融匯畫方網(wǎng)絡(luò)準(zhǔn)入設(shè)備技術(shù)白皮書

畫方科技網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)技術(shù)白皮書

目錄1 了解北京融匯畫方科技有限公司 北京融匯畫方科技有限公司本白皮書中的內(nèi)容是畫方科技網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)技術(shù)說(shuō)明書。本材料的相關(guān)權(quán)力歸北京融匯畫方科技有限公司所有。白皮書中的任何部分未經(jīng)本公司許可，不得轉(zhuǎn)印、影印或復(fù)印。?2012 Allrightsreserved.畫方科技網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)技術(shù)白皮書本資料將定期更新，如欲獲取最新相關(guān)信息，請(qǐng)?jiān)L問(wèn)北京融匯畫方科技有限公司網(wǎng)站：您的意見(jiàn)和建議請(qǐng)發(fā)送至：北京融匯畫方科技有限公司電子信箱：info@了解北京融匯畫方科技有限公司公司背景北京融匯畫方科技有限公司成立于2007年，是專注于信息安全和網(wǎng)絡(luò)管理解決方案的研發(fā)、生產(chǎn)、銷售、服務(wù)和咨詢的專業(yè)廠商。北京融匯畫方科技有限公司（以下簡(jiǎn)稱畫方科技）總部位于北京，擁有專業(yè)研發(fā)機(jī)構(gòu)：信息安全研發(fā)中心。其產(chǎn)品覆蓋了防火墻、防病毒、內(nèi)網(wǎng)安全、入侵檢測(cè)、網(wǎng)絡(luò)管理等多款產(chǎn)品。從2007年至今，已經(jīng)為國(guó)內(nèi)金融保險(xiǎn)、制造、交通、通信等行業(yè)以及眾多的跨國(guó)公司和政府單位成功的實(shí)施安全解決方案。畫方科技將秉承“一起進(jìn)取，一起成長(zhǎng)，一起分享”的發(fā)展理念，充分運(yùn)用畫方科技的技術(shù)優(yōu)勢(shì)，整合國(guó)內(nèi)外資源，不斷為用戶提供最優(yōu)秀的信息安全和網(wǎng)絡(luò)管理的解決方案與應(yīng)用服務(wù)。行業(yè)背景隨著信息化技術(shù)的深入和互聯(lián)網(wǎng)的迅速發(fā)展，整個(gè)世界正在迅速地融為一體，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為國(guó)家的經(jīng)濟(jì)基礎(chǔ)和命脈。眾多的企業(yè)、組織與政府部門都在組建和發(fā)展自己的網(wǎng)絡(luò)，并連接到Internet上，以充分共享、利用網(wǎng)絡(luò)的信息和資源。計(jì)算機(jī)網(wǎng)絡(luò)在經(jīng)濟(jì)和生活的各個(gè)領(lǐng)域正在迅速普及，其地位越來(lái)越重要，整個(gè)社會(huì)對(duì)網(wǎng)絡(luò)的依賴程度越來(lái)越大。伴隨著網(wǎng)絡(luò)的發(fā)展，也產(chǎn)生了各種各樣的問(wèn)題，其中安全問(wèn)題尤為突出?，F(xiàn)在，網(wǎng)絡(luò)中蠕蟲、病毒及垃圾郵件肆意泛濫，木馬無(wú)孔不入，DDOS攻擊越來(lái)越常見(jiàn)，網(wǎng)絡(luò)資源濫用（包括P2P下載、IM即時(shí)通訊、網(wǎng)絡(luò)游戲、在線視頻等行為），黑客攻擊行為幾乎每時(shí)每刻都在發(fā)生，內(nèi)網(wǎng)非法接入，非法掃描事件時(shí)有發(fā)生。所有這些極大的困擾著包括企業(yè)、組織、政府部門與機(jī)構(gòu)等在內(nèi)的各種網(wǎng)絡(luò)用戶。能否有效的管理內(nèi)網(wǎng)接入、有效的監(jiān)控內(nèi)網(wǎng)終端狀態(tài)，有效的管理內(nèi)網(wǎng)資源的權(quán)限，成為所有網(wǎng)絡(luò)用戶面臨的一個(gè)重要的問(wèn)題。為什么需要網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)南方某省電信為適應(yīng)發(fā)展，不斷與外單位合作開發(fā)項(xiàng)目。但是，外協(xié)單位的合作人員在為電信帶來(lái)了所需的服務(wù)的同時(shí)，還帶來(lái)了病毒或者蠕蟲！網(wǎng)絡(luò)管理人員分析后發(fā)現(xiàn)，合作人員電腦帶有病毒或者蠕蟲，由于沒(méi)有進(jìn)行網(wǎng)絡(luò)準(zhǔn)入控制和網(wǎng)絡(luò)隔離，合作人員的電腦接入了電信的辦公內(nèi)網(wǎng)。帶有病毒或者蠕蟲的終端，使得電信辦公網(wǎng)絡(luò)上的部分設(shè)備感染了病毒或者蠕蟲。我國(guó)某大集團(tuán)公司，在全國(guó)范圍內(nèi)建立了集團(tuán)、省、地、縣為一體的四級(jí)支撐網(wǎng)絡(luò)，全面實(shí)施了集團(tuán)的信息化，大幅提高了集團(tuán)的管理效率。由于集團(tuán)的業(yè)務(wù)關(guān)系到我們國(guó)家的國(guó)計(jì)民生，為加強(qiáng)信息安全，集團(tuán)進(jìn)行了大規(guī)模的投入，實(shí)現(xiàn)了辦公內(nèi)網(wǎng)和外網(wǎng)的物理隔離。