简介
类比:孩子从国小升国中的时候,家长都希望孩子能进入附近声誉比较好的学校。这些学校的招生名额有限(容量受限),实行了严格的準入制度。不但要求学生国小毕业考试成绩优秀,而且要求在各种市级竞赛中取得过名次,最重要的是孩子的家长层次要高,能够掏得起赞助费。準入控制是手机在向无线接入网路请求建立无线链路的时候,无线接入网路根据网路目前的负荷水平对是否允许其接入网路进行的判断和控制,就像重点中学根据已经招生的情况对要转入的国小毕业生的资格进行审核一样。
在网路空闲的时候,接入新的用户是没有问题的;但是当网路越来越拥挤,空中接口负荷不断增长,网路干扰水平不断上升,已经建立无线链路的用户通信质量就得不到保证了。这个时候,RNC就获取它属下各个小区上下行链路两个方向的负荷信息,对其进行评估判断。当上下行链路均可接受新链路时,新链路才被接纳;否则为了防患于未然,直接拒绝。
目的与意义
1.不安装客户端、不改变网路结构就对接入网路边界的人进行认证和授权。
2.旁路接入,兼容各品牌交换机,支持HUB、傻瓜交换机,防止私接路由器、防止非法外联。
3.划分安全域、防止私改IP、根除ARP、非法IP/MAC监测并阻断,对接入网路的终端进行策略性检查。
4.支持DHCP準入控制、网路边界维护,全网可视可控,符合等保要求。
技术介绍
网路準入控制技术通常包括:802.1x準入控制、DHCP準入控制、网关型準入控制、ARP型準入控制、portal型準入。
802.1x準入控制
802.1x準入控制的设计强调对交换机连线埠的控制。但与网路兼容性较差。在用户使用终端接入前,会将终端隔离在隔离VLAN中。只有在进行完身份认证后,才将终端改放在应属的VLAN中。当802.1x準入技术要求交换机必须支持802.1x。当连线埠下挂Hub或普通交换机的情况下,则无法实现对非法人和终端的VLAN隔离。
DHCP準入控制
DHCP準入控制与现有网路兼容性较好。但一般厂家的DHCP準入控制採用DHCP伺服器与DHCP準入控制装置分离的控制方法,实施较难。一些厂家採用一体化DHCP準入控制,如Leagsoft,能够很好地解决802.1x和普通DHCP準入控制的问题。
网关型準入控制
网关型準入控制实际上不是一种真正意义上的準入控制。因为网关型準入控制只控制了网路的出口,没有控制区域网路的边界接入。
ARP型準入控制
ARP型準入控制是用ARP欺骗和ARP攻击对不合规的终端进行攻击,达到对网路边界进行保护的目的。但ARP的欺骗和攻击对装有ARP防火墙的终端没有作用。另外,ARP的攻击会造成网路堵塞,不利于大型网路。
portal型準入
portal型準入控制是兼容性相对比较好的一种控制手段,最利用交换机连线埠重定向(既:http重定向)的手段进行身份认证。这种方式不需要考虑客户网路的情况进行部署的,只要下面的终端能与设备进行通讯就没有问题。
