終端識别是面向園區(qū)網絡接入提供的一種精細化管理(lǐ)手段,通過某些(xiē)協議(yì)報(bào)文(wén)的摘要字段對(duì)終端特征進行分析提煉,識别出終端的類型、系統等信息。園區(qū)網絡管理(lǐ)系統可以基于這(zhè)些(xiē)識别出的特征信息,對(duì)園區(qū)終端進行數字化呈現(xiàn)、安全準入控制等。終端識别方法主要分爲被動指紋采集和(hé)主動掃描兩大(dà)類。
爲什(shén)麽需要終端識别
随着WLAN、IoT等ICT技術的不斷普及與應用(yòng),企業網絡規模正在急速的擴張,接入終端類型持續呈現(xiàn)多樣化和(hé)複雜(zá)化。園區(qū)網絡中,接入終端除了(le)智能(néng)終端(PC、手機),還有IP話(huà)機、打印機、IP攝像頭等啞終端。當前園區(qū)網絡終端管理(lǐ)主要面臨以下(xià)兩個問題:
-
當前網絡管理(lǐ)系統隻能(néng)查看(kàn)接入終端的IP和(hé)MAC,并不知(zhī)道(dào)終端具體是什(shén)麽設備,無法對(duì)網絡終端做更精細的可視(shì)化管理(lǐ)。
-
不同類型的終端接入網絡後需部署的業務配置和(hé)策略也(yě)不同,管理(lǐ)員需要手動爲不同類型的終端配置不同的業務配置和(hé)策略,業務部署複雜(zá)且操作(zuò)繁瑣。
爲了(le)解決上(shàng)述問題,終端識别功能(néng)應運而生。通過多樣化的終端識别方法,園區(qū)網絡管理(lǐ)系統可查看(kàn)整個園區(qū)網絡終端的類型、操作(zuò)系統等摘要信息。基于這(zhè)些(xiē)摘要信息,可以對(duì)終端進行多維度的精細化管理(lǐ),比如根據終端類型進行準入授權等。另外(wài),對(duì)于通常采用(yòng)MAC認證的園區(qū)IP話(huà)機、打印機、IP攝像頭等啞終端設備,還可以實現(xiàn)基于終端識别的自(zì)動準入,從(cóng)而減少管理(lǐ)員手動配置工(gōng)作(zuò)量。
終端識别的方法
終端識别的方法主要包括被動指紋采集和(hé)主動掃描兩大(dà)類。
一. 被動指紋采集
通過網絡設備采集終端報(bào)文(wén)的特征指紋,上(shàng)報(bào)給園區(qū)網絡管理(lǐ)系統,然後通過匹配園區(qū)網絡管理(lǐ)系統自(zì)帶的指紋庫進行終端類型識别。這(zhè)類終端識别方法包含MAC OUI、HTTP UserAgent、DHCP Option、LLDP、mDNS。
.png)
通過被動指紋采集方法進行終端識别
MAC OUI識别方法
MAC OUI是指MAC地址的前3個字節,Organizationally unique identifier (OUI) “組織唯一标識符”,是統一分配給各個廠(chǎng)家的。
MAC OUI識别方法的缺點是不夠準确,因爲MAC信息是和(hé)網卡的生産廠(chǎng)商相關的,很(hěn)多終端是用(yòng)的其他(tā)廠(chǎng)家的網卡芯片,會(huì)造成通過MAC OUI獲取到(dào)的廠(chǎng)商信息并不能(néng)說明(míng)終端的廠(chǎng)商信息,因此MAC OUI隻能(néng)作(zuò)爲優先級最低(dī)的識别方法或者和(hé)其他(tā)方法組合來(lái)使用(yòng)。
HTTP User-Agent識别方法
通過HTTP報(bào)文(wén)中的User-Agent字段内容來(lái)進行識别,不同設備類型的User-Agent内容會(huì)有差别,對(duì)于PC和(hé)移動終端比較有效,因爲移動終端上(shàng)的浏覽器攜帶的user-agent信息一般都包含比較全面的終端類型、操作(zuò)系統、廠(chǎng)商、浏覽器類型信息。
User-Agent的信息獲取有如下(xià)的方法:
-
通過Portal Server獲取,做Portal認證時(shí)候,Portal Server提取User-Agent信息
-
Portal認證時(shí),通過設備采集上(shàng)報(bào)給園區(qū)網絡管理(lǐ)系統。
DHCP Option識别方法
根據DHCP報(bào)文(wén)中的一些(xiē)屬性可以進行終端類型的識别,常用(yòng)的用(yòng)于識别的屬性包括:
-
Option 55 (requested parameter list)
-
Option 60 (vendor id)
-
Option 12 (host name)
過DHCP Option進行識别的方法是目前最主要的識别方法,整體識别率比較高(gāo),适用(yòng)于終端動态獲取IP地址的場景。
LLDP識别方法
LLDP是一種鄰居發現(xiàn)協議(yì),它爲以太網網絡設備,如交換機、路由器和(hé)無線局域網接入點定義了(le)一種标準的方法,使其可以向網絡中其他(tā)節點公告自(zì)身的存在,并保存各個鄰近設備的發現(xiàn)信息。例如設備配置和(hé)設備識别等詳細信息都可以用(yòng)該協議(yì)進行公告。
通過CDP和(hé)LLDP可以獲取到(dào)設備的操作(zuò)系統、軟件版本、設備描述等信息,根據這(zhè)些(xiē)信息可以進行設備類型的識别。
mDNS識别方法
