终端安全：准入控制保障“内网合规”

核心提示： EAPOL不仅能用来解决终端电脑身份认证的问题，也可以用来认证电脑的安全状态，终端安全：准入控制保障“内网合规”(2)，在进行身份认证的同时，“顺便”检查终端电脑的安全状态，因此部署相对要容易一些，目前支持EAPOU的设备只有Cisco的路由器和3层交换机，并能根据

EAPOL不仅能用来解决终端电脑身份认证的问题，也可以用来认证电脑的安全状态。在进行身份认证的同时，“顺便”检查终端电脑的安全状态，并能根据认证状态设置端口状态，动态切换VLAN，或者下载ACL列表。因为802.1x协议被网络厂商广泛支持，所以EAPOL是支持范围最广的网络准入技术。EAPOL的优点是它可以做到最严格的准入控制，控制点是网络的接入层交换机，最接近终端电脑，对不符合策略的电脑可以完全禁止其访问任何网络，使其对网络的危害最小。

EAPOL除了需要网络设备支持以外，还需要一系列相关配套的软件，比如Cisco的NAC、H3C的EAD、启明星辰的天珣内网安全风险管理与审计系统等。

EAPOU

网络准入的概念是由Cisco普及的，Cisco的NAC除了包含前面讨论的EAPOL，还有EAPOU(EAP Over UDP)。与EAPOL国际标准协议不同的是，EAPOU是Cisco的专有协议，即独家技术。EAPOU是Cisco NAC技术的第一个实现版本，2003年最早在Cisco的路由器上实现，后来在Cisco的3层交换机上也实现了EAPOU。EAPOL是在网络接入层进行准入控制，而EAPOU则是在网络的汇聚层或核心层进行准入控制。

EAPOU的工作原理是当支持EAPOU的汇聚层设备接收到终端设备发来的数据包时，汇聚层EAPOU设备将要求终端设备进行EAP认证。EAP认证包封装在UDP包内，在EAP认证的内容中，身份认证其实并不重要，重要的则是安全状态认证。如果安全状态不符合企业策略，汇聚层EAPOU设备将从策略服务器上下载ACL，限制不安全的客户端的网络访问，并对其进行修复。

EAPOU技术的优点是它对网络接入设备要求不高，因而覆盖面较高; 而且汇聚层设备一般明显少于接入层设备，因此部署相对要容易一些。目前支持EAPOU的设备只有Cisco的路由器和3层交换机，相关配套的系列软件为NAC。