园区网中如何管控终端的接入？

终端设备作为园区网络的“神经末梢”，帮助使用者进入数字世界。但终端设备形态、使用方式、部署方式各有不同，比如部署在室内或室外，固定或移动式使用，需要根据应用场景需要选择合适的网络联接方式。此时，作为网络建设与管理人员，就需要建立终端接入机制，做好终端接入管控。

发布时间：2022-08-31
点击量：
点赞：

分享至

我想评论

引言

网络准入这一概念是由思科发起、后续由多家厂商根据此概念，基于在NACC、802.1x、EOU、WebAuth、MAB、IAB的基础上进行自主研发的一门新兴技术。其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害，为企业建设一套网络安全体系。

借助网络准入控制，客户可以只允许合法的、值得信任的终端设备（例如PC、服务器、PDA）接入网络，而不允许其它设备接入。

简述终端认证的方式

网络准入的过程就是终端认证（也称为终端准入）过程。常见的终端认证方式有：客户端认证、WEB认证、无感准入。

名词定义：

·客户端认证：客户端将用户输入的密码(服务器密钥)作为key加密随机串发送给服务器，服务器通过本地的密钥验证随机串，实现用户权限认证。

·Web认证：用户分配一个地址，用于访问门户网站，在登陆窗口上键入用户名与密码，然后通过Radius客户端去Radius服务器认证，若认证通过，则触发客户端重新发起地址分配请求，给用户分配一个可以访问外网的地址。用户下线时通过客户端发起离线请求。

·无感认证：由系统自动收集接入终端MAC地址等设备信息，分配可用IP地址并与之绑定，通过合规策略后台审批或设定，以此实现前端接入终端无感准入。

1 三种终端认证方式的优劣对比

2 常见的四种技术认证方式

·IEEE802.1x准入控制

IEEE802.1X是IEEE(美国电气电子工程师学会)802委员会制定的LAN标准之一，是一种应用于LAN交换机和无线LAN接入点的用户认证技术。普通LAN交换机将缆线连接到端口上即可使用LAN。但支持802.1X的LAN交换机连，接缆线后不能直接使用LAN。只有在对连接的个人电脑进行认证、确认是合法用户以后才能使用LAN。通过认证与否，LAN交换机就可以通过或者屏蔽用户发送过来的信息。无线LAN接入点也基本上采用这一工作原理。

802.1x的准入控制优点是在交换机支持802.1x协议时，802.1x能够真正做到对网络边界的保护。缺点是不兼容老旧交换机，必须更换新的交换机；同时，交换机下接不启用802.1x功能的交换机时，无法对终端进行准入控制。

·DHCP准入控制

DHCP（动态主机配置协议）是局域网的网络协议。由服务器控制一段IP地址范围，客户机登录服务器时，可自动获得服务器分配的IP地址和子网掩码。

DHCP准入控制的优点是兼容老旧交换机。缺点是不如802.1x协议的控制力度强。默认情况下，DHCP作为Windows Server的一个服务组件不会被系统自动安装，需要管理员手动安装并进行必要的配置。

·网关型准入控制

网关型准入控制没有对终端接入网络进行控制，只是对终端出外网进行了控制。同时，网关型准入控制会造成出口宕掉的瓶颈效应。

·ARP型准入控制

ARP准入控制是通过ARP欺骗实现的。ARP欺骗实际上是一种变相病毒，易造成网络堵塞。安装ARP防火墙的情况下，ARP型准入控制不起作用。

网络准入方式如何选择？

1 传统网络准入方式有何不足？

当前，传统网络准入方式为常见的客户端认证或Web认证，从用户的实际使用情况来看，存在以下不足：

1、兼容：客户端认证或Web认证，需要提前解决信息系统兼容性问题，避免协同问题；

2、操作：普遍采用客户端认证，需要安装软件，为使用者增加操作步骤；

3、运维：

1)主流客户端准入控制系统部署复杂，运维成本高，用户体验差；

2)客户端认证或Web认证方式，无法实现终端可视化管理，无法照顾各类技术能力人员使用；

3)客户端认证或Web认证方式，无法预警或发现、定位发生在网络内部的安全违规行为。

2 锐捷终端无感准入方式

锐捷采用SDN技术，通过部署新一代网络控制器RG-INC（Intent Network Commander），采用开放的，业界通用的协议标准来管理和控制整张网络。新终端接入网络，由SDN自动收集接入终端MAC地址等设备信息，分配可用IP地址并与之绑定，通过合规策略，由网络管理员后台审批或设定接入策略，前端接入终端无感准入。

总结

未来，以光纤构建的全光网是各行各业基础网络建设的主要模式。在医疗行业，锐捷医疗极简以太全光网方案，为医院构建一张面向未来的“信息高速公路”，能够满足医院未来8-10年的网络需求，支撑医疗信息化深度发展。

在门诊大厅、病房、医技场景中，随着医疗便民设施的增加、物联网终端的应用普及、以及智能医疗器械的升级迭代，为保障并不断提升医疗服务连续性，锐捷医疗极简以太全光网方案为各类医疗终端或哑终端入网，提供无感准入功能，通过锐捷SDN技术，由新一代网络控制器RG-INC自动收集接入终端的硬件信息，实现终端MAC地址等信息与可用IP资源一键绑定，控制所有类型终端的安全准入。另外，锐捷新一代网络控制器RG-INC支持传统铜缆以太网络，也支持以太全光网络，还可提供IP地址可视化管理、地址冲突报警、地址池耗尽报警等多个实用功能，提升管理效率。