但實(shí)現(xiàn)物理隔離后，陸續(xù)發(fā)生有員工將辦公電腦通過(guò)ADSL或者通過(guò)Hub、路由器能進(jìn)行聯(lián)通，或?qū)€(gè)人筆記本帶入內(nèi)網(wǎng)，造成非法外聯(lián)，破壞了辦公內(nèi)網(wǎng)和外網(wǎng)的物理隔離，造成信息外泄。中央某部委機(jī)構(gòu)，為保證內(nèi)部信息系統(tǒng)安全，建立其了一套證書CA系統(tǒng)。但卻發(fā)現(xiàn)許多人員不使用證書也能進(jìn)入網(wǎng)絡(luò)。在網(wǎng)絡(luò)層對(duì)內(nèi)部信息系統(tǒng)構(gòu)成了威脅。同時(shí)，由于內(nèi)網(wǎng)縱向貫通，也無(wú)法有效地分清下屬單位進(jìn)入中央部委的人員身份。很難做到內(nèi)部審計(jì)。我國(guó)某保密單位，為了保證單位網(wǎng)絡(luò)的安全，對(duì)網(wǎng)絡(luò)地址進(jìn)行了規(guī)劃，同時(shí)對(duì)網(wǎng)絡(luò)的IP地址和交換機(jī)端口進(jìn)行了綁定。但當(dāng)單位進(jìn)行部門調(diào)整后，網(wǎng)絡(luò)管理人員又需花費(fèi)了大量精力對(duì)員工網(wǎng)絡(luò)地址和訪問(wèn)控制策略進(jìn)行了調(diào)整。經(jīng)常發(fā)生設(shè)置錯(cuò)誤。在進(jìn)行了幾次調(diào)整后，訪問(wèn)策略和綁定的錯(cuò)誤越來(lái)越多。同時(shí)，由于常有幾個(gè)人員共有同一個(gè)終端的情況，IP地址的綁定無(wú)法定位到人，對(duì)訪問(wèn)控制策略的設(shè)置和今后的審計(jì)都造成了很大的難度。北方某移動(dòng)，雖然采購(gòu)了大量的網(wǎng)絡(luò)審計(jì)和控制設(shè)備，放在網(wǎng)絡(luò)的出口處，但卻發(fā)生有員工利用3G網(wǎng)卡，繞過(guò)公司內(nèi)網(wǎng)，聯(lián)到外網(wǎng)，將用戶信息傳出移動(dòng)。隨著我國(guó)信息系統(tǒng)建設(shè)的普及和成熟，企業(yè)的信息系統(tǒng)和網(wǎng)絡(luò)變得越來(lái)越復(fù)雜。企業(yè)間的合作也變得非常普遍。這就要求各個(gè)企業(yè)必須對(duì)網(wǎng)絡(luò)接入進(jìn)行管理。同時(shí)，由于企業(yè)合作增多、移動(dòng)辦公的要求、人員流動(dòng)的加快，對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的邊界保護(hù)就變得非常重要。美國(guó)著名調(diào)研機(jī)構(gòu)Gartner研究表明，鑒于終端的非法使用和病毒泛濫，美國(guó)80%的受訪企業(yè)想要采用網(wǎng)絡(luò)準(zhǔn)入控制（NAC）。你想有效的處理公司有網(wǎng)絡(luò)需求上的來(lái)訪者嗎？你的網(wǎng)絡(luò)可能有潛在的計(jì)算機(jī)病毒嗎？在你不知情的情況下，任何人都可以連接到你的網(wǎng)絡(luò)上嗎？如果存在以上問(wèn)題，那么你的網(wǎng)絡(luò)將需要網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)設(shè)備來(lái)解決。畫方科技網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)針對(duì)目前內(nèi)網(wǎng)管理所存在的問(wèn)題，來(lái)訪者網(wǎng)絡(luò)接入管理，員工BYOD，網(wǎng)絡(luò)非法掃描，網(wǎng)絡(luò)資源濫用，畫方科技提供了完善的解決方案。畫方科技網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)（以下簡(jiǎn)稱“NAM”）是畫方科技擁有完全自主知識(shí)產(chǎn)權(quán)的安全產(chǎn)品，它是對(duì)防火墻的有效補(bǔ)充，實(shí)時(shí)管理內(nèi)網(wǎng)終端接入狀態(tài)，檢測(cè)網(wǎng)絡(luò)流量，監(jiān)控各種網(wǎng)絡(luò)行為，對(duì)違反安全策略的網(wǎng)絡(luò)行為給予及時(shí)報(bào)警和阻斷，實(shí)現(xiàn)從事前警告、事中防護(hù)到事后取證的一體化解決方案。NAM系統(tǒng)的功能和用處：更安全的檢測(cè)BYOD（BringYourOwnDevice）設(shè)備。提供來(lái)訪者網(wǎng)絡(luò)接入管理。根據(jù)不同的角色設(shè)置訪問(wèn)控制權(quán)限。執(zhí)行一致性檢查。消除惡意軟件。簡(jiǎn)化網(wǎng)絡(luò)管理。NAM系統(tǒng)可有效保護(hù)從小型到大型的網(wǎng)絡(luò)。