mDNS即組播DNS(multicast DNS),mDNS主要實現(xiàn)了(le)在沒有傳統DNS服務器的情況下(xià)使局域網内的主機實現(xiàn)相互發現(xiàn)和(hé)通信。
mDNS的默認端口是5353,每個進入局域網的主機,如果開(kāi)啓了(le)mDNS服務的話(huà),都會(huì)向局域網内的所有主機組播一個消息,我是誰,和(hé)我的IP地址是多少。然後其他(tā)也(yě)有該服務的主機就會(huì)響應,也(yě)會(huì)告訴你(nǐ),它是誰,它的IP地址是多少。
當前很(hěn)多終端和(hé)Linux設備上(shàng)提供了(le)mDNS服務,因此這(zhè)一類設備都可以通過mDNS協議(yì)進行識别,識别方法是網絡設備将mDNS協議(yì)報(bào)文(wén)的服務類型特征采集,并發送給園區(qū)網絡管理(lǐ)系統,園區(qū)網絡管理(lǐ)系統根據特征識别終端類型。
二. 主動掃描
通過園區(qū)網絡管理(lǐ)系統主動探測或掃描終端,根據終端設備的反饋信息做終端類型識别。這(zhè)類終端識别方法包含SNMP Query、NMAP方法。
.png)
通過主動掃描方法進行終端識别
SNMP Qiuery識别方法
SNMP識别方法是園區(qū)網絡管理(lǐ)系統主動讀取終端的MIB信息,根據SNMP MIB節點獲取到(dào)信息進行識别,常用(yòng)的終端設備可用(yòng)于識别的MIB節點包括sysDescr、hrDeviceDescr。
sysDescr:表示系統基本信息
hrDeviceDescr:用(yòng)于表示設備的描述信息,包含了(le)設備的制造商和(hé)型号,以及可選的序列号信息。
NMAP識别方法
NMAP (Network Mapper) 是一款開(kāi)放(fàng)源代碼的 網絡探測和(hé)安全審計(jì)的工(gōng)具。主要用(yòng)于主機發現(xiàn)、端口掃描、服務版本探測、操作(zuò)系統探測等場景。
通過NMAP的OS偵測功能(néng)可以檢測目标主機運行的操作(zuò)系統類型及設備類型等信息。NMAP使用(yòng)TCP/IP協議(yì)棧指紋來(lái)識别不同的操作(zuò)系統和(hé)設備。在RFC規範中,有些(xiē)地方對(duì)TCP/IP的實現(xiàn)并沒有強制規定,由此不同的TCP/IP方案中可能(néng)都有自(zì)己的特定方式。NMAP主要是根據這(zhè)些(xiē)細節上(shàng)的差異來(lái)判斷操作(zuò)系統的類型的。具體實現(xiàn)方式如下(xià):
-
NMAP内部包含了(le)5600多已知(zhī)系統的指紋特征。将此指紋數據庫作(zuò)爲進行指紋對(duì)比的樣本庫。
-
分别挑選一個open和(hé)closed的端口,向其發送經過精心設計(jì)的TCP/UDP/ICMP數據包,根據返回的數據包生成一份系統指紋。
-
将探測生成的指紋與指紋庫進行對(duì)比,查找匹配的系統和(hé)類型。
NMAP是一種主動掃描的識别方法,優點是對(duì)組網、設備等沒有特殊要求,缺點是識别速度慢。
終端識别有哪些(xiē)應用(yòng)場景
終端可視(shì)化
網絡終端管理(lǐ)運維時(shí),管理(lǐ)員可通過園區(qū)網絡管理(lǐ)系統可查看(kàn)全網終端類型、系統等分類,比如啞終端:打印機、IP攝像頭、門(mén)禁等,可以精細化管理(lǐ)。
管理(lǐ)員可通過園區(qū)網絡管理(lǐ)系統基于終端的類型進行分類統計(jì)和(hé)流量數據分析管理(lǐ)。
終端差異化策略
某些(xiē)場景,管理(lǐ)員希望不同類型的終端設備擁有不同的策略。比如:手機類型和(hé)PC兩種類型終端分别設置不同的訪問策略,手機類型終端隻能(néng)訪問外(wài)網,而PC作(zuò)爲辦公設備,可以訪問内網辦公和(hé)外(wài)網。
管理(lǐ)員可以通過在支持終端識别的RADIUS服務器開(kāi)啓終端識别功能(néng),并指定終端類型對(duì)應的授權策略。終端接入網絡時(shí),RADIUS服務器自(zì)動識别終端的類型,并根據終端類型下(xià)發對(duì)應的授權策略。實現(xiàn)不同終端類型差異化的策略。
.png)
基于終端類型進行認證授權
終端即插即用(yòng)
園區(qū)網絡中,接入終端除了(le)智能(néng)終端(PC、手機),還有啞終端IP話(huà)機、打印機、IP攝像頭等啞終端。不同類型的終端,需部署的網絡業務配置和(hé)策略也(yě)不同,管理(lǐ)員需要手動收集啞終端的MAC做準入認證,還需要爲每種終端類型配置對(duì)應的VLAN等業務配置,業務部署複雜(zá)且操作(zuò)繁瑣。
管理(lǐ)員可以通過在支持終端識别的RADIUS服務器開(kāi)啓終端識别功能(néng),指定終端類型的準入策略和(hé)授權策略。終端上(shàng)線時(shí),RADIUS服務器自(zì)動識别終端類型,下(xià)發對(duì)應的自(zì)動準入策略和(hé)授權策略,實現(xiàn)終端即插即用(yòng)。
.png)
基于終端識别的自(zì)動準入
注:本文(wén)素材來(lái)自(zì)華爲,版權歸作(zuò)者所有