引言
网络准入这一概念是由思科发起、后续由多家厂商根据此概念,基于在NACC、802.1x、EOU、WebAuth、MAB、IAB的基础上进行自主研发的一门新兴技术。其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害,为企业建设一套网络安全体系。
借助网络准入控制,客户可以只允许合法的、值得信任的终端设备(例如PC、服务器、PDA)接入网络,而不允许其它设备接入。
简述终端认证的方式
网络准入的过程就是终端认证(也称为终端准入)过程。常见的终端认证方式有:客户端认证、WEB认证、无感准入。
名词定义:
·客户端认证:客户端将用户输入的密码(服务器密钥)作为key加密随机串发送给服务器,服务器通过本地的密钥验证随机串,实现用户权限认证。
·Web认证:用户分配一个地址,用于访问门户网站,在登陆窗口上键入用户名与密码,然后通过Radius客户端去Radius服务器认证,若认证通过,则触发客户端重新发起地址分配请求,给用户分配一个可以访问外网的地址。用户下线时通过客户端发起离线请求。
·无感认证:由系统自动收集接入终端MAC地址等设备信息,分配可用IP地址并与之绑定,通过合规策略后台审批或设定,以此实现前端接入终端无感准入。
1 三种终端认证方式的优劣对比
2 常见的四种技术认证方式
·IEEE802.1x准入控制
IEEE802.1X是IEEE(美国电气电子工程师学会)802委员会制定的LAN标准之一,是一种应用于LAN交换机和无线LAN接入点的用户认证技术。普通LAN交换机将缆线连接到端口上即可使用LAN。但支持802.1X的LAN交换机连,接缆线后不能直接使用LAN。只有在对连接的个人电脑进行认证、确认是合法用户以后才能使用LAN。通过认证与否,LAN交换机就可以通过或者屏蔽用户发送过来的信息。无线LAN接入点也基本上采用这一工作原理。
802.1x的准入控制优点是在交换机支持802.1x协议时,802.1x能够真正做到对网络边界的保护。缺点是不兼容老旧交换机,必须更换新的交换机;同时,交换机下接不启用802.1x功能的交换机时,无法对终端进行准入控制。
·DHCP准入控制
DHCP(动态主机配置协议)是局域网的网络协议。由服务器控制一段IP地址范围,客户机登录服务器时,可自动获得服务器分配的IP地址和子网掩码。
DHCP准入控制的优点是兼容老旧交换机。缺点是不如802.1x协议的控制力度强。默认情况下,DHCP作为Windows Server的一个服务组件不会被系统自动安装,需要管理员手动安装并进行必要的配置。
·网关型准入控制
网关型准入控制没有对终端接入网络进行控制,只是对终端出外网进行了控制。同时,网关型准入控制会造成出口宕掉的瓶颈效应。
·ARP型准入控制
ARP准入控制是通过ARP欺骗实现的。ARP欺骗实际上是一种变相病毒,易造成网络堵塞。安装ARP防火墙的情况下,ARP型准入控制不起作用。
网络准入方式如何选择?
1 传统网络准入方式有何不足?
当前,传统网络准入方式为常见的客户端认证或Web认证,从用户的实际使用情况来看,存在以下不足:
1、兼容:客户端认证或Web认证,需要提前解决信息系统兼容性问题,避免协同问题;
2、操作:普遍采用客户端认证,需要安装软件,为使用者增加操作步骤;
3、运维:
1)主流客户端准入控制系统部署复杂,运维成本高,用户体验差;
2)客户端认证或Web认证方式,无法实现终端可视化管理,无法照顾各类技术能力人员使用;
3)客户端认证或Web认证方式,无法预警或发现、定位发生在网络内部的安全违规行为。
2 锐捷终端无感准入方式
锐捷采用SDN技术,通过部署新一代网络控制器RG-INC(Intent Network Commander),采用开放的,业界通用的协议标准来管理和控制整张网络。新终端接入网络,由SDN自动收集接入终端MAC地址等设备信息,分配可用IP地址并与之绑定,通过合规策略,由网络管理员后台审批或设定接入策略,前端接入终端无感准入。
总结
未来,以光纤构建的全光网是各行各业基础网络建设的主要模式。在医疗行业,锐捷医疗极简以太全光网方案,为医院构建一张面向未来的“信息高速公路”,能够满足医院未来8-10年的网络需求,支撑医疗信息化深度发展。
在门诊大厅、病房、医技场景中,随着医疗便民设施的增加、物联网终端的应用普及、以及智能医疗器械的升级迭代,为保障并不断提升医疗服务连续性,锐捷医疗极简以太全光网方案为各类医疗终端或哑终端入网,提供无感准入功能,通过锐捷SDN技术,由新一代网络控制器RG-INC自动收集接入终端的硬件信息,实现终端MAC地址等信息与可用IP资源一键绑定,控制所有类型终端的安全准入。另外,锐捷新一代网络控制器RG-INC支持传统铜缆以太网络,也支持以太全光网络,还可提供IP地址可视化管理、地址冲突报警、地址池耗尽报警等多个实用功能,提升管理效率。
相关推荐:
更多技术博文
-
锐捷Wi-Fi 7高密AP RG-AP9520-RDX 携“动态波束赋形天线”正式登场!锐捷网络新一代搭载智能天线的Wi-Fi 7高密无线接入点 RG-AP9520-RDX正式上市,该产品采用三射频设计,内置Al Radio智能射频,整机8条空间流,速率高达6.453Gbps,适用于高教、政府、普教、金融、商业等普通室内场景,亦可以满足企业大开间办公区、中大型报告厅、图书馆自习室、室内场馆、室内会场等高密度无线覆盖场景。
-
#无线
-
-
还在为IT运维头疼?锐捷乐享云订阅,让IT运维更简单在数字化转型的浪潮中,IT系统的复杂性正以惊人的速度增长。大多数企业在IT运维中面临故障定位难、效率低、成本高等问题,在此背景下,锐捷网络“乐享云订阅”服务应运而生,为客户提供持续高效的IT运维管理体验,助力企业增强灵活性并加速投资回报。
-
#统一运维
-
#IT运维
-
#IT运维管理
-
-
锐捷Wi-Fi 7新一代全院零漫游解决方案创新发布,为智慧医院建设注入新动力在智慧医疗快速发展的今天,医院基础信息化网络正迎来一场革命性的转型。医疗数据流量的爆炸性增长,对网络带宽提出了前所未有的要求;智慧病房的广泛应用,设备无线化趋势明显,部署规模和终端数量急剧膨胀,运维的复杂性也随之水涨船高。此外,医院网络一方面在拥抱开放的物联网,实现智慧病房的多功能融合,同时也需坚守业务安全,满足等保标准。在这样的背景下,怎样的无线网络能支撑起智慧医疗当前与未来?
-
#医疗
-
#医院网络
-
#Wi-Fi 7
-
#无线
-
-
不可忽视的网络安全日志分析网络安全日志分析是保障数字时代信息安全的关键措施。新一代日志分析与审计系统通过全面收集、标准化处理和智能分析各类网络日志,及时发现安全威胁和异常行为,提供全局视角和深度安全洞见,确保业务的不间断安全运营。
-
#知识百科
-
#安全
-
