【IT168 资讯】NDM的准入控制功能,有两种方式实现,纽盾为您解析:
一是指以MAC为主要身份凭证的入网验证方法。
对于在授权列表中的MAC,被准许入网;不在列表中的MAC,则被视为非信任用户,拒绝其入网。
检测原理是:IP上线后会定时广播ARP包,ARP封包里有该电脑IP和MAC信息。NDM监听和收集各VLAN的ARP封包,来比对授权列表中的MAC地址。
IP上线后,NDM收集到其IP/MAC后进行比对,若MAC不在授权列表中、或IP/MAC与绑定中的不匹配,则证实该用户为非法用户,NDM向交换机下达关闭端口的指令(Port封锁),切断其物理层链路;或者NDM直接向该用户发送阻断包(MAC封锁),切断其逻辑层链路。
二是指802.1X认证,以用户名/密码为主要凭证的入网验证方法。
此种方法需要接入层交换机的配合,以及在PC电脑上开启Windows自带客户端或安装第三方客户端。
NDM内置radius服务器功能,可以由管理员新建和维护用户帐号/密码/权限(延申功能)。
原理是:当PC连接到交换机上时,交换机默认是关闭端口的。当用户输入帐号/密码后,接入交换机会将其转发到NDM设备,由NDM设备比对该帐号信息。若帐号无误,则证明该用户身份合法,通知交换机打开端口,允许用户接入;若帐号密码不符,则仍然禁止用户接入。