终端识别是园区网络接入的精细管理手段,通过分析终端协议报文的特定字段提取
终端特征,从而识别终端类型和操作系统等信息。接入交换机利用这些特征,实现
终端的数字化展示和安全准入控制。H3C交换机支持EPA(Endpoint
Analysis)、ONVIF和鹰视系统,其中,EPA为被动特征识别技术,而ONVIF
和鹰视系统属于主动扫描技术。本文将介绍EPA的技术价值、工作机制和典型应
用。
EPA用于监控通过H3C交换机接入IP网络的终端上下线信息,支持PC、手机、
IP电话、摄像头、打印机等类型终端。通过EPA,网络管理人员能够轻松追踪和
管理接入终端,提升网络安全性和管理效率。
实时监控与安全自动化与效率集中管理
通过监控终端上下线,标注结合BYOD技术,EPA可与SmartMC技术结合,
终端属性,指定接入参数,自动识别终端,减少手动实现集中化管理,显著简
EPA可提高网络安全性配置,提高管理效率化网络管理员的工作
BYOD(BringYourOwnDevice)允许员工使用个人设备(如手机、平板、
笔记本)接入企业网络,但这可能带来安全隐患。为管理这些终端,EPA与
BYOD联动,通过终端上线报文中的指纹字段查询BYOD指纹库,自动识别设备,
并记录其种类和厂商等信息。系统预设常用指纹,用户可根据需求添加。
SmartMC(SmartManagementCenter,智能管理中心)是H3C自主研
发的网络管理协议,用于集中管理和维护网络边缘大量分散的网络设备。
SmartMC网络中有且只有一台设备为管理设备(简称TM),其他设备均为成
员设备(简称TC)。通过在管理设备上进行简单的配置,即可实现对整个网络中
的所有成员设备进行批量管理。
EPA的工作机制如下:
1.网络管理员在接入交换机上配置EPA功能。
2.终端上线并发送报文。
3.接入交换机提取终端上线报文中能够代表终端特征的字段值。
4.EPA将提取的字段值和配置的识别规则进行匹配:
?匹配成功:标识终端上线,并生成日志以通知管理员。
?匹配失败:不监控该终端。
Network
1配置EPA功能
匹配特征信息决定终端
43提取终端上线报文中的特征信息
上线状态,并生成日志
2终端上线并发送报文
Terminal1Terminal3
Terminal2
根据EPA终端识别规则配置方法不同,EPA分为静态MAC地址识别和自动指纹识
别两种方式。两种方式的差别见下表:
识别方式EPA终端识别规则支持的功能适用场景
识别终端是否上下线并生成相
通过手工配置的MACOUI或者终端数量较
静态识别应日志
MAC地址范围进行终端识别少的网络
终端种类只能为Camera
通过指纹进行终端识别,指纹包?识别终端是否上下线并生成
括DHCPOption55、HTTP相应日志