準入控制

準入控制是實名制ID網路準入控制(NAC)的簡稱。準入控制是手機在向無線接入網路請求建立無線鏈路的時候,無線接入網路根據網路目前的負荷水平對是否允許其接入網路進行的判斷和控制,對網路的邊界進行保護,對接入網路的終端和終端的使用人進行合規性檢查。

基本介紹

  • 中文名:準入控制
  • 外文名:Admission Control
  • 簡介:實名制ID網路準入控制的簡稱
  • 目的與意義:不安裝客戶端
  • 技術介紹:802.1x準入控制
簡介,目的與意義,技術介紹,802.1x準入控制,DHCP準入控制,網關型準入控制,ARP型準入控制,portal型準入,

簡介

類比:孩子從國小升國中的時候,家長都希望孩子能進入附近聲譽比較好的學校。這些學校的招生名額有限(容量受限),實行了嚴格的準入制度。不但要求學生國小畢業考試成績優秀,而且要求在各種市級競賽中取得過名次,最重要的是孩子的家長層次要高,能夠掏得起贊助費。
準入控制是手機在向無線接入網路請求建立無線鏈路的時候,無線接入網路根據網路目前的負荷水平對是否允許其接入網路進行的判斷和控制,就像重點中學根據已經招生的情況對要轉入的國小畢業生的資格進行審核一樣。
在網路空閒的時候,接入新的用戶是沒有問題的;但是當網路越來越擁擠,空中接口負荷不斷增長,網路干擾水平不斷上升,已經建立無線鏈路的用戶通信質量就得不到保證了。這個時候,RNC就獲取它屬下各個小區上下行鏈路兩個方向的負荷信息,對其進行評估判斷。當上下行鏈路均可接受新鏈路時,新鏈路才被接納;否則為了防患於未然,直接拒絕。

目的與意義

1.不安裝客戶端、不改變網路結構就對接入網路邊界的人進行認證和授權。
2.旁路接入,兼容各品牌交換機,支持HUB、傻瓜交換機,防止私接路由器、防止非法外聯。
3.劃分安全域、防止私改IP、根除ARP、非法IP/MAC監測並阻斷,對接入網路的終端進行策略性檢查。
4.支持DHCP準入控制、網路邊界維護,全網可視可控,符合等保要求。

技術介紹

網路準入控制技術通常包括:802.1x準入控制、DHCP準入控制、網關型準入控制、ARP型準入控制、portal型準入。

802.1x準入控制

802.1x準入控制的設計強調對交換機連線埠的控制。但與網路兼容性較差。在用戶使用終端接入前,會將終端隔離在隔離VLAN中。只有在進行完身份認證後,才將終端改放在應屬的VLAN中。當802.1x準入技術要求交換機必須支持802.1x。當連線埠下掛Hub或普通交換機的情況下,則無法實現對非法人和終端的VLAN隔離。

DHCP準入控制

DHCP準入控制與現有網路兼容性較好。但一般廠家的DHCP準入控制採用DHCP伺服器與DHCP準入控制裝置分離的控制方法,實施較難。一些廠家採用一體化DHCP準入控制,如Leagsoft,能夠很好地解決802.1x和普通DHCP準入控制的問題。

網關型準入控制

網關型準入控制實際上不是一種真正意義上的準入控制。因為網關型準入控制只控制了網路的出口,沒有控制區域網路的邊界接入。

ARP型準入控制

ARP型準入控制是用ARP欺騙和ARP攻擊對不合規的終端進行攻擊,達到對網路邊界進行保護的目的。但ARP的欺騙和攻擊對裝有ARP防火牆的終端沒有作用。另外,ARP的攻擊會造成網路堵塞,不利於大型網路。

portal型準入

portal型準入控制是兼容性相對比較好的一種控制手段,最利用交換機連線埠重定向(既:http重定向)的手段進行身份認證。這種方式不需要考慮客戶網路的情況進行部署的,只要下面的終端能與設備進行通訊就沒有問題。

熱門詞條

聯絡我們