准入控制系统实现准入的几种原理（上）

端口镜像准入：

全旁路的部署方式，但镜像准入仅针对 TCP、ICMP 协议连接有效，不支持UDP协议，准确说是必须是有会话连接的流量才生效。

实现原理：准入控制系统通过发送欺骗回应报文来欺骗pc连接已关闭，通过准入控制系统端口抓包可以发现分别向服务器发送服务重置reset报文和向pc发送会话关闭的fin报文。

端口镜像的部署是基于准入控制系统是部署在内网中，而用户上网一般访问外网，内网的响应速度会远远快于外网，基于这个部署方式，保证准入控制系统的阻断报文能优先于外网服务器的响应报文到达pc，从而实现上网控制效果。

802.1x准入：

两种认证方式，能安装客户端的如pc，采用dot1x认证，对于不能安装客户端的如打印机等采用mac认证准入。

依托于客户端-交换机-准入控制系统的部署方式。所以级交换机也需要支持802.1x协议，基于协议的特点，802.1x准入能实现对交换机端口的准入控制。

认证过程：客户端向开启了802.1x协议的交换机发起用户认证，认证过程采用eapol协议交互认证报文，交换机和准入控制系统之间采用radius协议交互，认证之后的结果则是判断用户接入交换机的端口是否打开（严格来说是认证通过则是端口允许所有报文通过，认证不通过则是只允许认证报文通过）。

策略路由：

物理上属于旁路部署，但是在逻辑上属于串联部署。

实现方式：通过交换机的路由策略强行把用户流量发送到准入控制系统的不信任端口，从而让准入控制系统对流量进行判断，允许的流量放行，不允许的流量直接丢弃

有四种转发方式：单进单出、一进一出、系统路由、系统路由nat。

1、单进单出：交换机将用户流量发送到准入控制系统的不信任端口，准入控制系统对流量进行判断，非法直接丢弃，合法流量直接从该端口返回交换机，发往对应服务器

2、一进一出：交换机将用户流量发送到准入控制系统的不信任端口，准入控制系统对流量进行判断，非法直接丢弃，合法流量从准入控制系统的信任端口返回交换机，发往对应服务器。

3、系统路由：交换机将用户流量发送到准入控制系统的不信任端口，准入控制系统对流量进行判断，非法直接丢弃，合法流量将按照准入控制系统的路由表进行转发。

4、系统路由准入控制系统：与系统路由一致，由于配置了nat，所有准入控制系统在转发用户流量时会将报文的源ip替换成nat设置好的ip。

DHCP准入：

配置：管理口全网可达，另一个口如eth2口作为dhcp接口，配置为trunk模式，准入控制系统上给

2口配置一个vlan设备，关联终端的vlan号，设置为路由模式，添加一个ip地址，随便添加一个没被占用的隔离子网的ip即可，交换机和eth2口连接的接口配置为trunk，允许vlan号通过，交换机配置dhcp中继，dhcp server指向准入控制系统的管理口。在准入控制系统上配置dhcp准入，配置相应的正常子网和隔离子网。

准入控制系统作为网络的dhcp服务器，部署时分为两个子网，一个可以正常上网的子网，一个不能正常上网的隔离子网，如果符合要求则分配能正常上网的子网的ip地址，如果不符合要求则分配隔离子网的ip地址。

报文交互：

注销主动下线：客户端注销登录请求下线发送release报文给准入控制系统，请求释放分配的ip地址，然后重新发送discover请求ip地址，准入控制系统判断客户端已下线注销回应分配了隔离子网的offer报文，后续通过报文交互客户端使用隔离子网的ip地址从而无法上网。

登录主动上线：准入控制系统通过安检后发送nak报文，通知客户端不在续租隔离子网分配的ip地址，然后客户端重新发送discover请求ip地址，准入控制系统回应offer报文，此offer报文包分配的是可以上网的ip地址，客户端收到报文后续通过dhcp报文交互使用该ip地址正常上网。

客户端违反准入控制系统布置规则不允许上网：客户端ip地址租期到达一半时，会定期发送request报文请求续租，准入控制系统此时不同意续租，回应nak报文，客户端进入无ip状态，重新发送discover报文，准入控制系统回应offer报文，offer报文中分配的ip地址为隔离子网中的地址，后续正常按照dhcp报文交互，交互完成后客户端获得隔离子网的ip地址，从而不能上网。