【画方】画方网络准入管理系统

一、DHCP Server与DHCP准入方式

NAM内置了一个DHCP服务器，它与其它模块配合来提供DHCP准入控制功能，这个服务器与标准DHCP服务器有很大区别，它不仅利用DHCP协议实现了IP地址的中心下发功能，还利用操作系统内置的DHCP客户端实现接入区域的切换，它与NAM的认证模块配合实现了接入用户的身份认证，与NAM客户端配合实现了接入终端的安全检查。

NAM通过接口1管理企业中多个VLAN网络，并且在不修改企业VLAN配置的情况下NAM内部会虚拟产生2个网络：隔离缓冲网和访客网，这两个网络各自有不同的用途：

隔离缓冲网：主要用于隔离未检测终端，当终端还没有经过规范检查和认证的时候，NAM会自动将终端分配进入隔离缓冲网，可以配置处于这个区域的终端只能访问NAM服务器和补丁服务器等，当经过检查和认证以后NAM会自动将终端切换到正常办公网络；
访客网络：很多情况下非企业员工需要使用企业网络访问互联网资源，比如接受和发送Email等，企业需要为他们提供网络的数据通道，但是又不能将企业内部资源暴露给他们进行访问，所以需要在提供网络数据通信的同时对这些第三方人员进行权限控制，NAM可以提供访客网解决方案，完美的解决非企业人员使用企业网络的问题；

入网流程如下：

配置步骤：

①开启全局DHCP服务：菜单-->入网设置-->DHCP准入-->DHCP服务-->“开”

②开启VLAN的DHCP服务：菜单-->VLAN管理-->创建VLAN-->开启DHCP服务、开启终端注册

③配置DHCP服务：可以按照自身需求配置DHCP的地址范围等参数

④配置终端注册：菜单-->入网设置-->终端管理-->开启“终端注册”-->点击“注册配置”，配置注册页面详情，以及是否允许自动审核

二、ARP准入

这个ARP协议的特点是一个双刃剑，用在病毒身上可能对网路造成极大地破坏，但是如果用在正常的准入控制技术上，则可以实现很好的效果，从原理上来说ARP准入控制技术与病毒十分相似，它是通过向局域网中的非法终端和合法终端发送虚假ARP数据包来阻止非法终端对网络资源的访问，下面以非法终端接入网络为例，介绍ARP准入控制原理如下：

正常情况下网络中ARP

当非法主机C接入网络，NAM会对其进行阻塞，NAM采用了最为有效的双向欺骗技术，对合法主机和非法主机都进行欺骗，有效的阻断了合法主机和非法主机之间的通信，各主机ARP信息如下：

配置步骤：

①开启全局ARP监听：菜单-->入网设置-->网路监听-->开启“网络监听”

②开启阻断策略：菜单-->入网设置-->网络监听-->“阻断策略-详细设置”-->开启“阻断非法终端”

③VLAN中开启阻断策略：菜单-->VLAN管理-->进入所需要配置的VLAN-->开启“启用网络阻断”

三、SNMP网管

简单网络管理协议（SNMP）是1990年之后TCP/IP网络中应用最为广泛的网络管理协议。1990年5月，RFC1157定义了SNMP（Simple Network Management Protocol）的第一个版本SNMPv1。RFC1157和另一个关于管理信息的文件RFC1155一起，提供了一种监控和管理计算机网络的系统方法。因此，SNMP得到了广泛应用，并成为网络管理的事实上的标准。SNMP在90年代初得到了迅猛发展，同时也暴露出了明显的不足，如，难以实现大量的数据传输，缺少身份验证（Authentication）和加密（Privacy）机制。因此，1993年发布了SNMPv2。随后又发布了更为安全的V3版本。

NAM全面支持SNMP的V1/V2/V3版本，并且支持SNMP-Trap等，一般1990年后生产的网络设备都支持比较全面的SNMP功能，NAM可以与这些设备进行联动更好的实现网络准入控制功能，可以将入网终端、使用人员与网络接入设备，甚至是网络接入设备的端口进行绑定检查，如果不符合入网绑定策略则禁止其接入网络，NAM的SNMP准入控制技术原理如下图：

配置步骤：

①网络设备上配置SNMP Server参数（以思科为例）：

enable password 123@xinzhan
!
username xinzhan privilege 15 password 0 123@xinzhan
!
snmp-server community xinzhan RW
snmp-server trap-source Vlan1
snmp-server enable traps
snmp-server host 192.168.1.1 version 2c xinzhan

②配置画方的SNMP客户端参数：

菜单-->网管设备-->选中需要配置SNMP的设备-->类型，打开“高级配置”-->填入被管理设备的IP地址，用户（community）写上设备上配置的团体字（本例为xinzhan）-->命令管理选择“telnet"（如果需要配置更安全的方式，可以选择SSH）-->填入用户名"xinzhan"-->登陆密码填入"123@xinzhan"-->超级密码填入enable password "123@xinzhan"-->厂家选择“思科”