继上次领导要求有线接入终端必须MAC绑定之后,今天又提出无线网络也要有准入认证必须一人一密。虽然这东西部署之后肯定会被其他同事白眼,但是我等小兵只能领导说什么干什么了,从仓库里翻出一台上网行为管控设备,串接是不可能串接的,好不容易搭起来的冗余拓扑不能埋下单点故障的种子。万幸这台设别支持旁路部署,借此机会来复习一下旁路部署上网行为管控设备实现管控的原理。
旁路部署上网行为管控设备拓扑图
原理很简单,通过在办公网汇聚交换机上将汇聚和核心之间的流量镜像到上网行为管控,管控设备监控镜像流量数据包中的TCP连接会话,发现未认证的终端发送SYN包时马上会伪造一个RST包来拒绝建立连接,以此方式来阻断上网。
总结一下。
上网行为管控设备旁路部署方案的优点:
1. 上网行为管控设备旁路部署方案对生产环境影响最小,只需少量的配置工作,并不影响当前网络业务运行。
2. 充分利用已有硬件的功能,部署方便,不会影响现有的网络结构。
3. 不会对网速造成任何影响。旁路模式分析的是镜像端口拷贝过来的数据,对原始数据包不会造成延时,也不会因为设备交换能力影响现网性能。
4. 因为没有串接在链路上,旁路管控设备故障或者停止运行,不会影响现有网络。
5. 旁路部署方案一样可以对上网行为进行控制。
上网行为管控设备旁路部署方案的缺点:
1. 需要交换机或者路由支持“端口镜像”功能才可以实现监控。
2. 旁路模式采用发送RST包的方式来断开TCP连接,不能禁止UDP通讯。UDP基本无解,除非所在网络的应用环境完全不需要UDP刻意考虑通过ACL禁止。
3.生产环境链路带宽实际流量超过管控设备接口带宽时,会因为镜像流量不完整导致控制断断续续,主要是对新接入终端认证上有延迟,对已经认证的设备没什么影响。
暂时就想到这么多,有新的领悟再更新~