其中可應(yīng)用環(huán)境：銀行大學(xué)、中小學(xué)工程公司會(huì)展中心醫(yī)院和醫(yī)療中心酒店制造企業(yè)……系統(tǒng)架構(gòu)圖網(wǎng)絡(luò)拓?fù)鋱D產(chǎn)品特點(diǎn)無(wú)需安裝客戶端或ActiveX控件傳統(tǒng)網(wǎng)絡(luò)準(zhǔn)入技術(shù)需要安裝客戶端或者ActiveX控件，其有如下缺點(diǎn)：實(shí)施困難需要網(wǎng)絡(luò)管理員幫助每一個(gè)用戶實(shí)施安裝，其實(shí)施困難比較大，另外存在用戶意外卸載客戶端或者ActiveX控件的情況。2012年國(guó)內(nèi)某大型石油化工企業(yè)就是由于安裝網(wǎng)絡(luò)準(zhǔn)入客戶端實(shí)施困難從而放棄客戶端或者ActiveX控件準(zhǔn)入控制方式轉(zhuǎn)而改用無(wú)客戶端準(zhǔn)入控制方式。存在Bugs或安全漏洞客戶端或者ActiveX可能存在Bugs或者安全漏洞，容易引起終端異常或被攻擊利用，導(dǎo)致安全隱患進(jìn)而影響整個(gè)網(wǎng)絡(luò)穩(wěn)定性和安全性。占用系統(tǒng)資源客戶端或者ActiveX控件需要運(yùn)行在終端系統(tǒng)上，會(huì)占用系統(tǒng)資源（CPU，內(nèi)存，硬盤，網(wǎng)絡(luò)帶寬等），從而導(dǎo)致系統(tǒng)變慢影響正常工作。即插即用傳統(tǒng)網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)需要更改網(wǎng)絡(luò)拓?fù)浠蚺渲煤诵慕粨Q機(jī)或更改路由配置等等，而有NAM設(shè)備根據(jù)你選擇的部署方式，可以做到不需要更改現(xiàn)有的網(wǎng)絡(luò)拓?fù)?，不需要更改任何網(wǎng)絡(luò)設(shè)備（包括接入層交換機(jī)、核心交換機(jī)、路由器等）配置。即插即用，實(shí)現(xiàn)方便快捷部署?；诰W(wǎng)絡(luò)行為主動(dòng)發(fā)現(xiàn)主動(dòng)管理NAM設(shè)備可監(jiān)控網(wǎng)絡(luò)內(nèi)終端網(wǎng)絡(luò)行為，并對(duì)某些特定的網(wǎng)絡(luò)行為做到主控發(fā)現(xiàn)，主動(dòng)隔離或限制。如對(duì)P2P下載，可以做到發(fā)現(xiàn)并隔離。終端因P2P軟件下載被隔離后的通知頁(yè)面支持網(wǎng)絡(luò)設(shè)備硬件多，滿足國(guó)內(nèi)網(wǎng)絡(luò)準(zhǔn)入需要支持國(guó)內(nèi)常見(jiàn)的各種網(wǎng)絡(luò)設(shè)備硬件，具體參照5.支持的網(wǎng)絡(luò)設(shè)備。部署方式旁路部署NAM設(shè)備的主要部署解決方案。具有分布部署、高冗余和持久穩(wěn)定性。當(dāng)使用適當(dāng)?shù)募夹g(shù)（如端口安全），一臺(tái)NAM設(shè)備服務(wù)器可以管理數(shù)以百計(jì)的交換機(jī)以滿足數(shù)千個(gè)節(jié)點(diǎn)或用戶安全及使用。串聯(lián)部署雖然旁路部署是NAM設(shè)備的首選方式，串聯(lián)部署支持不受管理的有線和無(wú)線設(shè)備?？梢栽趲追昼妰?nèi)完成NAM設(shè)備的串聯(lián)部署！注意旁路模式和聯(lián)機(jī)模式可以共存。認(rèn)證與注冊(cè)支持802.1X協(xié)議NAM設(shè)備通過(guò)RADIUS的模塊，可支持無(wú)線和有線802.1X協(xié)議。支持IP語(yǔ)音（VoIP）在各種復(fù)雜的網(wǎng)絡(luò)拓?fù)渲兄С諺oIP。NAM設(shè)備支持多個(gè)廠商（思科，Edge-Core，惠普，華為，華為3C，Linksys公司，北電網(wǎng)絡(luò)以及更多的）的交換機(jī)的VoIP功能。無(wú)線集成NAM設(shè)備通過(guò)RADIUS模塊與無(wú)線網(wǎng)絡(luò)無(wú)縫整合，可以使有線和無(wú)線網(wǎng)絡(luò)使用相同的用戶數(shù)據(jù)庫(kù)并提供一致的用戶體驗(yàn)?？赏瑫r(shí)支持各種不同廠家接入點(diǎn)（AP）的設(shè)備。靈活的設(shè)備注冊(cè)NAM設(shè)備提供一套靈活的注冊(cè)機(jī)制。不同于大多數(shù)設(shè)備，NAM設(shè)備能記住用戶的注冊(cè)信息，并在以后的訪問(wèn)中自動(dòng)提供用戶的通行許可。當(dāng)然此功能是可選的。用戶登錄頁(yè)面來(lái)訪者注冊(cè)頁(yè)面合規(guī)檢查檢測(cè)異常的網(wǎng)絡(luò)活動(dòng)使用本地和遠(yuǎn)程異常網(wǎng)絡(luò)檢測(cè)模塊，可以檢測(cè)異常網(wǎng)絡(luò)活動(dòng)（如計(jì)算機(jī)病毒，蠕蟲，木馬，P2P連接等）。除了檢測(cè)，NAM設(shè)備具有自身的預(yù)警和抑制機(jī)制。管理員對(duì)于每一個(gè)網(wǎng)絡(luò)侵害行為均有完整的可控步驟。健康狀態(tài)（SOH）NAM設(shè)備的可以對(duì)接入設(shè)備進(jìn)行安全狀態(tài)評(píng)估。