終端設備接入能力控制

引言：現在網絡安全防護中，防止設備的非法接入，是網絡安全保護中的第一道防線。在網絡安全的防護中，我們需要在非法終端進入網絡前就能夠對設備進行識別。在筆者單位的各個項目中，通過終端設備的控制，保證了服務安全穩定的運行。

現在網絡安全防護中，防止設備的非法接入，是網絡安全保護中的第一道防線。我們需要在非法終端進入網絡前就能夠對設備進行識別。

經常用到的一些接入控制為ACL限制、AAA認證等，但除了這種常規性的接入控制外，我們單位在增強網絡安全方面，進行了更深入的限制，大致分為如下幾種：

1.DHCP協議控制；

2.接入層IPVLAN限定；

3.終端硬件識別。

DHCP協議控制

1.DHCP過程

終端設備可以通過多種方式獲取接入用的IP地址，如PPPOE撥號、L2TPVPN等，這些協議最終會通過DHCP服務向終端提供合法的IP信息。設備進行DHCP認證中，在RFC2131協議的VLAN子接口中描述了全部的階段，其中基本階段有四個：

終端首先向本地子網中廣播發送“DHCPDIS COVER”，尋找DHCP服務器。

DHCP服務器向終端發回“DHCPOFFER”響 應，yiaddr字段中包含可以提供的IP地址，由于網絡中可能有多臺DHCP服務器，終端一般只會響應第一條。

終端繼續向本地子網中廣播發送“DHCPREQUEST”，包 含“server identifier”用來聲明自己選擇了哪一臺DHCP服務器，以及“yiaddr”字段聲明自己確認使用這個IP地址。

最終，DHCP服務器向終端發送“DHCPACK”，包含相應的網絡配置。

當然，完整的協議交互中，還包含DHCPNAK、DHCPDECLI NE、DHCPRELEASE、DHCPINFO RM等過程，本文在此不在贅述。

2.OPTION 60協議

DHCP的附加協議中定義了一些OPTION，可以對DHCP進行進一步的控制。我們可以選擇使用供應商類別識別符來進行終端的接入控制。……