目前,大多数的网络设备制造商正在挖空心思,赋予他们的产品以控制存取的功能,因为计算机网络的NAC时代已经到来了。在以往的Interop实验室测试中,常常使用虚拟网络定义的方法来完成存储控制的实验,即把特定类型的用户安排在不同的VLANs上进行控制存取的实验。比如,一个VLAN可以使同一用户同时充当客户端、VoIP电话、修复阻隔者等不同的角色。VLAN在一个小型的网络控制中,可以游刃有余地完成所有可能任务的指派,但是当完成Interop实验团队要完成的大批量的网络实验工作时,VLAN就力不从心了。实验中的网络要么过于庞大,要么过于分布式,这些都极大地超出了VLAN的能力范围。还有些时候VLANs在不同应用切换过程中,难以保证建立起重用时的安全边界。当然,一些网络企业产品所需要的更为复杂的存取控制功能环境,也是VLAN所不能提供的。
在今年的Interop2008中,实验的组织者们将存取控制表技术(ACL,Access Control List)和VLANs技术(Virtual LANs)进行了组合,即将NAC与存取控制断言进行了封装。使用局域网分割技术可以使不同的客户及VoIP电话用户同时接受服务,可以对使用后的空间进行安全清理,而且对所有的服务提供相同的安全策略。所有内部的用户,不管他们是否需要网络修补服务,处于相同子网的用户都会得到ACLs提供的存取控制服务。具体包括:根据子网划分原则发现需要隔离的用户、确保需要隔离的用户处于特殊子网中、确保他们与正常用户的网络边界的存在、相同子网的用户使用相同的地址空间等等。
使用相同的VLAN和子网,用户在进出子网的时候可以采取应急补救措施,是NAC技术最具智能化的部分。比如,它可以告知一个终端系统它已经从一个子网进入到另外一个子网,为此它的IP地址发生了变更等等。测试人员发现,进入Interop实验室的大多数的有线和无线设备都能够通过ACLs完成对终端用户的管理并满足终端用户的需求。
大部分的网络设备,包括思科以及Entersys的局域网络交换机,Aruba、思科、Trapeze和Xirrus的无线网络设备,在网管人员将ACLs预装到设备之后都能够正常运转。之后,NAC安全策略服务器就会为其指定一个ACL作为RADIUS认证需求的应答,并且该ACL就开始为有存取服务的用户提供服务。比如,对于Aruba无线设备,Interop实验室的测试人员为正常用户、隔离区用户、管理级用户、设备(打印机和VoIP电话等)等提供了四个ACLs,当一个普通用户连入网络时,NAC策略服务器将会发送一个预先定义好的数值(如1、2、3、4)作为特定的RADIUS属性给使用ACL的用户。
包括Avenda Systems、思科、Juniper、微软和Open System Consultants在年内的策略服务器供应商们,目前都能够调整其产品按照上述的模式进行工作。由于没有一个统一的得到大家公认的解决策略,因此目前这项举措的普及和推广并不令人满意。举个例子来说,对于思科的交换机来说,Filter-ID作为RADIUS属性是必须的;但是对于思科的无线设备来说,所需要的RADIUS属性却是于前者不同的Airespace-ACL-Name。
目前,Network World组织的那些富有传奇经验的志愿者们已经可以完成各种类型策略服务器的配置工作,以便使这些服务器可以与所有的预装了ACL的系统连接工作。结果是令人满意的,这就意味着使用上面介绍的方法可以使网络管理人员在自己的网络中使用来自不同厂商的各种网络设备、或者同一厂商生产的不同类型的网络设备,大大便利了处在应用前沿的众多企业,为解决众多网络设备不能和平共处的现状铺平了道路。
还对ACL有需求的是那些原本生产策略服务器,而后又为了满足用户需求转而生产交换机的厂商们。在Interop的互操作实验中,惠普公司的有线和无线网络设备就属于这样一类产品。尽管这种做法并没有众多的响应者,但是惠普采取了一种动态的方式探索到了一条解决网络安全问题的途径。策略服务器的供应商们都可以通过该模式与惠普的设备完成互操作,但是其它厂家的策略服务器都不能做到动态为所有设备产生ACL。Juniper的UAC,可以为Juniper自己生产的防火墙产生ACL,而对其它非Juniper设备则无能为力。目前为止,动态产生ACL达到使用和推广程度的只有惠普一家,可谓一枝独秀。因此,在理论研究上来说,惠普此举堪称一大创举,可以对其它的NAC生产厂商产生一定的启发和借鉴作用。
对NAC进行测试工作时发现,工作于网络上的Force10交换机不能在VLAN下支持ACLs。为此测试团队发现了另外一种将NAC技术用于设备检查和验证的方法,这就是集成思科的NAC工具,比如前面提到的Cisco Clean Access,就可以使用户在所有的交换机上畅通无阻了。Force10交换机就是通过上述方法过了实验室测试这一关的。这种变通方法的重要性恐怕不仅仅在于解决了Foece10的窘境,在解决一些新型高速网络设备兼容性的工作领域还将会发现其用武之地。
对ACLs和NAC的协同工作优异性能已经有了实验室数据的证实,但是二者的联合能否成为解决网络安全问题的一个可以得到公认的解决方案,还需要各大网络设备生产厂商在密切合作的基础上达成共识。当然,最重要的是,还需要得到广大用户的认可。