世界杯提速,网络准入控制岂能慢人一步?
责任编辑:盈高科技 时间:2014-06-23 浏览次数:4110
浙江 2014-06-17(中国商业电讯)--6月,4年一度的世界杯正在巴西吸引全世界球迷的注意力,根据purelyfootball公司统计数据,荷兰队前锋罗本在与西班牙队比赛中打进第二球时,奔跑的最快瞬时时速为37.0公里/小时,这个出现在本届世界杯中的记录超过了以往所有的足球场带球速度。
在这个什么都讲速度的年代,网络准入控制也在不断提速,不断让自己变得简单好用。回到最初的那段历史,2001年,IEEE委员会推出了面向有线网络接入认证的802.1x协议,从此确立了在局域网中对外来设备进行控制和认证的基本组成,客户端(supplicant)、中继者(authenticator)、认证服务器(Authentication Server)的三元组一时之间成为了网络接入控制的基本标准。十年以后,网络准入控制(NAC)的践行者们也纷纷建立起了自己的技术三元组:在PC终端上安装客户端软件(agent)、由用户方提供的支持802.1x协议的交换机、负责接收和识别radius数据包的准入服务器。当初的接入控制(Access Control)也演变成了准入控制(Admission Control),一个简单的技术动作扩展到了涵盖认证、弱点检查、修复引导和应急响应的一整套的终端安全思路,并在国内迅速打开了网络准入控制的行业之门。
当行业扩大、用户增多的时候,相应的思考和积淀就越深,802.1x作为十年前单纯用于认证的架构,其越来越慢的部署速度已经对越来越体现机构个性化特征的准入要求难以为继。在2014年年初,某省级能源机构的网络准入控制技术测试中就出现了这样一幕:给出一台简单的华为交换机作为基础环境,在安全协议中已经步入晚年的802.1x足足花了1天时间才搭建起基本的测试环境,而它如今的对手——无客户端准入,在半小时之内就已经测试完毕。
人们总在感叹准入控制最初的那些复杂的桥段,比如当年部署一个1000点以上的802.1x网络准入环境足足花了几个月的时间,比如部署后成年累月花在终端维护上的大量时间,比如频繁被各种莫名其妙的断网困扰后在睡梦中冒出的冷汗,还有用户对系统各种意外掉线的不满与投诉。在实施过802.1x准入的技术员看来,对于802.1x这套技术,一个将伴随其终身的关键词就是“复杂”,从最初的配置复杂(终端上配置网络,交换机上配置环境命令),到集成复杂(把802.1x集成到厂商的客户端中,并疲于奔命地支持无限升级的各种windows操作系统),以及使用复杂(基于底层网卡驱动的802.1x兼容性是个大问题,各种掉线是家常便饭)。在某著名国家级电视台的项目中,即便使用了最具好评的一套平台来实现802.1x认证,也无法避免长期以来扰民无数的掉线和误报。
有人曾经问过,为什么在中国,网络准入控制这样难实施?很简单,在国外规范且整齐划一的网络环境下,网络准入控制的平台可以做到很复杂,功能堆砌得很多,操作要求较高,但又能保证较低的事故率;而到了国内各具复杂个性(多交换机品牌、非标准网络、参差不齐的终端、参差不齐的员工,灰色边界如hub等)的环境下,网络准入控制就必须做到简单,否则就是两败俱伤。Gartner 5年前的那句名言直到现在依然历历在目:是NAC适应网络,而不是网络适应NAC。
那么怎样做到简单的网络准入控制?服务器管理可以简单,因为可以7*24小时运行几年也不出问题;网络设备管理也可以简单,十年前的cisco 2950,现在依然好用;复杂的点其实在于终端!有多少终端,就有多少人,就有多少地理位置,就有多少种不同的配置和行为,就有多少种未知的潜在问题。所以有人戏称国内的网络准入控制实际上一直在做的是“终端准入控制”,从这个意义上说,要简单网络准入控制,首先要简单在其终端上的行为,要简单网络准入控制在终端上的行为,首先就要免除客户端所带来的负担。于是就有了之前的那个故事,老一辈的客户端准入者802.1x慢慢收拾行囊,逐渐退出历史舞台,而让位于新兴力量的无客户端准入。
4年前,无客户端准入的概念在行业中刚刚出现,就引起了诸多厂商的效仿,并形成了行业潮流。4年后的2014年,无客户端准入已经成为不可阻挡的网络准入控制趋势,就在年初,国内某一流的能源公司替换掉了原有的802.1x准入控制体系,这套系统他们已经勉强使用了近2年,最终选择了放弃这工作中不可承受之重。而他们选择的,就是无客户端准入。
更简单更快速的网络准入控制,你也可以做到!