终端识别是面向园区网络接入提供的一种精细化管理手段,通过某些协议报文的摘要字段对终端特征进行分析提炼,识别出终端的类型、系统等信息。园区网络管理系统可以基于这些识别出的特征信息,对园区终端进行数字化呈现、安全准入控制等。终端识别方法主要分为被动指纹采集和主动扫描两大类。
随着WLAN、IoT等ICT技术的不断普及与应用,企业网络规模正在急速的扩张,接入终端类型持续呈现多样化和复杂化。园区网络中,接入终端除了智能终端(PC、手机),还有IP话机、打印机、IP摄像头等哑终端。
1.当前网络管理系统只能查看接入终端的IP和MAC,并不知道终端具体是什么设备,无法对网络终端做更精细的可视化管理。
2.不同类型的终端接入网络后需部署的业务配置和策略也不同,管理员需要手动为不同类型的终端配置不同的业务配置和策略,业务部署复杂且操作繁琐。
为了解决上述问题,终端识别功能应运而生。通过多样化的终端识别方法,园区网络管理系统可查看整个园区网络终端的类型、操作系统等摘要信息。基于这些摘要信息,可以对终端进行多维度的精细化管理,比如根据终端类型进行准入授权等。另外,对于通常采用MAC认证的园区IP话机、打印机、IP摄像头等哑终端设备,还可以实现基于终端识别的自动准入,从而减少管理员手动配置工作量。
网络终端管理运维时,管理员可通过园区网络管理系统可查看全网终端类型、系统等分类,比如哑终端:打印机、IP摄像头、门禁等,可以精细化管理。
图一 基于终端类型进行分类统计和流量数据分析管理
某些场景,管理员希望不同类型的终端设备拥有不同的策略。比如:手机类型和PC两种类型终端分别设置不同的访问策略,手机类型终端只能访问外网,而PC作为办公设备,可以访问内网办公和外网。
图二 基于终端类型进行认证授权
园区网络中,接入终端除了智能终端(PC、手机),还有哑终端IP话机、打印机、IP摄像头等哑终端。不同类型的终端,需部署的网络业务配置和策略也不同,管理员需要手动收集哑终端的MAC做准入认证,还需要为每种终端类型配置对应的VLAN等业务配置,业务部署复杂且操作繁琐。
图三 基于终端识别的自动准入
终端识别的方法主要包括被动指纹采集和主动扫描两大类。
通过网络设备采集终端报文的特征指纹,上报给园区网络管理系统,然后通过匹配园区网络管理系统自带的指纹库进行终端类型识别。这类终端识别方法包含MAC OUI、HTTP UserAgent、DHCP Option、LLDP、mDNS。
图四 通过被动指纹采集方法进行终端识别
MAC OUI是指MAC地址的前3个字节,Organizationally unique identifier (OUI) “组织唯一标识符”,是统一分配给各个厂家的。
通过HTTP报文中的User-Agent字段内容来进行识别,不同设备类型的User-Agent内容会有差别,对于PC和移动终端比较有效,因为移动终端上的浏览器携带的user-agent信息一般都包含比较全面的终端类型、操作系统、厂商、浏览器类型信息。
通过Portal Server获取,做Portal认证时候,Portal Server提取User-Agent信息
Portal认证时,通过设备采集上报给园区网络管理系统。DHCP Option识别方法
根据DHCP报文中的一些属性可以进行终端类型的识别,常用的用于识别的属性包括:
–Option 55 (requested parameter list)
–Option 60 (vendor id)
–Option 12 (host name)
过DHCP Option进行识别的方法是目前最主要的识别方法,整体识别率比较高,适用于终端动态获取IP地址的场景。
LLDP是一种邻居发现协议,它为以太网网络设备,如交换机、路由器和无线局域网接入点定义了一种标准的方法,使其可以向网络中其他节点公告自身的存在,并保存各个邻近设备的发现信息。例如设备配置和设备识别等详细信息都可以用该协议进行公告。
mDNS即组播DNS(multicast DNS),mDNS主要实现了在没有传统DNS服务器的情况下使局域网内的主机实现相互发现和通信。
通过园区网络管理系统主动探测或扫描终端,根据终端设备的反馈信息做终端类型识别。这类终端识别方法包含SNMP Query、NMAP方法。
图五 通过主动扫描方法进行终端识别
SNMP识别方法是园区网络管理系统主动读取终端的MIB信息,根据SNMP MIB节点获取到信息进行识别,常用的终端设备可用于识别的MIB节点包括sysDescr、hrDeviceDescr。
hrDeviceDescr:用于表示设备的描述信息,包含了设备的制造商和型号,以及可选的序列号信息。
NMAP (Network Mapper) 是一款开放源代码的 网络探测和安全审计的工具。主要用于主机发现、端口扫描、服务版本探测、操作系统探测等场景。
NMAP内部包含了5600多已知系统的指纹特征。将此指纹数据库作为进行指纹对比的样本库。