例如，可以檢測(cè)是否安裝防病毒軟件并運(yùn)行、是否更新病毒庫(kù)和最新的操作系統(tǒng)補(bǔ)丁，此功能可以在沒(méi)有安裝任何插件的形式實(shí)現(xiàn)（TNCSOHProtocol），也可以在終端設(shè)備上安裝ActiveX插件實(shí)現(xiàn)。漏洞掃描安全漏洞掃描模塊可以定時(shí)的在接入設(shè)備使進(jìn)行安全漏洞掃描并生成安全報(bào)告。一鍵逃生一旦設(shè)備出現(xiàn)問(wèn)題，NAM設(shè)備將中斷所有網(wǎng)絡(luò)通信，并基于節(jié)點(diǎn)或用戶的當(dāng)前狀態(tài)（未注冊(cè)的，有惡意行為的等），用戶將被重定向到相應(yīng)的URL。并給具有惡意行為的用戶提供狀態(tài)說(shuō)明。隔離有問(wèn)題的設(shè)備NAM設(shè)備支持幾種相互獨(dú)立的隔離技術(shù)，根據(jù)管理員設(shè)定規(guī)則可以自動(dòng)隔離有問(wèn)題的終端設(shè)備以保證整個(gè)網(wǎng)絡(luò)的安全穩(wěn)定。友好的管理界面基于命令行和Web的管理所有管理任務(wù)均可基于Web和命令行管理。基于Web的管理支持不同的權(quán)限級(jí)別。統(tǒng)計(jì)圖節(jié)點(diǎn)列表注冊(cè)節(jié)點(diǎn)統(tǒng)計(jì)圖節(jié)點(diǎn)詳細(xì)信息產(chǎn)品功能名詞解釋：節(jié)點(diǎn)：準(zhǔn)入設(shè)備監(jiān)控的網(wǎng)絡(luò)設(shè)備或者終端，可能是一臺(tái)PC、筆記本電腦、服務(wù)器、打印機(jī)或者IP電話等。靈活的VLAN管理和基于角色的訪問(wèn)控制通過(guò)劃分不同VLAN（VLAN技術(shù)細(xì)節(jié)，請(qǐng)參照第三部分技術(shù)介紹）來(lái)管理終端設(shè)備?；跍?zhǔn)入控制行業(yè)內(nèi)的長(zhǎng)期經(jīng)驗(yàn)和幾次技術(shù)更新，NAM設(shè)備在過(guò)去的幾年中已經(jīng)逐漸變的更為靈活和穩(wěn)定?？蛻舯旧淼腣LAN拓?fù)淇梢员Ａ簦恍枰诳蛻舻木W(wǎng)絡(luò)中增加兩個(gè)新的VLAN：注冊(cè)VLAN和隔離VLAN。另外，NAM設(shè)備可兼容很多設(shè)備供應(yīng)商（參照第四部分支持網(wǎng)絡(luò)設(shè)備）的產(chǎn)品。VLAN的管理使用不同方式實(shí)現(xiàn)：通過(guò)交換機(jī)（基于VALN管理的默認(rèn)方式）通過(guò)客戶類別（基于角色管理的默認(rèn)方式）通過(guò)客戶端程序其他…并且，每個(gè)交換機(jī)可以與其他方法結(jié)合來(lái)管理使用VLAN。例如，通過(guò)NAM設(shè)備的默認(rèn)設(shè)置，在適當(dāng)分類后，基于客戶所連接的設(shè)備，可以給客戶的打印機(jī)分配一個(gè)VLAN。這意味著你可以很輕松的擁有按照設(shè)備類型創(chuàng)建的VLANs。來(lái)訪準(zhǔn)入–使用你自己的設(shè)備（BYOD）現(xiàn)在，大多數(shù)機(jī)構(gòu)要處理不同類型公司的在線咨詢，因此他們的工作需要網(wǎng)絡(luò)接入。大多數(shù)情況下，公司的內(nèi)部網(wǎng)絡(luò)很少給未經(jīng)審核的個(gè)人或者設(shè)備提供網(wǎng)絡(luò)接入。而且，他們也很少能夠得到公司內(nèi)部環(huán)境的網(wǎng)絡(luò)接入，這是為了避免管理負(fù)擔(dān)。NAM設(shè)備支持一種特殊的VLAN管理來(lái)訪者。如果你使用訪客VLAN，你可以配置來(lái)訪者VLAN只能訪問(wèn)互聯(lián)網(wǎng)或授權(quán)的網(wǎng)絡(luò)資源，在注冊(cè)VLAN中提供向訪客介紹如何注冊(cè)以獲取網(wǎng)絡(luò)接入。這通常是提供網(wǎng)絡(luò)接入的管理員來(lái)定義的。注冊(cè)訪客有幾種方式：管理員提前授權(quán)來(lái)訪者賬戶信息密碼來(lái)訪者自注冊(cè)（需要或者不需要認(rèn)證）來(lái)訪者擔(dān)保（員工與來(lái)訪者關(guān)聯(lián)）通過(guò)郵件激活的來(lái)訪者通過(guò)移動(dòng)電話激活的來(lái)訪者（短信）NAM設(shè)備還整合了在線支付方案，比如支付寶。通過(guò)這種方式，你可以實(shí)現(xiàn)在線支付，獲取相關(guān)的網(wǎng)絡(luò)接入。更多內(nèi)置檢測(cè)類型NAM設(shè)備獨(dú)有自動(dòng)阻止網(wǎng)絡(luò)上指定或者特定行為的設(shè)備,。除了應(yīng)用入侵檢測(cè)、漏洞評(píng)估作為信息源，NAM設(shè)備能夠結(jié)合以下的檢測(cè)機(jī)制，以有效阻止那些不必要的設(shè)備的網(wǎng)絡(luò)接入：DHCP指紋NAM設(shè)備可以阻止基于DHCP指紋的設(shè)備。幾乎每一個(gè)操作系統(tǒng)都有一套獨(dú)特的DHCP指紋。NAM設(shè)備可以利用這個(gè)信息來(lái)阻止這些設(shè)備的網(wǎng)絡(luò)接入?