iMaster NCE-Campus V300R019C10 终端识别与终端即插即用技术白皮书

iMaster NCE-Campus V300R019C10 终端识别与终端即插即用技术白皮书文档版本01发布日期2020-05-30华为技术有限公司版权所有 华为技术有限公司2020。 保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。商标声明 和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼 邮编：518129网址：客户服务邮箱：support客户服务电话：4008302118文档版本01 (2020-05-30)版权所有 华为技术有限公司iiMaster NCE-Campus V300R019C10 终端识别与终端即插即用技术白皮书目 录目 录1 概述11.1 产生背景11.2 方案简介12 方案原理22.1 整体方案22.1.1 终端识别方案22.1.2 终端即插即用方案42.2 终端识别原理42.2.1 MAC OUI识别方法42.2.2 HTTP User-Agent识别方法52.2.3 DHCP Option识别方法52.2.4 LLDP识别方法62.2.5 mDNS识别方法72.2.6 SNMP Query识别方法72.2.7 NMAP识别方法73 方案优势84 典型应用场景94.1 终端可视化94.2 终端差异化策略104.3 终端即插即用10文档版本01 (2020-05-30)版权所有 华为技术有限公司iiiMaster NCE-Campus V300R019C10 终端识别与终端即插即用技术白皮书1 概述1 概述1.1 产生背景1.2 方案简介1.1 产生背景随着网络技术的飞速发展，企业网络规模也在不断的扩大，接入终端类型呈现持续多样化和复杂化。园区网络中，接入终端除了智能终端（PC、手机），还有IP话机、打印机、IP摄像头等哑终端。当前园区网络终端管理主要面临以下两个问题：1. 当前网络管理系统只能查看接入终端的IP和MAC，并不知道终端具体是什么设备，无法对网络终端做更精细的可视化管理。2. 不同类型的终端接入网络后需部署的业务配置和策略也不同，管理员需要手动为不同类型的终端配置不同的业务配置和策略，业务部署复杂且操作繁琐。1.2 方案简介为了解决上述景问题，华为推出了终端识别与终端即插即用方案，可支持如下功能：1. 通过NCE-Campus控制器可查看全网终端类型、系统等分类，比如PC、手机、打印机、IP摄像头、IP话机等，并基于终端的类型进行分类统计和流量呈现。2. 针对园区IP话机、打印机、IP摄像头等哑终端设备，无需管理员手动为每种类型的业务终端配置不同的业务配置和策略。NCE-Campus控制器能够自动的识别终端，并为终端设备下发对应的准入策略和业务配置文档版本01 (2020-05-30)版权所有 华为技术有限公司1iMaster NCE-Campus V300R019C10 终端识别与终端即插即用技术白皮书2 方案原理2 方案原理2.1 整体方案2.2 终端识别原理2.1 整体方案2.1.1 终端识别方案Campus控制器的终端管理提供终端识别功能，可呈现终端的类型、操作系统、生产厂商。终端识别通过下列几种方法实现：识别方法识别方法说明适用的场景MAC OUIMAC地址前三字节用于表示厂商，但很多情况下不准确仅识别设备厂商HTTP UserAgent浏览器UserAgent信息中包含厂商、终端类型、操作系统、浏览器等信息手机、平板型号、PC、工作站、音视频智能终端DHCP Option终端DHCP报文的部分属性可用于终端分类，常用属性有55、60、12手机、平板型号、PC、工作站、IP摄像头、IP话机、打印机等LLDP链路层设备发现协议，包携带设备型号IP话机、IP摄像头、网络设备等mDNSmDNS报文含有终端型号信息和业务信息苹果终端、打印机、IP摄像头等SNMP Query通过查询SNMP mib节点中的设备信息相关的节点获取识别信息网络设备、打印机NMAP通过NMAP软件对终端进行OS、服务扫描，可探测终端型号和OS信息PC、工作站、如打印机、话机、IP摄像头等终端识别的方法分为两类：被动指纹采集和主动扫描。Figure 1 终端识别整体架构Figure 2 自定义规则终端识别方案：1. 被动指纹采集方法，通过网络设备采集终端报文的特征指纹，上报给Campus控制器做终端类型识别。包含：MAC OUI、HTTP UserAgent、DHCP Option、LLDP、mDNS方法。2. 主动扫描方法，通过Campus控制器主动探测或扫描终端，根据终端设备的反馈信息做终端类型识别。包含：SNMP Query、NMAP方法。3. 终端识别自定义规则可以让客户创建自定义匹配规则、匹配权重和最小分值，在确认指纹信息的情况下可以做到精准识别；2.1.2 终端即插即用方案园区网络管理员可以通过Campus控制器为终端设备自动下发对应策略，而无需手动为每种类型的业务终端配置不同的业务配置和策略。终端策略支持基于终端类型或操作系统或生产厂商下发对应终端策略。