中欧体育终端识别是面向园区网络接入提供的一种精细化管理手段,通过某些协议报文的摘要字段对终端特征进行分析提炼,识别出终端的类型、系统等信息。园区网络管理系统可以基于这些识别出的特征信息,对园区终端进行数字化呈现、安全准入控制等。终端识别方法主要分为被动指纹采集和主动扫描两大类。
随着WLAN、IoT等ICT技术的不断普及与应用,企业网络规模正在急速的扩张,接入终端类型持续呈现多样化和复杂化。园区网络中,接入终端除了智能终端(PC、手机),还有IP话机、打印机、IP摄像头等哑终端。当前园区网络终端管理主要面临以下两个问题:
为了解决上述问题,终端识别功能应运而生。通过多样化的终端识别方法,园区网络管理系统可查看整个园区网络终端的类型、操作系统等摘要信息。基于这些摘要信息,可以对终端进行多维度的精细化管理,比如根据终端类型进行准入授权等。另外,对于通常采用MAC认证的园区IP话机、打印机、IP摄像头等哑终端设备,还可以实现基于终端识别的自动准入,从而减少管理员手动配置工作量。
通过网络设备采集终端报文的特征指纹,上报给园区网络管理系统,然后通过匹配园区网络管理系统自带的指纹库进行终端类型识别。这类终端识别方法包含MAC OUI、HTTP UserAgent、DHCP Option、LLDP、mDNS。
MAC OUI识别方法的缺点是不够准确,因为MAC信息是和网卡的生产厂商相关的,很多终端是用的其他厂家的网卡芯片,会造成通过MAC OUI获取到的厂商信息并不能说明终端的厂商信息,因此MAC OUI只能作为优先级最低的识别方法或者和其他方法组合来使用。
通过HTTP报文中的User-Agent字段内容来进行识别,不同设备类型的User-Agent内容会有差别中欧体育,对于PC和移动终端比较有效,因为移动终端上的浏览器携带的user-agent信息一般都包含比较全面的终端类型、操作系统、厂商、浏览器类型信息中欧体育。
根据DHCP报文中的一些属性可以进行终端类型的识别,常用的用于识别的属性包括:
过DHCP Option进行识别的方法是目前最主要的识别方法,整体识别率比较高,适用于终端动态获取IP地址的场景。
LLDP是一种邻居发现协议,它为以太网网络设备,如交换机、路由器和无线局域网接入点定义了一种标准的方法中欧体育,使其可以向网络中其他节点公告自身的存在,并保存各个邻近设备的发现信息。例如设备配置和设备识别等详细信息都可以用该协议进行公告。
通过CDP和LLDP可以获取到设备的操作系统、软件版本、设备描述等信息,根据这些信息可以进行设备类型的识别。
mDNS即组播DNS(multicast DNS),mDNS主要实现了在没有传统DNS服务器的情况下使局域网内的主机实现相互发现和通信。
mDNS的默认端口是5353,每个进入局域网的主机,如果开启了mDNS服务的话,都会向局域网内的所有主机组播一个消息,我是谁,和我的IP地址是多少。然后其他也有该服务的主机就会响应,也会告诉你,它是谁,它的IP地址是多少。
当前很多终端和Linux设备上提供了mDNS服务,因此这一类设备都可以通过mDNS协议进行识别,识别方法是网络设备将mDNS协议报文的服务类型特征采集,并发送给园区网络管理系统,园区网络管理系统根据特征识别终端类型。
通过园区网络管理系统主动探测或扫描终端,根据终端设备的反馈信息做终端类型识别。这类终端识别方法包含SNMP Query、NMAP方法。
SNMP识别方法是园区网络管理系统主动读取终端的MIB信息,根据SNMP MIB节点获取到信息进行识别,常用的终端设备可用于识别的MIB节点包括sysDescr、hrDeviceDescr。
hrDeviceDescr:用于表示设备的描述信息,包含了设备的制造商和型号,以及可选的序列号信息。
NMAP (Network Mapper) 是一款开放源代码的 网络探测和安全审计的工具。主要用于主机发现、端口扫描、服务版本探测、操作系统探测等场景。
通过NMAP的OS侦测功能可以检测目标主机运行的操作系统类型及设备类型等信息。NMAP使用TCP/IP协议栈指纹来识别不同的操作系统和设备。在RFC规范中,有些地方对TCP/IP的实现并没有强制规定,由此不同的TCP/IP方案中可能都有自己的特定方式。NMAP主要是根据这些细节上的差异来判断操作系统的类型的。具体实现方式如下:
NMAP是一种主动扫描的识别方法,优点是对组网、设备等没有特殊要求,缺点是识别速度慢。
网络终端管理运维时,管理员可通过园区网络管理系统可查看全网终端类型、系统等分类,比如哑终端:打印机、IP摄像头、门禁等,可以精细化管理。
管理员可通过园区网络管理系统基于终端的类型进行分类统计和流量数据分析管理。
某些场景,管理员希望不同类型的终端设备拥有不同的策略。比如:手机类型和PC两种类型终端分别设置不同的访问策略,手机类型终端只能访问外网,而PC作为办公设备,可以访问内网办公和外网。
管理员可以通过在支持终端识别的RADIUS服务器开启终端识别功能,并指定终端类型对应的授权策略。终端接入网络时,RADIUS服务器自动识别终端的类型,并根据终端类型下发对应的授权策略。实现不同终端类型差异化的策略。
园区网络中,接入终端除了智能终端(PC、手机),还有哑终端IP话机、打印机、IP摄像头等哑终端。不同类型的终端,需部署的网络业务配置和策略也不同,管理员需要手动收集哑终端的MAC做准入认证,还需要为每种终端类型配置对应的VLAN等业务配置,业务部署复杂且操作繁琐。
管理员可以通过在支持终端识别的RADIUS服务器开启终端识别功能,指定终端类型的准入策略和授权策略。终端上线时,RADIUS服务器自动识别终端类型,下发对应的自动准入策略和授权策略,实现终端即插即用。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务中欧体育。
彭国甫,被逮捕!因性格霸道被人称作“彭霸天”,骂人是家常便饭,曾多次动手打下属
“下班摆摊日入上千元”上热搜后,90后医生辞职:用一年时间创业,不行再干老本行
提前完成全年10万辆交付目标?雷军年度演讲回忆造车,首次公开SU7 Ultra
小米发布两款折叠屏新品:首款竖折提供4.01英寸大外屏 售价5999元起
Redmi K70至尊版发布:2599元起 1.5K直屏 天玑9300+芯片
与中坚力量共成长中欧体育,2024建信信托艺术大奖评委会特别奖获奖艺术家凌海鹏