；贒HCP的指紋，你可以設(shè)置自動(dòng)阻止，例如：?索尼PlayStation設(shè)備或任何其他游戲機(jī)?無(wú)線接入點(diǎn)（WAP）?VoIP電話用戶客戶端NAM設(shè)備可以阻止那些基于已知的User-Agent的特定設(shè)備利用其內(nèi)嵌的Web瀏覽器進(jìn)行網(wǎng)絡(luò)活動(dòng)。用這種方法，你可以自動(dòng)阻止，例如：?蘋果iPod或iPhone設(shè)備?任何使用舊版本的微軟InternetExplorer（IE）的人MAC地址NAM設(shè)備可以阻止具有特定MAC地址模式的設(shè)備的網(wǎng)絡(luò)接入。用這種方法，你可以自動(dòng)封鎖一個(gè)特定的網(wǎng)絡(luò)設(shè)備供應(yīng)商提供的所有設(shè)備。自動(dòng)注冊(cè) 因?yàn)楝F(xiàn)有的大多數(shù)網(wǎng)絡(luò)已經(jīng)非常龐大和復(fù)雜，NAM設(shè)備提供多種自動(dòng)注冊(cè)客戶端或設(shè)備的方法。通過(guò)網(wǎng)絡(luò)設(shè)備通過(guò)網(wǎng)絡(luò)設(shè)備（交換機(jī)，AP和無(wú)線控制器）可以設(shè)置自動(dòng)注冊(cè)所有需要網(wǎng)絡(luò)接入的MAC地址請(qǐng)求訪問(wèn)網(wǎng)絡(luò)。由DHCP指紋DHCP指紋可以被用來(lái)自動(dòng)注冊(cè)特定類型的設(shè)備（如VoIP電話，打印機(jī)）。通過(guò)MAC地址供應(yīng)商設(shè)備供應(yīng)商的MAC地址可以用來(lái)自動(dòng)注冊(cè)所提供的設(shè)備。例如，可以自動(dòng)注冊(cè)所有蘋果產(chǎn)品。更多不同的瀏覽器類型，甚至更多的設(shè)備都可以用于自動(dòng)登記。注冊(cè)時(shí)間期限對(duì)設(shè)備網(wǎng)絡(luò)接入時(shí)間范圍可以通過(guò)參數(shù)的配置加以控制。它可以是一個(gè)絕對(duì)的日期（如“2012年3月28日星期三”），一個(gè)范圍（如“從第一次網(wǎng)絡(luò)接入的四個(gè)星期內(nèi)”）或是當(dāng)設(shè)備變?yōu)榉腔钴S狀態(tài)30分鐘后失效。當(dāng)準(zhǔn)入失效時(shí)，注冊(cè)設(shè)備就變?yōu)槲醋?cè)設(shè)備。也可以設(shè)備類別為基礎(chǔ)來(lái)實(shí)現(xiàn)這一控制。準(zhǔn)入期限也可以在每個(gè)節(jié)點(diǎn)上手動(dòng)編輯。帶寬計(jì)算NAM設(shè)備可以自動(dòng)跟蹤網(wǎng)絡(luò)上設(shè)備的帶寬占用總量。它能通過(guò)內(nèi)置的隔離支持，保證或者改變那些在某一時(shí)間段內(nèi)消耗帶寬較多的設(shè)備的準(zhǔn)入級(jí)別。NAM設(shè)備能提供帶寬消耗數(shù)據(jù)報(bào)告。移動(dòng)網(wǎng)絡(luò)設(shè)備移動(dòng)網(wǎng)絡(luò)設(shè)備是指在你的網(wǎng)絡(luò)內(nèi)移動(dòng)的可以接入到交換機(jī)或無(wú)線接入點(diǎn)（AP）的網(wǎng)絡(luò)設(shè)備。一旦配置合適，NAM設(shè)備將識(shí)別你的移動(dòng)網(wǎng)絡(luò)設(shè)備并配置相應(yīng)的允許多種VLAN和多個(gè)的MAC地址接入口。在這一點(diǎn)上，移動(dòng)網(wǎng)絡(luò)設(shè)備可以通過(guò)或者不通過(guò)NAM設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)接入。一旦該設(shè)備斷開與NAM設(shè)備的連接，它將會(huì)重新回到其初始配置。靈活的身份驗(yàn)證NAM設(shè)備可以使用多種協(xié)議/標(biāo)準(zhǔn)給您的用戶提供認(rèn)證。這使得您可以在您的環(huán)境中集成NAM設(shè)備，而無(wú)需要求用戶記住另一個(gè)用戶名和密碼。已知的認(rèn)證源：微軟的ActiveDirectoryNovell公司的eDirectoryOpenLDAP思科的ACSRADIUS(FreeRADIUS,Radiator,etc.)本地用戶文件接入路由器NAM設(shè)備的架構(gòu)允許通過(guò)路由器工作。服務(wù)器可以放置在數(shù)據(jù)中心，但仍然可以有效地保護(hù)分支機(jī)構(gòu)。快速部署由于網(wǎng)絡(luò)訪問(wèn)控制的可侵入性，NAM設(shè)備在部署時(shí)，發(fā)展成為能夠很精細(xì)的控制每一個(gè)網(wǎng)絡(luò)接口。不管NAM設(shè)備是否履行其職責(zé)，你可預(yù)先自動(dòng)登記節(jié)點(diǎn)，但你也可以控制每一個(gè)交換機(jī)的每一個(gè)端口的水平。這使你能夠以你希望的速度在每一個(gè)交換機(jī)，每一個(gè)樓層，每一個(gè)位置進(jìn)行部署。