NAM内置了一个DHCP服务器,它与其它模块配合来提供DHCP准入控制功能,这个服务器与标准DHCP服务器有很大区别,它不仅利用DHCP协议实现了IP地址的中心下发功能,还利用操作系统内置的DHCP客户端实现接入区域的切换,它与NAM的认证模块配合实现了接入用户的身份认证,与NAM客户端配合实现了接入终端的安全检查。
NAM通过接口1管理企业中多个VLAN网络,并且在不修改企业VLAN配置的情况下NAM内部会虚拟产生2个网络:隔离缓冲网和访客网,这两个网络各自有不同的用途:
入网流程如下:
配置步骤:
①开启全局DHCP服务:菜单-->入网设置-->DHCP准入-->DHCP服务-->“开”
②开启VLAN的DHCP服务:菜单-->VLAN管理-->创建VLAN-->开启DHCP服务、开启终端注册
③配置DHCP服务:可以按照自身需求配置DHCP的地址范围等参数
④配置终端注册:菜单-->入网设置-->终端管理-->开启“终端注册”-->点击“注册配置”,配置注册页面详情,以及是否允许自动审核
这个ARP协议的特点是一个双刃剑,用在病毒身上可能对网路造成极大地破坏,但是如果用在正常的准入控制技术上,则可以实现很好的效果,从原理上来说ARP准入控制技术与病毒十分相似,它是通过向局域网中的非法终端和合法终端发送虚假ARP数据包来阻止非法终端对网络资源的访问,下面以非法终端接入网络为例,介绍ARP准入控制原理如下:
正常情况下网络中ARP
当非法主机C接入网络,NAM会对其进行阻塞,NAM采用了最为有效的双向欺骗技术,对合法主机和非法主机都进行欺骗,有效的阻断了合法主机和非法主机之间的通信,各主机ARP信息如下:
配置步骤:
①开启全局ARP监听:菜单-->入网设置-->网路监听-->开启“网络监听”
②开启阻断策略:菜单-->入网设置-->网络监听-->“阻断策略-详细设置”-->开启“阻断非法终端”
③VLAN中开启阻断策略:菜单-->VLAN管理-->进入所需要配置的VLAN-->开启“启用网络阻断”
简单网络管理协议(SNMP)是1990年之后TCP/IP网络中应用最为广泛的网络管理协议。1990年5月,RFC1157定义了SNMP(Simple Network Management Protocol)的第一个版本SNMPv1。RFC1157和另一个关于管理信息的文件RFC1155一起,提供了一种监控和管理计算机网络的系统方法。因此,SNMP得到了广泛应用,并成为网络管理的事实上的标准。SNMP在90年代初得到了迅猛发展,同时也暴露出了明显的不足,如,难以实现大量的数据传输,缺少身份验证(Authentication)和加密(Privacy)机制。因此,1993年发布了SNMPv2。随后又发布了更为安全的V3版本。
NAM全面支持SNMP的V1/V2/V3版本,并且支持SNMP-Trap等,一般1990年后生产的网络设备都支持比较全面的SNMP功能,NAM可以与这些设备进行联动更好的实现网络准入控制功能,可以将入网终端、使用人员与网络接入设备,甚至是网络接入设备的端口进行绑定检查,如果不符合入网绑定策略则禁止其接入网络,NAM的SNMP准入控制技术原理如下图:
配置步骤:
①网络设备上配置SNMP Server参数(以思科为例):
enable password 123@xinzhan
!
username xinzhan privilege 15 password 0 123@xinzhan
!
snmp-server community xinzhan RW
snmp-server trap-source Vlan1
snmp-server enable traps
snmp-server host 192.168.1.1 version 2c xinzhan
②配置画方的SNMP客户端参数:
菜单-->网管设备-->选中需要配置SNMP的设备-->类型,打开“高级配置”-->填入被管理设备的IP地址,用户(community)写上设备上配置的团体字(本例为xinzhan)-->命令管理选择“telnet"(如果需要配置更安全的方式,可以选择SSH)-->填入用户名"xinzhan"-->登陆密码填入"123@xinzhan"-->超级密码填入enable password "123@xinzhan"-->厂家选择“思科”
