都有运用，只不过它们已经不再单独存在，而是 几种技术的综合应用，整合它们各自的优势，提供功能全面、综合性强、平台低的综合管理 软件。同时，它们也不再是单一的认证管理，还包括了用户服务管理，这将在下面进行具体 说明。 3．2用户服务管理 用户服务管理是在网络中实现对用户提供的网络服务实行集中监测、分权管理，并统一 分配带宽资源，对用户接入设备的管理、用户上网流量管理，以及为用户提供的服务内容进 行管理。为此，一个完善的网络要求具备能够提供完善的诸如认证、访问、授权、配置、带 宽、计费、差错等服务管理能力，以及以流量控制为服务内容的业务构建功能。 ·-——223—--—— 这些管理功能涉及了很广的范围和多方面的技术，在现有的水平上我们只有借助功能强 大的网管软件来整合各个功能和应用，提供更加丰富的个性化解决方案。 目前国内也有很多能解决这些问题的网络管理软件，其中华为的CAMS就是一款基于 IEEE 802．Ix的可以配合交换机、宽带接入服务器等接人层设备，完成对用户上网过程的认 证、授权和计费综合接入管理服务器。它提供了强大的用户认证、计费和管理平台。可以实 现网络的可管理、可运营，保证网络和用户信息的安全。还有很多的管理软件它们都能提供 基于用户管理的综合解决方案，这里就不一一阐述。 4网络交换没备可管理性 网络设备是网络系统的主要硬件设备，也是历来网络管理的主要内容。网络设备可管性 是指网络设备不但具有作为单一个体的可管理性，而且支持整个网络的全局可管性，所有的 网络设备都可透过中心的网络管理工作站集中管理。各交换设备在支持SNMP，RMON等 管理协议的基础之上，采用