針對(duì)隔離也是如此，首先你可以只記錄違規(guī)時(shí)間，當(dāng)你覺(jué)得某用戶的違規(guī)事件越來(lái)越多，已經(jīng)影響到你的網(wǎng)絡(luò)正常運(yùn)行你可以啟動(dòng)VLAN隔離。這兩個(gè)特點(diǎn)使得部署NAM設(shè)備變得盡可能的簡(jiǎn)單?？焖偻ǖ繬AM設(shè)備可配置節(jié)點(diǎn)訪問(wèn)特定的資源，甚至是節(jié)點(diǎn)被隔離時(shí)。這使你可以提供用戶訪問(wèn)特定的網(wǎng)絡(luò)資源的通道，如系統(tǒng)補(bǔ)丁、強(qiáng)制安裝軟件或者工具。高可用性高可用性始終是NAM設(shè)備的研發(fā)重點(diǎn)。在我們所有部署中，無(wú)論是使用主動(dòng)或者被動(dòng)部署模式，都證明了NAM設(shè)備的高可用性。在我們的管理員手冊(cè)中，詳細(xì)記載了如何配置NAM設(shè)備以及如何使其高效穩(wěn)定運(yùn)轉(zhuǎn)。支持的硬件NAM設(shè)備支持多個(gè)網(wǎng)絡(luò)供應(yīng)商及其各種網(wǎng)絡(luò)硬件。具體硬件支持請(qǐng)參照第四部分硬件支持。基于業(yè)界多種標(biāo)準(zhǔn)NAM設(shè)備采用多種開放的標(biāo)準(zhǔn)，以避免廠商技術(shù)封鎖。我們的支持和使用的標(biāo)準(zhǔn)，主要有：802.1X簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）標(biāo)準(zhǔn)的SNMP管理信息庫(kù)（MIB），如BRIDGE-MIB、Q-BRIDGE-MIB、IF-MIB、IEEE8021-PAE-MIBRADIUSNetFlow/IPFIX無(wú)線ISP漫游（WISPR）輕松定制、擴(kuò)展在經(jīng)過(guò)多次代碼重構(gòu)，NAM產(chǎn)品提供豐富的易于理解的API和詳盡的二次開發(fā)樣例，在各個(gè)功能模塊第三方廠家均可可快速的進(jìn)行二次開發(fā)，極大的滿足了用戶各種不同需求。VLAN分配技術(shù)簡(jiǎn)介VLAN（VirtualLocalAreaNetwork）的中文名為"虛擬局域網(wǎng)"。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。這一新興技術(shù)主要應(yīng)用于交換機(jī)和路由器中，但主流應(yīng)用還是在交換機(jī)之中。但又不是所有交換機(jī)都具有此功能，只有VLAN協(xié)議的第三層以上交換機(jī)才具有此功能，這一點(diǎn)可以查看相應(yīng)交換機(jī)的說(shuō)明書即可得知。相比之前的網(wǎng)絡(luò)準(zhǔn)入控制的傳統(tǒng)模式（APR和DHCP），VLAN是一種比較新的技術(shù)，工作在OSI參考模型的第2層和第3層，一個(gè)VLAN就是一個(gè)廣播域，VLAN之間的通信是通過(guò)第3層的路由器來(lái)完成的。當(dāng)前業(yè)界有幾種不同的技術(shù)進(jìn)行VLAN分配，這些技術(shù)在不同交換機(jī)的端口上相互之間是可以兼容的。這就意味著，網(wǎng)絡(luò)管理員可以使用最新的具有更安全更先進(jìn)技術(shù)的交換機(jī)，也可以同時(shí)老舊的不支持最新的技術(shù)的交換機(jī)。正如他名字所定義的，VLAN分配意味著準(zhǔn)入設(shè)備管理每一個(gè)網(wǎng)絡(luò)終端所屬的VLAN。這個(gè)VLAN可以是管理員之前設(shè)置的某一個(gè)VLAN，也可以是一個(gè)新增加的VLAN，NAM設(shè)備在這個(gè)新增加的VLAN中可提供DHCP/DNS/HTTP等服務(wù)。使用SNMPTraps配置所有交換機(jī)端口（使用VLAN做準(zhǔn)入的）主動(dòng)向NAM設(shè)備發(fā)送SNMP主動(dòng)通知（SNMTtraps）。在NAM設(shè)備上，我們使用SNMP接收器來(lái)接收通知，并根據(jù)網(wǎng)絡(luò)終端設(shè)備當(dāng)前狀態(tài)把設(shè)備所連交換機(jī)端口設(shè)置到正確的VLAN當(dāng)中。根據(jù)交換機(jī)功能，NAM設(shè)備能處理不同類型的SNMPTraps。你需要?jiǎng)?chuàng)建注冊(cè)VLAN，NAM設(shè)備將把所有未注冊(cè)的設(shè)備分配到此VLAN當(dāng)中。如果你還希望隔離網(wǎng)絡(luò)設(shè)備（具有惡意網(wǎng)絡(luò)行為或者被病毒感染），你也需要?jiǎng)?chuàng)建隔離VLAN。連接更改Traps（LinkChangeTraps）最基本的設(shè)置，它需要第三層VLAN的MAC檢測(cè)VLAN，在這個(gè)VLAN中沒(méi)有DHCP服務(wù)器，不能連接到其他地方，它只是一個(gè)空VLAN。