主要技术
对比
ARP 欺骗阻断
交换机端口阻断
基于 802.1X 接入认证
接入管理类型
事后接入管理
事后接入管理
事前接入管理
基本原理
1 )采用 ARP 欺骗方式对非法接入主机进行阻断,欺骗方式主要有:
Ø         欺骗网关,使得非法接入机无法同网关正常通讯;
Ø         欺骗本网段除非法接入地址之外的其他相关主机,使得这些主机无法与非法接入机进行正常通讯;
Ø         直接欺骗非法接入机,造成 IP 地址冲突。
2 )阻断的时间与欺骗包的发送持续时间有关。
 
(1) 直接定位非法接入机的上联交换机端口;
(2) 关闭该交换机端口进行阻断控制。
(1)       接入前,通过 802.1X 的客户端发送认证信息到网络设备;
(2)       网络设备将认证信息发送至认证服务器;
(3)       认证服务器将认证结果通知网络设备,认证通过则打开交换机端口;认证不通过则禁止接入或接入单独的隔离 VLAN 进行修复。
优势
跟网络设备的关联性比较小,对网络的适应性比较强。
网管人员最熟悉的典型处理方式,快速直接,对网络无副作用,实施工作量小,控制灵活。
能够在接入前进行认证,保证未经认证的都无法接入网络,安全性更高。
劣势
(1)       ARP 病毒的***模式没有区别,对网络设备的副作用比较大;
(2)       随着 ARP 防火墙的普及,阻断效果越来越差;
(3)       需要在每个广播网段放置 ARP ***代理,部署工作量大,成本比较高;
(4)       从接入到阻断有一定的延迟。
(1)       跟网络设备相关,需要网络设备主要是指交换机能够支持 SNMP 管理;
(2)       从接入到阻断有一定的延迟。
(1)    跟网络设备相关,需要网络设备主要是指交换机能够支持 SNMP 管理;
(2)    需要网路设备支持 802.1X
(3)    由于需要与认证服务器进行认证交互,可能导致认证并发数过大,认证服务器瘫痪,有造成网络瘫痪的风险;
(4)    部署工作量大,需要对每台网络设备进行配置,如果存在多种厂商的设备,会有兼容性的问题,可能需要对用户网络拓扑进行调整。