终端准入安全之五种准入规则简介

先上对比图

DHCP准入控制

终端连接到网络时，DHCP服务器给终端分配一个临时的IP和路由，使得终端只能访问有限的资源，终端通过安全检查之后，重新获取一个IP，此时可以正常访问网络，DHCP类型不是真正意义上的准入控制，Microsoft的NAP最初采用此解决方案，NAP后来又支持802.1x, IPsec等。

DHCP的准入控制的优点是兼容老旧交换机。缺点是不如802.1x协议的控制力度强。

网关型准入控制

网关型准入控制不是严格意义上的准入控制。在接入终端和网络资源(如：服务器/互联网出口)之间，设置一个网关，终端只有通过网关的验证和检查后，才能访问网关后面的资源;实际上网关准入控制只是防火墙功能的一个扩展，可以认为是网络准入控制中的一种特殊形式，绝大多少传统的防火墙厂商都提供该类解决方案。

网关型准入控制没有对终端接入网络进行控制，而只是对终端出外网进行了控制。同时，网关型准入控制会造成出口宕掉的瓶颈效应。

ARP型准入控制

通过ARP干扰实现准入控制，制造IP地址冲突，技术实现简单;利用了ARP协议本身的一些缺陷，终端可以通过自行设置本机的路由、ARP映射等绕开ARP准入控制;无需调整网络结构，需要在每个网段设置ARP干扰器;过多的ARP广播包会给网络带来诸多性能、故障问题，国内部分小厂商支持，适合小型网络。

ARP准入控制是通过ARP欺骗实现的。ARP欺骗实际上是一种变相病毒。容易造成网络堵塞。由于越来越多的终端安装的ARP防火墙，ARP准入控制在遇到这种情况下，则不能起作用。

portal型准入（基于终端的准入认证）

portal型准入控制是兼容性相对比较好的一种控制手段，最利用交换机端口重定向（既：http重定向）的手段进行身份认证。这种方式不需要考虑客户网络的情况进行部署的，只要下面的终端能与设备进行通讯就没有问题。

802.1x准入控制

802.1X协议是一种基于端口的网络接入控制协议。基于端口的网络接入控制，是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源;如果不能通过认证，则无法访问局域网中的资源，支持多网络厂商，可在网络交换机和无线AP上实现。

802.1X认证系统使用EAP来实现客户端、设备端和认证服务器之间认证信息的交换。在客户端与设备端之间，EAP协议报文使用EAPOL封装格式，直接承载于LAN环境中;在设备端与RADIUS服务器之间，可以使用两种方式来交换信息：一种是EAP协议报文由设备端进行中继，使用EAPOR封装格式承载于RADIUS协议中;另一种是EAP协议报文由设备端进行终结，采用包含PAP或CHAP属性的报文与RADIUS服务器进行认证交互。 802.1x的准入控制的优点是在交换机支持802.1x协议的时候，802.1x能够真正做到了对网络边界的保护。缺点是不兼容老旧交换机，必须重新更换新的交换机；同时，交换机下接不启用802.1x功能的交换机时，无法对终端进行准入控制。

802.1x准入控制详细介绍

认证结构

Suppliant System客户端(PC /网络设备) :
客户端是一个需要接入LAN,及享受Switch提供服务的设备,客户端需要支持EAPOL协议,客户端必须运行802.1x客户端软件。
Authentiactor System认证系统:
switch (边缘交换机或无线接入设备)是根据客户的认证状态控制物理接入的设备，switch在客户和认证服务器之间充当代理角色(proxy) 。switch 与client间通过EAPOL协议进行通讯，swith与认证服务器间通过EAPOR (EAP over Radius)
Authentiaction Server System认证服务器:
认证服务器对客户进行实际认证，认证服务器核实客户的身份,通知switch是否允许客户端访问LAN和交换机提供的服务。

认证端口

非受控端口： 可以看成EAP端口， 不进行认证控制 ，始终处于双向连接状态，主要用于传递在通过认证前必须的EAPOL协议帧，保证客户端始终能够发出或者接收认证报文。
受控端口： 在通过 认证之前，只 允许认证报文EAPOL报文和广播报文(DHCP、ARP) 通过 端口，不允许任何其他业务数据流通过。认证通过后处于双向连通状态，可进行正常的业务报文传递。
逻辑受控端口： 多个客户端公用一个物理端口，当某个客户端没有通过认证之前，只允许认证报文通过该物理端口，不允许业务数据，但其他已通过认证的客户端业务不受影响。

触发机制

DHCP报文触发： 设备在收到用户的DHCP请求报文后主动触发对用户的802.1x认证，仅适用于客户端采用DHCP方式自动分配IP的情形。
源MAC未知报文触发： 当设备收到源MAC地址未知的报文时主动触发对用户的802.1x认证。若设备在设置好的时长内没有收到客户端的响应，则重新发该报文。

认证过程–直接上图