當(dāng)一臺(tái)主機(jī)連接到交換機(jī)端口時(shí)，交換機(jī)會(huì)向NAM設(shè)備發(fā)送一個(gè)linkUptrap，在交換機(jī)獲得接入主機(jī)MAC地址之前，NAM設(shè)備將把此端口放入到MAC檢測(cè)VLAN中，并且主機(jī)會(huì)發(fā)送DHCP請(qǐng)求（在此VLAN中，此DHCP請(qǐng)求不會(huì)被回復(fù)）為了讓交換機(jī)獲取主機(jī)的MAC地址，NAM設(shè)備會(huì)發(fā)送定期的SNMP查詢到交換機(jī)上，直到交換機(jī)獲取主機(jī)的MAC地址。當(dāng)NAM設(shè)備獲取到主機(jī)的MAC地址之后，NAM設(shè)備會(huì)檢查其狀態(tài)（已經(jīng)存在，已經(jīng)注冊(cè)或者應(yīng)該被隔離）并把此端口劃分放入到正確的VLAN中。當(dāng)一個(gè)設(shè)備被斷開后，交換機(jī)發(fā)送“l(fā)inkDown”通知NAM設(shè)備，NAM設(shè)備將此端口劃分到MAC檢測(cè)VLAN中。當(dāng)計(jì)算機(jī)啟動(dòng)時(shí)，網(wǎng)卡的初始化生成多個(gè)鏈接狀態(tài)，每一次交換接口發(fā)送一個(gè)“l(fā)inkup”和“l(fā)inkDown”通知到NAM設(shè)備上，NAM設(shè)備不得不對(duì)這些通知進(jìn)行處理，但是這會(huì)產(chǎn)生一些負(fù)載。NAM設(shè)備優(yōu)化了此處理過(guò)程，讓主機(jī)所連接交換機(jī)端口能快速進(jìn)入到正確狀態(tài)。例如在斷電的情況下，即時(shí)上千臺(tái)的電腦同時(shí)開機(jī)，NAM設(shè)備管理起來(lái)也沒(méi)有太多延遲。MAC地址通知進(jìn)程（MACnotificationtraps）如果交換機(jī)支持MAC地址通知（MAC學(xué)習(xí)，MAC刪除），我們建議您使用它的。這樣NAM設(shè)備就不需要周期性查詢交換機(jī)是否獲取到主機(jī)的MAC地址。當(dāng)它接收到一個(gè)linkUp通知，并且此端口MAC地址通知也啟用了，NAM設(shè)備僅需要放置此端口到MAC檢測(cè)VLAN中。當(dāng)交換機(jī)獲取到主機(jī)的MAC之后，其會(huì)主動(dòng)向NAM設(shè)備發(fā)送包含主機(jī)MAC地址的通知。端口安全Trap（PortSecurityTraps）最基本的形式，端口安全功能能記住連接到此交換機(jī)端口設(shè)備的MAC地址，并且僅允許此MAC地址的設(shè)備去進(jìn)行網(wǎng)絡(luò)通信。如果其他的MAC地址設(shè)備試圖通過(guò)此端口進(jìn)行通信，交換機(jī)將不允許其進(jìn)行網(wǎng)絡(luò)通信并且發(fā)送port-securitytrap給NAM。如果你的交換機(jī)支持端口安全功能，建議管理員使用這個(gè)功能，而不是使用的linkUp/linkDown/或者M(jìn)AC通知。為什么？因?yàn)槿绻鸐AC地址的端口被授權(quán)，不論是重新啟動(dòng)設(shè)備，連接或者斷開設(shè)備，交換機(jī)均不會(huì)發(fā)送通知給NAM設(shè)備，這大大減少了交換機(jī)及NAM設(shè)備上的SNMP之間的交互。當(dāng)啟用端口安全通知時(shí)，就不需要啟用linkUp/linkDown以及MAC地址通知。有線：??802.1X+MAC旁路認(rèn)證（MAB）802.1X基于端口的認(rèn)證，其中包括請(qǐng)求者，認(rèn)證（如NAS），以及認(rèn)證服務(wù)器（AAA級(jí)）之間的通信。請(qǐng)求者通常是一個(gè)客戶端設(shè)備上的軟件，如筆記本電腦，驗(yàn)證是有線以太網(wǎng)交換機(jī)或無(wú)線接入點(diǎn)，認(rèn)證服務(wù)器通常是一個(gè)RADIUS數(shù)據(jù)庫(kù)。802.1X基于端口的身份驗(yàn)證，請(qǐng)求者（即客戶端設(shè)備）直到通過(guò)認(rèn)證請(qǐng)求才可以被授權(quán)訪問(wèn)網(wǎng)絡(luò)，同時(shí)請(qǐng)求者需要提供如用戶名/密碼或數(shù)字證書給認(rèn)證代理，認(rèn)證代理轉(zhuǎn)發(fā)認(rèn)證信息給認(rèn)證服務(wù)器。如果認(rèn)證信息是有效的（認(rèn)證服務(wù)器數(shù)據(jù)庫(kù)），請(qǐng)求者（客戶端設(shè)備）將被允許訪問(wèn)網(wǎng)絡(luò)。認(rèn)證協(xié)議被稱為可擴(kuò)展認(rèn)證協(xié)議（EAP），其中有許多變種。請(qǐng)求者和驗(yàn)證服務(wù)器都需要采用相同的EAP協(xié)議。比較常用的是EAP-MD5、PEAP-MSCHAPv2（在Windows上針對(duì)于ActiveDirectory進(jìn)行身份驗(yàn)證）以及EAP-TLS協(xié)議。在此背景下，NAM設(shè)備運(yùn)行認(rèn)證服務(wù)器（支持READIUS）并且可以根據(jù)認(rèn)證信息返回給交換機(jī)適當(dāng)?shù)腣LAN。越來(lái)越多的設(shè)備具有802.1X客戶端，這使得這種做法越來(lái)越流行。在802.1X客戶端不存的情況下，MAC身份驗(yàn)證（MAB）是一些交換機(jī)廠商推出的一個(gè)新的處理辦法。