基于动态VLAN的防非法接入技术

　　基于动态VLAN的认证机制，这是一种基于源MAC地址，动态地在交换机端口上划分VLAN的方法。它由三部分组成，即VMPS认证服务器、网络交换机、接入客户端。

　　其中接入客户端是指连接上网的微型计算机或UNIX工作站等；VMPS认证服务器，由认证服务器、认证数据库组成，进行全网客户机登录认证。

　　动态VLAN认证如图3-1所示。其认证过程如下：

* 构建一个VMPS认证服务器，设置认证数据库，输入全网合法机器的物理地址（MAC地址）与其所属VLAN建立一个映射表，做为认证信息。
* VMPS服务器从认证数据库中，下载MAC地址-VLAN的映射表。
* 在网络接入设备上启动VMPS功能，并指定VMPS服务器。
* VMPS服务器会打开一个UDP进程来监听从网络接入设备发来的认证申请。
* 网络接入设备会随时获得从物理端口上来的MAC信息，并将其发往VMPS服务器。
* 当VMPS接到从交换机发来的一个合法请求后，首先是查看映射表中是否有该MAC -VLAN的映射记录。如果有，则把对应的VLAN号发给交换机，交换机物理端口在所属VLAN中正常使用；如果没有，且VMPS处于非安全模式下，则通知交换机将该端口分配到一个指定的独立VLAN中，该VLAN与网内其它网段相互隔离，不能进行网络通讯。如果VMPS处于安全模式下，则通知交换机将连接该MAC的端口关闭，想要重新开启此端口，只有进行手工操作。

　　该方案的优点是：易实现、应用灵活、管理高效等，其缺点是：只限于思科公司的各类交换机。

　　综上所述，防非接入可以从不同层次来完成，但无论从对现有的设备的改动、多协议的支持、网络安全，还是网络控制能力来看，网络层认证的优势突出，其快速，简单和成本低廉是它的优势。多数网络层认证像IEEE802.1x或动态VLAN认证技术，客户在认证之前不需要进行服务器的定位，不需要获得IP地址。网络接入设备只需要有限的3层功能，可以轻易实现和Radius或vmps服务器的结合，从而提供丰富、灵活的认证方式。在多协议网络环境中，基于网络层的认证可以实现对上层应用的完全透明，也就是说可以实现和新的网络层协议的兼容。网络层认证处理减小了认证包处理的延时，保证了关键性应用的服务质量。