引言

網(wǎng)絡(luò)準入這一概念是由思科發(fā)起、后續(xù)由多家廠商根據(jù)此概念，基于在NACC、802.1x、EOU、WebAuth、MAB、IAB的基礎(chǔ)上進行自主研發(fā)的一門新興技術(shù)。其宗旨是防止病毒和蠕蟲等新興黑客技術(shù)對企業(yè)安全造成危害，為企業(yè)建設(shè)一套網(wǎng)絡(luò)安全體系。

借助網(wǎng)絡(luò)準入控制，客戶可以只允許合法的、值得信任的終端設(shè)備（例如PC、服務(wù)器、PDA）接入網(wǎng)絡(luò)，而不允許其它設(shè)備接入。

簡述終端認證的方式

網(wǎng)絡(luò)準入的過程就是終端認證（也稱為終端準入）過程。常見的終端認證方式有：客戶端認證、WEB認證、無感準入。

名詞定義：

·客戶端認證：客戶端將用戶輸入的密碼(服務(wù)器密鑰)作為key加密隨機串發(fā)送給服務(wù)器，服務(wù)器通過本地的密鑰驗證隨機串，實現(xiàn)用戶權(quán)限認證。

·Web認證：用戶分配一個地址，用于訪問門戶網(wǎng)站，在登陸窗口上鍵入用戶名與密碼，然后通過Radius客戶端去Radius服務(wù)器認證，若認證通過，則觸發(fā)客戶端重新發(fā)起地址分配請求，給用戶分配一個可以訪問外網(wǎng)的地址。用戶下線時通過客戶端發(fā)起離線請求。

·無感認證：由系統(tǒng)自動收集接入終端MAC地址等設(shè)備信息，分配可用IP地址并與之綁定，通過合規(guī)策略后臺審批或設(shè)定，以此實現(xiàn)前端接入終端無感準入。

1 三種終端認證方式的優(yōu)劣對比

2 常見的四種技術(shù)認證方式

·IEEE802.1x準入控制

IEEE802.1X是IEEE(美國電氣電子工程師學(xué)會)802委員會制定的LAN標準之一，是一種應(yīng)用于LAN交換機和無線LAN接入點的用戶認證技術(shù)。普通LAN交換機將纜線連接到端口上即可使用LAN。但支持802.1X的LAN交換機連，接纜線后不能直接使用LAN。只有在對連接的個人電腦進行認證、確認是合法用戶以后才能使用LAN。通過認證與否，LAN交換機就可以通過或者屏蔽用戶發(fā)送過來的信息。無線LAN接入點也基本上采用這一工作原理。

802.1x的準入控制優(yōu)點是在交換機支持802.1x協(xié)議時，802.1x能夠真正做到對網(wǎng)絡(luò)邊界的保護。缺點是不兼容老舊交換機，必須更換新的交換機；同時，交換機下接不啟用802.1x功能的交換機時，無法對終端進行準入控制。

·DHCP準入控制

DHCP（動態(tài)主機配置協(xié)議）是局域網(wǎng)的網(wǎng)絡(luò)協(xié)議。由服務(wù)器控制一段IP地址范圍，客戶機登錄服務(wù)器時，可自動獲得服務(wù)器分配的IP地址和子網(wǎng)掩碼。

DHCP準入控制的優(yōu)點是兼容老舊交換機。缺點是不如802.1x協(xié)議的控制力度強。默認情況下，DHCP作為Windows Server的一個服務(wù)組件不會被系統(tǒng)自動安裝，需要管理員手動安裝并進行必要的配置。

·網(wǎng)關(guān)型準入控制

網(wǎng)關(guān)型準入控制沒有對終端接入網(wǎng)絡(luò)進行控制，只是對終端出外網(wǎng)進行了控制。同時，網(wǎng)關(guān)型準入控制會造成出口宕掉的瓶頸效應(yīng)。

