【极简网络】SDN技术-轻量级准入：让终端接入更自由

随着企业信息化水平的提高，为了更好的服务于用户，企业会引入各种类型终端接入网络，以提升员工的工作效率。同时，企业会尽可能把网络铺设到办公区的每个角落，满足用户随时随地的移动办公需求。但是大量的终端接入网络，给企业带来了很大的信息安全隐患。如何确保终端随时随地安全接入网络成为关键。

传统网络接入准入控制现状:

IP地址分配方式:分为静态IP和动态IP两种方式。

基于安全考虑，通常会进行终端的准入控制，合法的终端才允许接入网络。而通常的准入控制方案一般使用准入认证(802.1X/WEB等)，但准入认证会带来网络稳定性差及维护麻烦等问题 (认证服务器故障可能导致终端无法入网从而导致业务中断)，因此部分客户会在接入设备上进行IP+MAC绑定替代准入认证，对于要求高的场景，或者涉密终端，得再加上PORT绑定。 

对于IP地址静态分配的场景下，IP+MAC绑定作为准入控制方案，存在的问题: 

效率低，易出错：IP规划完毕以后，需逐台在接入交换机进行手工IP+MAC+PORT绑定，执行过程繁琐且易出错，维护困难。 

灵活性差：因为部门调整、办公区装修、移动办公等需求，用户的终端位置会发生变化。此时，不仅终端的IP地址需要重新分配，还需要在新位置所属的交换机上重新进行IP+MAC+PORT绑定。如果迁移用户数非常多的话，网络信息部门可就非常尴尬了，加班不说，可能还会有一些莫名的投诉（你懂的！）。

管理维护难：IP地址池内，有多少已经被使用？有多少是空闲的？有多少IP该被释放了？没有好的工具辅助，领导一问，不知道，这不是打脸吗！

对于IP地址动态分配的场景下，IP+MAC绑定作为准入控制方案，存在的问题:  

灵活性差：DHCP无法基于合法用户进行IP地址分配(对应的MAC固定分配相应的IP地址，实现类似静态IP的效果)。

可靠性地：一旦DHCP Servicer出现问题，则全网受影响；

配置繁琐：地址分配完成后如果要进行IP+MAC绑定则需要在接入交换机上配置DHCP Snooping + IP Source Guard。 

其实，用户想要的效果很简单：那就是合法的用户，拿着安全的终端，正确接入网络，访问争取的资源。

【极简网络】SDN技术-轻量级准入方案

让SDN控制器替代手工操作，通过SDN控制器和接入交换机设备的联动，有效提升工作效率的同时，确保终端入网的安全性和及时性。 

方案的主要功能

SDN控制器通过0penflow下发ARP代答指令给接入交换机，同步收集整网接入终端的网络信息，如IP、MAC、 VLAN、PORT等。同时，网络信息以及资产管理等台账信息也可以按照模板进行批量导入导出操作，方便管理员集中管理。

新终端接入网络时，SDN控制器会把新用户的信息和控制器维护的用户信息库进行自动匹配，通过管理员提前设置的模板和阀值，来判断终端的合法性，并执行放行、隔离、待审批等动作。 在判断终端合法的同时，进而判断终端的位置变化信息，确保策略跟随用户移动。

同时，可以将同一个业务部门，或者相同业务类型的终端拖进同一个策略组中，实现统一管理，减少管理员重复工作的效率浪费。

对于网络中打印机、IP电话等哑终端，可以通过MAC地址限位的方式，阻止非法用户通过模拟哑终端的地址发起的攻击行为。

对用户的价值

易运维：

• IP使用情况一目了然，多种呈现方式，方便管理员对IP资源 及时回收、统一管理；
• 不改变用户使用习惯，还是按照已有的地址规划方式；

安全性高：

• 可以基于端口进行绑定；
• 终端位置改变，需要管理员审批，有效防止MAC欺骗；
• 稳定性高：
• 控制器故障，不影响网络正常转发。