产品
产品中心
< 返回主菜单
产品

交换机

交换机所有产品
< 返回产品
交换机
查看交换机首页 >

无线

无线所有产品
< 返回产品
无线
查看无线首页 >

云桌面

云桌面所有产品
< 返回产品
云桌面
查看云桌面首页 >

安全

安全所有产品
< 返回产品
安全
查看安全首页 >
产品中心首页 >
行业
行业中心
< 返回主菜单
行业
行业中心首页 >

园区网中如何管控终端的接入?

终端设备作为园区网络的“神经末梢”,帮助使用者进入数字世界。但终端设备形态、使用方式、部署方式各有不同,比如部署在室内或室外,固定或移动式使用,需要根据应用场景需要选择合适的网络联接方式。此时,作为网络建设与管理人员,就需要建立终端接入机制,做好终端接入管控。

  • 发布时间:2022-08-31

  • 点击量:

  • 点赞:

分享至

我想评论

引言

网络准入这一概念是由思科发起、后续由多家厂商根据此概念,基于在NACC、802.1x、EOU、WebAuth、MAB、IAB的基础上进行自主研发的一门新兴技术。其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害,为企业建设一套网络安全体系。

借助网络准入控制,客户可以只允许合法的、值得信任的终端设备(例如PC、服务器、PDA)接入网络,而不允许其它设备接入。

简述终端认证的方式

网络准入的过程就是终端认证(也称为终端准入)过程。常见的终端认证方式有:客户端认证、WEB认证、无感准入。

名词定义:

·客户端认证:客户端将用户输入的密码(服务器密钥)作为key加密随机串发送给服务器,服务器通过本地的密钥验证随机串,实现用户权限认证。

·Web认证:用户分配一个地址,用于访问门户网站,在登陆窗口上键入用户名与密码,然后通过Radius客户端去Radius服务器认证,若认证通过,则触发客户端重新发起地址分配请求,给用户分配一个可以访问外网的地址。用户下线时通过客户端发起离线请求。

·无感认证:由系统自动收集接入终端MAC地址等设备信息,分配可用IP地址并与之绑定,通过合规策略后台审批或设定,以此实现前端接入终端无感准入。

1 三种终端认证方式的优劣对比

2 常见的四种技术认证方式

·IEEE802.1x准入控制

IEEE802.1X是IEEE(美国电气电子工程师学会)802委员会制定的LAN标准之一,是一种应用于LAN交换机和无线LAN接入点的用户认证技术。普通LAN交换机将缆线连接到端口上即可使用LAN。但支持802.1X的LAN交换机连,接缆线后不能直接使用LAN。只有在对连接的个人电脑进行认证、确认是合法用户以后才能使用LAN。通过认证与否,LAN交换机就可以通过或者屏蔽用户发送过来的信息。无线LAN接入点也基本上采用这一工作原理。

802.1x的准入控制优点是在交换机支持802.1x协议时,802.1x能够真正做到对网络边界的保护。缺点是不兼容老旧交换机,必须更换新的交换机;同时,交换机下接不启用802.1x功能的交换机时,无法对终端进行准入控制。

·DHCP准入控制

DHCP(动态主机配置协议)是局域网的网络协议。由服务器控制一段IP地址范围,客户机登录服务器时,可自动获得服务器分配的IP地址和子网掩码。

DHCP准入控制的优点是兼容老旧交换机。缺点是不如802.1x协议的控制力度强。默认情况下,DHCP作为Windows Server的一个服务组件不会被系统自动安装,需要管理员手动安装并进行必要的配置。

·网关型准入控制

网关型准入控制没有对终端接入网络进行控制,只是对终端出外网进行了控制。同时,网关型准入控制会造成出口宕掉的瓶颈效应。

·ARP型准入控制

ARP准入控制是通过ARP欺骗实现的。ARP欺骗实际上是一种变相病毒,易造成网络堵塞。安装ARP防火墙的情况下,ARP型准入控制不起作用。

网络准入方式如何选择?

1 传统网络准入方式有何不足?

当前,传统网络准入方式为常见的客户端认证或Web认证,从用户的实际使用情况来看,存在以下不足:

1、兼容:客户端认证或Web认证,需要提前解决信息系统兼容性问题,避免协同问题;

2、操作:普遍采用客户端认证,需要安装软件,为使用者增加操作步骤;

3、运维:

1)主流客户端准入控制系统部署复杂,运维成本高,用户体验差;

2)客户端认证或Web认证方式,无法实现终端可视化管理,无法照顾各类技术能力人员使用;

3)客户端认证或Web认证方式,无法预警或发现、定位发生在网络内部的安全违规行为。

2 锐捷终端无感准入方式

锐捷采用SDN技术,通过部署新一代网络控制器RG-INC(Intent Network Commander),采用开放的,业界通用的协议标准来管理和控制整张网络。新终端接入网络,由SDN自动收集接入终端MAC地址等设备信息,分配可用IP地址并与之绑定,通过合规策略,由网络管理员后台审批或设定接入策略,前端接入终端无感准入。

总结

未来,以光纤构建的全光网是各行各业基础网络建设的主要模式。在医疗行业,锐捷医疗极简以太全光网方案,为医院构建一张面向未来的“信息高速公路”,能够满足医院未来8-10年的网络需求,支撑医疗信息化深度发展。

在门诊大厅、病房、医技场景中,随着医疗便民设施的增加、物联网终端的应用普及、以及智能医疗器械的升级迭代,为保障并不断提升医疗服务连续性,锐捷医疗极简以太全光网方案为各类医疗终端或哑终端入网,提供无感准入功能,通过锐捷SDN技术,由新一代网络控制器RG-INC自动收集接入终端的硬件信息,实现终端MAC地址等信息与可用IP资源一键绑定,控制所有类型终端的安全准入。另外,锐捷新一代网络控制器RG-INC支持传统铜缆以太网络,也支持以太全光网络,还可提供IP地址可视化管理、地址冲突报警、地址池耗尽报警等多个实用功能,提升管理效率。

相关推荐:

从实战浅析运营商云资源池网络—技术的抉择

IT小张:害,就想要个运维贼简单的光网络

IT小张:带宽受限才是真“要命”,连光也搞不定?

IT小张:后悔!原来在光网络上线哑终端这么简单!

比A4纸还小三分之一, 这台全光网专属交换机怎么安装都可以!

SDN为何一直热度不减?一文解析SDN的前世今生

更多技术博文

任何需要,请联系我们

返回顶部

请选择服务项目
关闭咨询页
售前咨询 售前咨询
售前咨询
售后服务 售后服务
售后服务
意见反馈 意见反馈
意见反馈
更多联系方式