·ARP型準入控制

ARP準入控制是通過ARP欺騙實現(xiàn)的。ARP欺騙實際上是一種變相病毒，易造成網(wǎng)絡(luò)堵塞。安裝ARP防火墻的情況下，ARP型準入控制不起作用。

網(wǎng)絡(luò)準入方式如何選擇？

1 傳統(tǒng)網(wǎng)絡(luò)準入方式有何不足？

當前，傳統(tǒng)網(wǎng)絡(luò)準入方式為常見的客戶端認證或Web認證，從用戶的實際使用情況來看，存在以下不足：

1、兼容：客戶端認證或Web認證，需要提前解決信息系統(tǒng)兼容性問題，避免協(xié)同問題；

2、操作：普遍采用客戶端認證，需要安裝軟件，為使用者增加操作步驟；

3、運維：

1)主流客戶端準入控制系統(tǒng)部署復(fù)雜，運維成本高，用戶體驗差；

2)客戶端認證或Web認證方式，無法實現(xiàn)終端可視化管理，無法照顧各類技術(shù)能力人員使用；

3)客戶端認證或Web認證方式，無法預(yù)警或發(fā)現(xiàn)、定位發(fā)生在網(wǎng)絡(luò)內(nèi)部的安全違規(guī)行為。

2 銳捷終端無感準入方式

銳捷采用SDN技術(shù)，通過部署新一代網(wǎng)絡(luò)控制器RG-INC（Intent Network Commander），采用開放的，業(yè)界通用的協(xié)議標準來管理和控制整張網(wǎng)絡(luò)。新終端接入網(wǎng)絡(luò)，由SDN自動收集接入終端MAC地址等設(shè)備信息，分配可用IP地址并與之綁定，通過合規(guī)策略，由網(wǎng)絡(luò)管理員后臺審批或設(shè)定接入策略，前端接入終端無感準入。

總結(jié)

未來，以光纖構(gòu)建的全光網(wǎng)是各行各業(yè)基礎(chǔ)網(wǎng)絡(luò)建設(shè)的主要模式。在醫(yī)療行業(yè)，銳捷醫(yī)療極簡以太全光網(wǎng)方案，為醫(yī)院構(gòu)建一張面向未來的“信息高速公路”，能夠滿足醫(yī)院未來8-10年的網(wǎng)絡(luò)需求，支撐醫(yī)療信息化深度發(fā)展。

在門診大廳、病房、醫(yī)技場景中，隨著醫(yī)療便民設(shè)施的增加、物聯(lián)網(wǎng)終端的應(yīng)用普及、以及智能醫(yī)療器械的升級迭代，為保障并不斷提升醫(yī)療服務(wù)連續(xù)性，銳捷醫(yī)療極簡以太全光網(wǎng)方案為各類醫(yī)療終端或啞終端入網(wǎng)，提供無感準入功能，通過銳捷SDN技術(shù)，由新一代網(wǎng)絡(luò)控制器RG-INC自動收集接入終端的硬件信息，實現(xiàn)終端MAC地址等信息與可用IP資源一鍵綁定，控制所有類型終端的安全準入。另外，銳捷新一代網(wǎng)絡(luò)控制器RG-INC支持傳統(tǒng)銅纜以太網(wǎng)絡(luò)，也支持以太全光網(wǎng)絡(luò)，還可提供IP地址可視化管理、地址沖突報警、地址池耗盡報警等多個實用功能，提升管理效率。

相關(guān)推薦：

從實戰(zhàn)淺析運營商云資源池網(wǎng)絡(luò)—技術(shù)的抉擇

IT小張：害，就想要個運維賊簡單的光網(wǎng)絡(luò)

IT小張：帶寬受限才是真“要命”，連光也搞不定？

IT小張：后悔！原來在光網(wǎng)絡(luò)上線啞終端這么簡單！

比A4紙還小三分之一， 這臺全光網(wǎng)專屬交換機怎么安裝都可以！

SDN為何一直熱度不減？一文解析SDN的前世今生