随着企业信息化水平的提高，为了更好的服务于用户，企业会引入各种类型终端接入网络，以提升员工的工作效能。同时，企业会尽可能把网络铺设到办公区的每个角落，满足用户随时随地的移动办公需要。但是大量的终端接入网络，给企业带来了很大的信息安全隐患。若何确保终端随时随地安全接入网络成为关键。

传统网络接入准入节造近况:

IP地址分配方式:分为静态IP和动态IP两种方式。

基于安全思考，通；峤兄斩说淖既虢谠，合法的终端才允许接入网络。而通常的准入节造规划通常使用准入认证(802.1X/WEB等)，但准入认证会带来网络不变性差及守护麻烦等问题 (认证服务器故障可能导致终端无法入网从而导致业务中断)，因而部门客户会在接入设备上进行IP+MAC绑定代替准入认证，对于要求高的场景，或者涉密终端，得再加上PORT绑定。 

对于IP地址静态分配的场景下，IP+MAC绑定作为准入节造规划，存在的问题: 

效能低，易犯错：IP规划结束以来，需逐台在接入互换机进行手工IP+MAC+PORT绑定，执行过程繁琐且易犯错，守护难题。 

矫捷性差：由于部门调整、办公区装建、移动办公等需要，用户的终端地位会产生变动。此时，不仅终端的IP地址必要沉新分配，还必要在新地位所属的互换机上沉新进行IP+MAC+PORT绑定。若是迁徙用户数极度多的话，网络信息部门可就极度狼狈了，加班不说，可能还会有一些莫名的投诉（你懂的。。

治理守护难：IP地址池内，有几多已经被使用？有几多是空闲的？有几多IP该被开释了？没有好的工具辅助，辅导一问，不知路，这不是打脸吗！

对于IP地址动态分配的场景下，IP+MAC绑定作为准入节造规划，存在的问题:  

矫捷性差：DHCP无法基于合法用户进行IP地址分配(对应的MAC固定分配相应的IP地址，实现类似静态IP的成效)。

靠得住性地：一旦DHCP Servicer出现问题，则全网受影响；

配置繁琐：地址分配实现后若是要进行IP+MAC绑定则必要在接入互换机上配置DHCP Snooping + IP Source Guard。 

其实，用户想要的成效很单一：那就是合法的用户，拿着安全的终端，正确接入网络，接见正确的资源。

【极简网络】SDN技术-轻量级准入规划

让SDN节造器代替手工操作，通过SDN节造器和接入互换机设备的联动，有效提升工作效能的同时，确保终端入网的安全性和实时性。 

规划的重要职能

SDN节造器通过Openflow下发ARP代答指令给接入互换机，同步网络整网接入终端的网络信息，如IP、MAC、 VLAN、PORT等。同时，网络信息以及资产治理等台账信息也能够依照模板进行批量导入导出操作，方便治理员集中治理。

新终端接入网络时，SDN节造器会把新用户的信息和节造器守护的用户信息库进行自动匹配，通过治理员提前设置的模板和阈值，来判断终端的合法性，并执行放杏注隔离、待审批等作为。 在判断终端合法的同时，进而判断终端的地位变动信息，确保战术追随用户移动。

同时，能够将统一个业务部门，或者一样业务类型的终端拖进统一个战术组中，实现统一治理，削减治理员沉复工作的效能浪费。

对于网络中打印机、IP电话等哑终端，能够通过MAC地址限位的方式，阻止犯法用户通过仿照哑终端的地址提议的攻击行为。

对用户的价值

易运维：

• IP使用情况清澈直观，多种出现方式，方便治理员对IP资源 实时回收、统一治理；
• 不扭转用户使用习惯，还是依照已有的地址规划方式；

安全性高：

• 能够基于端口进行绑定；
• 终端地位扭转，必要治理员审批，有效预防MAC糊弄；
• 不变性高：
• 节造器故障，不影响网络正常转发。