在認(rèn)證操作超時(shí)的情況下，交換機(jī)將停止執(zhí)行802.1X請(qǐng)求者身份驗(yàn)證。并且將進(jìn)入MAC旁路認(rèn)證。使用和802.1X相同的方法，MAB使用MAC地址作為用戶名并且沒(méi)有復(fù)雜的EAP。使用MAB，如網(wǎng)絡(luò)打印機(jī)或非802.1X功能的IP電話（IPT）的設(shè)備仍然可以得到對(duì)網(wǎng)絡(luò)訪問(wèn)的授權(quán)和正確的VLAN?，F(xiàn)在這種整合是不完善的，因?yàn)樗梢允謩?dòng)修改涉及RADIUS的模塊信息，但我們最新研發(fā)的NAM設(shè)備中內(nèi)置802.1X+MAB已經(jīng)解決了這個(gè)問(wèn)題。無(wú)線集成無(wú)線802.1X與有線802.1X很多相像的地方，MAC地址認(rèn)證與MAB認(rèn)證有很多相像的地方，但是不同的是，802.1X用于設(shè)置安全密鑰加密通信（WPA2-企業(yè)），而MAC地址認(rèn)證僅用于授權(quán)允許或禁止無(wú)線網(wǎng)絡(luò)上的一個(gè)MAC地址。NAM設(shè)備與無(wú)線網(wǎng)絡(luò)無(wú)縫結(jié)合。然而，為了讓有線接口，交換機(jī)，無(wú)線接入（AP）能一起有效的工作，其需要一些特定的功能，特別是，AP需要支持：多個(gè)SSID并且每個(gè)SSID均可劃分VLAN支持RADIUS服務(wù)器的認(rèn)證動(dòng)態(tài)VLAN分配（通過(guò)RADIUS屬性）SNMPdeauthenticationtraps關(guān)聯(lián)站點(diǎn)認(rèn)證失效管理員可以在AP上設(shè)定兩個(gè)SSID，第一個(gè)為游客和未注冊(cè)的客戶保留。對(duì)于這個(gè)SSID，通信將不加密同時(shí)用戶將連接到注冊(cè)VLAN或來(lái)賓VLAN上（根據(jù)其注冊(cè)狀態(tài)）。用戶可以通過(guò)NAM設(shè)備HTTPS認(rèn)證功能認(rèn)證并安全的訪問(wèn)SSID。第二個(gè)SSID將加密通信為注冊(cè)的用戶。支持網(wǎng)絡(luò)設(shè)備有線設(shè)備支持NAM設(shè)備支持以下有線設(shè)備：交換機(jī)SNMPMAC認(rèn)證802.1X3COMNJ2203COMSS42003COMSS45003COM4200G3COME4800G3COME5500G智邦科技ES3526XA智邦科技ES3528M安奈特AT8000GS阿米爾SS2R24iAvaya(seeNortels)思科2900XL思科2950思科2960/2970思科3500XLSeries思科3550思科3560思科3750思科4500思科6500思科ISR1800Series戴爾PowerConnect3424D-LinkDES3526D-LinkDES3550D-LinkDGS3100D-LinkDGS3200凱創(chuàng)公司D2凱創(chuàng)公司MatrixN3凱創(chuàng)公司SecureStackC2凱創(chuàng)公司SecureStackC3ExtremeNetworksSummit(XOS)ExtremeNetworksEASFoundry/BrocadeFastIron4802惠普E4800G惠普E5500G惠普Procurve2500Series惠普Procurve2600Series惠普Procurve3400clSeries惠普Procurve4100Series惠普Procurve5300Series惠普Procurve5400Series英特爾Express460英特爾Express530Juniper網(wǎng)絡(luò)公司EXSeriesLGiPecsSeriesLinksysSRW224G4美國(guó)網(wǎng)件FGSSeries北電網(wǎng)絡(luò)BayStack470北電網(wǎng)絡(luò)BayStack4550北電網(wǎng)絡(luò)BayStack5500Series北電網(wǎng)絡(luò)ERS2500Series北電網(wǎng)絡(luò)ERS4500Series北電網(wǎng)絡(luò)ERS5500Series北電網(wǎng)絡(luò)ES325北電網(wǎng)絡(luò)BPS2000SMCTS6128L2SMCTS6224MSMCSMC8824M-SMC8848M無(wú)線設(shè)備支持NAM設(shè)備支持以下無(wú)線設(shè)備：AeroHIVEAP系列ArubaNetworks（200，600系列，800，2400，3000系列，6000）Avaya無(wú)線控制器思科無(wú)線服務(wù)模塊（WiSM，WiSM2）思科WLC上（2100，2500，4400，5500）D-LinkDWS3026EXSW無(wú)線交換機(jī)（控制器）惠普ProCurveMSM710Mobility控制器Meru網(wǎng)絡(luò)無(wú)線控制器摩托羅拉的RF交換機(jī)（控制器）Ruckus無(wú)線控制器Trapeze無(wú)線控制器XirrusWiFiArrays接入點(diǎn)NAM設(shè)備支持下列接入點(diǎn)：AeroHIVEAP系列思科1130AG思科1240AG思科1250惠普ProCu