安全准入系统扩容技术方案分析趋势.docVIP

安全准入系统扩容技术方案 一、技术方案 黄埔海关是大型的分布式网络结构，拥有众多分支机构。目前在总关已经部署了一套IDNAC管理平台，可以实现对总关的所有终端进行准入控制和IP地址管理。并在新塘海关作为试点，部署一套IDSensor，实现新塘海关终端管理。 因为ACK IDNAC使用ARP监听的方式来发现在线终端和IP/MAC，以此进行管理。此技术方案的优点是不需要交换机的功能支持，能够兼容任意类型的交换机，HUB,无线AP等接入方式，并且能够实时发现非法的IP和终端。 为了支持更多隶属海关进行管理，需要在各隶属海关再部署一套IDSensor作为IDNAC组件，可以使隶属海关实现与总关相同的管理功能。IDsensor具有部署简单，免维护，价格便宜，扩展性好等特点，所有的日常维护和配置都可以在总关的IDNAC上进行。 分布式网络环境部署方法： 为每个网点部署ACK ID Sensor，部署方式可以同时部署以下几种情况： ACK Trunk部署--适合多vlan的网络环境； ACK 直联监控部署—适合单vlan或没有划分vlan的网络环境； 按照以上方案部署后，部署IDSensor的分支将实现与开发区总关完全相同的功能。 该部署方案的优点： 实施简单，兼容任何交换机、HUB、无线AP等环境，不需要交换机功能支持DAI。 实时性强，非法入网，终端异常实时监测并实时阻塞，零延时。 准入效果