Figure 3终端即插即用方案1. 管理员在Campus控制器界面，开启终端识别功能，并选择终端类型，指定终端类型的策略。2. 终端接入网络时，网络设备可以采集终端的指纹信息，上报给Campus控制器。3. Campus控制器自动匹配终端指纹库，识别终端的类型。4. Campus控制器根据管理员定义的策略，对终端自动下发对应的准入和授权策略。2.2 终端识别原理2.2.1 MAC OUI识别方法MAC OUI是指MAC地址的前3个字节，Organizationally unique identifier (OUI) “组织唯一标识符”，是统一分配给各个厂家的。官方的MAC OUI库，其中的信息类似于下面：00-10-FA (hex)Apple, IncMAC OUI识别方法的缺点是不够准确，因为MAC信息是和网卡的生产厂商相关的，很多终端是用的其他厂家的网卡芯片，会造成通过MAC OUI获取到的厂商信息并不能说明终端的厂商信息，因此MAC OUI只能作为优先级最低的识别方法或者和其他方法组合来使用。2.2.2 HTTP User-Agent识别方法通过HTTP报文中的User-Agent字段内容来进行识别，不同设备类型的User-Agent内容会有差别，对于PC和移动终端比较有效，因为移动终端上的浏览器携带的user-agent信息一般都包含比较全面的终端类型、操作系统、厂商、浏览器类型信息。User-Agent的信息获取有如下的方法：1、通过Portal Server获取，做Portal认证时候，Portal Server提取User-Agent信息2、Portal认证时，通过设备采集上报给SDN控制器。2.2.3 DHCP Option识别方法根据DHCP报文中的一些属性可以进行终端类型的识别，常用的用于识别的属性包括：Option 55 (requested parameter list)Option 60 (vendor id)Option 12 (host name)通过DHCP Option进行识别的方法是目前最主要的识别方法，整体识别率比较高，适用于终端动态获取IP地址的场景。2.2.4 LLDP识别方法LLDP是一种邻居发现协议，它为以太网网络设备，如交换机、路由器和无线局域网接入点定义了一种标准的方法，使其可以向网络中其他节点公告自身的存在，并保存各个邻近设备的发现信息。例如设备配置和设备识别等详细信息都可以用该协议进行公告。通过CDP和LLDP可以获取到设备的操作系统、软件版本、设备描述等信息，根据这些信息可以进行设备类型的识别。2.2.5 mDNS识别方法mDNS即组播DNS（multicast DNS），mDNS主要实现了在没有传统DNS服务器的情况下使局域网内的主机实现相互发现和通信，苹果的Bonjour就是一个基于mDNS的产品。mDNS的默认端口是5353，每个进入局域网的主机，如果开启了mDNS服务的话，都会向局域网内的所有主机组播一个消息，我是谁，和我的IP地址是多少。然后其他也有该服务的主机就会响应，也会告诉你，它是谁，它的IP地址是多少。在Apple 的设备上（电脑，笔记本，iphone，ipad等设备）都提供了这个服务，很多Linux设备也提供这个服务，因此这一类设备都可以通过mDNS协议进行识别，识别方法是网络设备将mDNS协议报文的服务类型特征采集，并发送给SDN控制器，控制器根据特征识别终端类型。2.2.6 SNMP Query识别方法SNMP识别方法是SDN控制器主动读取终端的MIB信息，根据SNMP MIB节点获取到信息进行识别，常用的终端设备可用于识别的MIB节点包括sysDescr、hrDeviceDescr。sysDescr：表示系统基本信息hrDeviceDescr：用于表示设备的描述信息，包含了设备的制造商和型号，以及可选的序列号信息。2.2.7 NMAP识别方法NMAP (Network Mapper) 是一款开放源代码的 网络探测和安全审计的工具。主要用于主机发现、端口扫描、服务版本探测、操作系统探测等场景。NMAP是一款开源免费的网络发现（Network Discovery）和安全审计（Security Auditing）工具。通过NMAP的OS侦测功能可以检测目标主机运行的操作系统类型及设备类型等信息。NMAP使用TCP/IP协议栈指纹来识别不同的操作系统和设备。在RFC规范中，有些地方对TCP/IP的实现并没有强制规定，由此不同的TCP/IP方案中可能都有自己的特定方式。NMAP主要是根据这些细节上的差异来判断操作系统的类型的。具体实现方式如下：1、NMAP内部包含了5600多已知系统的指纹特征。将此指纹数据库作为进行指纹对比的样本库。2、分别挑选一个open和closed的端口，向其发送经过精心设计的TCP/UDP/ICMP数据包，根据返回的数据包生成一份系统指纹。3、将探测生成的指纹与指纹库进行对比，查找匹配的系统和类型。NMAP是一种主动扫描的识别方法，优点是对组网、设备等没有特殊要求，缺点是识别速度慢。文档版本01 (2020-05-30)版权所有 华为技术有限公司