准入控制

類比：孩子從小學升初中的時候，家長都希望孩子能進入附近聲譽比較好的學校。這些學校的招生名額有限（容量受限），實行了嚴格的准入制度。不但要求學生小學畢業考試成績優秀，而且要求在各種市級競賽中取得過名次，最重要的是孩子的家長層次要高，能夠掏得起贊助費。

准入控制是手機在向無線接入網絡請求建立無線鏈路的時候，無線接入網絡根據網絡目前的負荷水平對是否允許其接入網絡進行的判斷和控制，就像重點中學根據已經招生的情況對要轉入的小學畢業生的資格進行審核一樣。

在網絡空閒的時候，接入新的用户是沒有問題的；但是當網絡越來越擁擠，空中接口負荷不斷增長，網絡干擾水平不斷上升，已經建立無線鏈路的用户通信質量就得不到保證了。這個時候，RNC就獲取它屬下各個小區上下行鏈路兩個方向的負荷信息，對其進行評估判斷。當上下行鏈路均可接受新鏈路時，新鏈路才被接納；否則為了防患於未然，直接拒絕。

1.不安裝客户端、不改變網絡結構就對接入網絡邊界的人進行認證和授權。

2.旁路接入，兼容各品牌交換機，支持HUB、傻瓜交換機，防止私接路由器、防止非法外聯。

3.劃分安全域、防止私改IP、根除ARP、非法IP/MAC監測並阻斷，對接入網絡的終端進行策略性檢查。

4.支持DHCP准入控制、網絡邊界維護，全網可視可控，符合等保要求。

網絡准入控制技術通常包括：802.1x准入控制、DHCP准入控制、網關型准入控制、ARP型准入控制、portal型准入。

802.1x准入控制的設計強調對交換機端口的控制。但與網絡兼容性較差。在用户使用終端接入前，會將終端隔離在隔離VLAN中。只有在進行完身份認證後，才將終端改放在應屬的VLAN中。當802.1x准入技術要求交換機必須支持802.1x。當端口下掛Hub或普通交換機的情況下，則無法實現對非法人和終端的VLAN隔離。

DHCP准入控制與現有網絡兼容性較好。但一般廠家的DHCP准入控制採用DHCP服務器與DHCP准入控制裝置分離的控制方法，實施較難。一些廠家採用一體化DHCP准入控制，如Leagsoft，能夠很好地解決802.1x和普通DHCP准入控制的問題。

網關型准入控制實際上不是一種真正意義上的准入控制。因為網關型准入控制只控制了網絡的出口，沒有控制內網的邊界接入。

ARP型准入控制是用ARP欺騙和ARP攻擊對不合規的終端進行攻擊，達到對網絡邊界進行保護的目的。但ARP的欺騙和攻擊對裝有ARP防火牆的終端沒有作用。另外，ARP的攻擊會造成網絡堵塞，不利於大型網絡。

portal型准入控制是兼容性相對比較好的一種控制手段，最利用交換機端口重定向（既：http重定向）的手段進行身份認證。這種方式不需要考慮客户網絡的情況進行部署的，只要下面的終端能與設備進行通訊就沒有問題。