部署的需求分析
　　部署802.1X时，大多数校园网用户接入控制方法为出口网关控制方式。即只在用户访问校外资源时通过出口网关设备控制用户的访问权限，此措施主要用于用户上网计费。校园网出口一般会增加防火墙、控制网关、流量控制等网络设备，对校园网进行安全计费控制，如图1所示。

　　图1 校园网出口构架

　　出口网关控制方式存在的问题主要有如下几点。

　　1. 校园网出口的问题。
　　用户访问控制措施集中地部署在校园网出口，对出口网络畅通性影响较大，而且设备在出口串行相连，增加了出口断网的风险。随着校园网出口线路网络流量的增大、上网人数的增加，出口网关设备将成为网络访问的瓶颈。如我校校园网出口的峰值流量接近千兆，对出口设备的安全稳定性造成一大挑战，如图2所示。

　　图2 中国农大校园网主干流量

　　2. 安全问题。
　　网关控制方式不易确认用户上网身份、不易定位上网位置。上网主机接入校园网时不受控制，用户可自由更改主机MAC地址、IP地址，没有上网历史日志，当发生安全事件时，网络管理员难以找出安全问题的制造者。
　　3. 计费问题。
　　网关控制时，账号可以被合用、转让，用户可以采用网络共享、宽带路由器、代理服务器等方式来实现多人共用一个账号，此外盗用账号现象也时有发生。
　　4. 难以了解用户主机的攻击行为以及中毒情况。
　　5. 用户上不了网时，管理员远程难以判断其故障原因。
　　农大802.1X实施方案
　　我校的802.1X实施方案采用了锐捷SAM计费管理系统，系统分为如下三个方面。
　　1. 认证服务器：RADIUS认证服务器 + SQL用户数据库 + jboss管理服务器;
　　2. RADIUS接入设备RAS：接入交换机(S2126G/S2150G)，端口启用802.1X认证;
　　3. 客户端软件：用户需安装锐捷SAM客户端软件，通过802.1X认证后方可访问校园网。
　　在新校区实施802.1X接入控制方案，使用用户近3000人，用户账号与主机MAC、上网位置绑定，按包月方式计费。

　　部署802.1X的优缺点
　　部署802.1X的好处有以下几点。
　　1. 用户接入控制：只有认证通过后网络才开通，确认用户入网身份。用户上网后，其账号与主机IP、MAC、上网的物理位置相对应，管理员能快速定位主机上网位置和用户身份；
　　2.认证客户端程序的控制功能，使账号不能被多机共享使用；
　　3. 账号与上网端口、主机MAC等信息自动绑定，账号不能被借用、盗用；
　　4. 用户上网日志详细明了，便于管理员查找用户上网日志、故障日志。通过日志查询，了解用户认证失败的原因，便于远程故障诊断。

　　但实施802.1X后也存在一些问题，主要有以下几个方面。
　　1. 增加了管理工作量：如账号绑定功能，使账号绑定与用户上网点变动发生矛盾，需要管理员手工解除账号绑定。用户端需要安装专用的认证软件，此外，软件的分发、软件的使用故障等问题都增加了用户的上网难度。
　　2. 计费方式比较单一：计时或包月。对用户上网的上传下传流量难以控制，我校是在出口增加了流量控制设备，控制BT等点到点应用。
　　3. 全校范围内推广实施802.1X接入控制有一定的难度。由于802.1X接入控制方案需要二层接入交换机支持802.1X协议。但校园网中交换机型号较多，一些老设备不支持802.1X；许多厂家设备为了实现新的802.1X管理功能，增加一些802.1X私有扩展功能，但不同厂家设备的802.1X扩展功能不一样，缺乏通用性。给全校实施统一的802.1X控制措施带来一定困难。

　　目前我校实施802.1X策略为：在有条件的区域实施802.1X接入控制，如新校区或新建楼宇的网络环境，在其他区域仍采用网关控制方式，随着网络设备的更新改造、逐步过渡到802.1X接入控制。
　　(作者单位为中国农业大学网络中心)