发布时间:2013-11-16
点击量:2830
应用场景:
此方案适用于用户使用DHCP动态获取IP地址,使用锐捷客户端SU或SA进行802.1X认证的场景。且用户需要是认证前获取IP。
优点:配置维护都比较简单, 无需收集网络中所有用户的IP,MAC去做交换机的绑定配置,用ARP-check硬件校验方式安全可靠。
缺点:必须采用我司的认证软件SU/SA+SAM组网,每个认证成功用户通常需要多消耗交换机的一个安全表项,对交换机的硬件资源数量要求比较
高。由于用户是认证前获取地址,所以需要使用安全通道提前放通用户的DHCP报文,需要交换机支持安全通道功能。如果SU使用认证后获取地址的
还是推荐使用IP Source Guard方案。
功能原理:
1X授权绑定+ARP-check:用户使用我司SU或SA软件认证,通过SAM认证后,交换机开启1X授权模式,会将SU携带的用户的IP信息和MAC信息提取出来写入交换机硬件安全表项,然后使用ARP-check功能校验ARP报文的正确性。如果合法用户认证成功后试图进行ARP欺骗,或者是非法用户802.1x认证失败,他们的ARP校验都将失败,这样的用户将无法使用网络。
文档评价
_b519551283d64dc48691c275c7325211.webp "RG-AM5552-SF(V2)全光智分+主机")
_6e8c38b04c704f679e07b61f63953282.webp "RG-AM5528(ES)智分+主机")
