天融信终端网络接入-网络边界大门守护者

但是，该种解决方式也只是解决了当前接入网络中终端机器身份确定的问题，其它的问题仍然存在于网络中；并且通过该种方式进行解决时对于管理员的配置依赖性较大，同时因为该类设备通过ARP欺骗的形式进行实现，所以会导致在网络中存在大量的ARP欺骗数据包出现。

3.通过标准的802.1x认证准入形式实现

该种方式通过在接入层交换机端口上应用802.1x协议来实现对终端接入网络中进行控制；因为在交换机端口上应用了802.1x协议，所有端口下连接的终端设备必须要经过用户名密码登陆认证成功后才能够成功的接入内网中，从而解决了接入内网终端的身份不确定问题。

但是，该种解决方式还是无法解决网络边界不可控、接入网络中的终端机器自身健康情况等问题还是没有得到相应的解决。

天融信提供的终端入网解决方案

天融信提出的终端网络接入方案是依靠802.1x的原型实现的，在终端用户802.1x用户名密码验证成功后，客户端会按照策略定义的检查项来检查终端当前的健康情况，并将结果上报至服务器，只有终端用户名密码认证成功并且健康检查通过后才能正常的接入内网中，因为服务器需要判断终端的健康检查是否通过，所以标准的radius服务器无法做到，因此天融信自研了TopNAC的服务器，作为终端接入网络中认证用服务器；因此，该终端接入网络的接入方式也被称为TNC接入。

该解决方案根据终端接入内网中的流程，可以解决之前所描述的终端入网所有的风险。

TNC接入方式工作原理

TNC接入方式是在802.1x的原型上进行相应的修改而来的，与802.1x的工作方式有些许不同；802.1x认证只对终端的用户名和密码进行验证，并且在终端验证通过之前终端自身没有任何的网络连接，并且802.1x无法对接入终端机器自身的健康情况进行检测。

TNC接入方式中，终端接入网络后在没有进行认证之前，此时终端会被接入层交换机划入Guest-Vlan中，在该Vlan中终端机器只可以访问网络中所划分出来的隔离网络区，即杀毒软件服务器、WSUS服务器等；在该区域内，终端机器会进行802.1x的用户名密码验证，用户名密码验证通过后，终端会根据本地应用的认证策略对本机的健康，并将健康检查的结果上报至认证服务器，服务器端会根据终端上报的健康检查的结果来判断是否让终端接入网络中。

那么，TNC接入方式是怎么做到解决终端接入网络中所面临的各类风险呢？

网络边界不可控

TNC接入方式采用802.1x的准入的原型进行认证，在交换机上应用端口模式进行认证。因为在认证前Guest-Vlan中终端机器使用DHCP进行地址分配，认证成功进入Normal-Vlan后使用静态IP地址进行网络通讯，即使使用HUB进行通讯，在Guest-Vlan中所有终端机器可以访问隔离网络区域，只要有一台终端机器准入认证成功，那么交换机端口划分至Normal-Vlan下，该终端机器使用Normal-Vlan下的静态IP地址可以正常通讯，而HUB下的其它终端机器还是使用的DHCP地址在Normal-Vlan下，网络无法正常通讯，从而保证了交换机端口只能存在一个终端进行正常的内网访问，保证了网络边界的可控性。

接入网络中终端身份不确定

TNC接入中需要对终端机器认证的用户名密码进行验证，每一个用户都有自己的用户名密码，因此只要是认证成功接入网络中的机器身份都可以得到确认。

接入网络中的终端自身安全情况不确定

TNC接入中对于用户的认证方面，用户名密码验证通过后，还需要终端机器根据服务器端下发的健康检查策略将本地的健康检查结果上报至服务器端，只有健康检查通过后服务器端才会下发认证通过的命令，终端才可以正常的接入网络中；如果健康检查不通过，客户端会弹窗显示不通过的选项以及修复方式，此时终端机器可以在Guest-Vlan中通过访问网络隔离区中的各类服务器进行健康修复，修复完成再次发起认证检查，检查通过后才被允许接入网络中，从而保证了接入网络中的终端机器都是健康接入。

终端接入网络后访问的网络范围不可控

TNC接入中每一个认证的用户名密码都会绑定一个Vlan号，认证成功健康检查通过后，认证服务器会将该Vlan号信息发送至该接入交换机，交换机收到后会将连接该认证终端的端口划分至该Vlan下；因此，不同的账号绑定不同的Vlan号认证成功后分别进入不同的Vlan下进行网络通讯。办公人员认证成功后被划入办公Vlan中，只能访问办公Vlan下的资源；业务人员认证成功后被划入业务Vlan中，只能访问业务Vlan下的资源。因此，TNC接入方式保证了终端接入网络成功后所访问的网络资源范围可控性；因为不同的账号所绑定的Vlan号不同，在一定的程度上也避免了账号混用的风险。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友