05-h3c_imc_ead解決方案介紹_第1頁(yè)
已閱讀1頁(yè),還剩110頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、EAD解決方案介紹,ISSUE 2.0,日期:2013-01-18,杭州華三通信技術(shù)有限公司 版權(quán)所有,未經(jīng)授權(quán)不得使用與傳播,隨著IT應(yīng)用的不斷發(fā)展,客戶(hù)開(kāi)始意識(shí)到對(duì)內(nèi)網(wǎng)終端進(jìn)行控制和管理的必要性,實(shí)施網(wǎng)絡(luò)接入控制,確保企業(yè)網(wǎng)絡(luò)安全,已是許多企業(yè)網(wǎng)客戶(hù)的迫切需求。 隨著EAD解決方案的不斷發(fā)展,新特性新功能層出不窮。以不斷提供易用性和實(shí)用性,不斷提高客戶(hù)滿(mǎn)意度為出發(fā)點(diǎn),EAD解決方案已經(jīng)在不知不覺(jué)中發(fā)生了較大的變化。,引入,,,熟悉

2、UAM組件和EAD組件的功能特性熟悉EAD解決方案架構(gòu)熟悉EAD解決方案的主要功能特性熟悉EAD解決方案的相關(guān)配置,課程目標(biāo),學(xué)習(xí)完本課程,您應(yīng)該能夠:,UAM組件介紹EAD解決方案介紹EAD解決方案與Cisco產(chǎn)品配合的應(yīng)用EAD解決方案的容災(zāi)方案,目錄,UAM組件的定義,iMC UAM( User Access Manage)是由H3C業(yè)務(wù)軟件產(chǎn)品線針對(duì)企業(yè)網(wǎng)、校園網(wǎng)和小運(yùn)營(yíng)商等多種網(wǎng)絡(luò)運(yùn)營(yíng)環(huán)境開(kāi)發(fā)的一套基于Radius

3、的集中式網(wǎng)絡(luò)接入認(rèn)證管理系統(tǒng)。iMC UAM 在Radius服務(wù)器基本的AAA(Authentication、Authorization and Accounting)功能之上,提供了多業(yè)務(wù)融合的身份識(shí)別、權(quán)限控制平臺(tái),具有簡(jiǎn)單易用、高性能、可擴(kuò)展的特點(diǎn),可以幫助網(wǎng)絡(luò)管理員輕松完成各種網(wǎng)絡(luò)接入業(yè)務(wù)的部署、開(kāi)通、監(jiān)控、審計(jì)等管理任務(wù),極大提高網(wǎng)絡(luò)的安全性、可管理性和可維護(hù)性。,UAM組件的主要功能(1),支持多種接入及認(rèn)證方式,適合多種接

4、入組網(wǎng)場(chǎng)景及應(yīng)用場(chǎng)景。支持802.1x、Portal、VPN接入、無(wú)線接入等多種認(rèn)證接入方式 。支持PAP、CHAP、EAP-MD5、EAP-TLS、PEAP等多種身份驗(yàn)證方式,適應(yīng)不同安全要求的應(yīng)用場(chǎng)景 。支持證書(shū)認(rèn)證(802.1x、Portal環(huán)境下均支持,但必須使用iNode客戶(hù)端)、匿名快速認(rèn)證、RSA認(rèn)證以及漫游認(rèn)證。 支持接入帳號(hào)與接入設(shè)備IP地址、接入設(shè)備端口號(hào)、VLAN、QinQ雙VLAN、用戶(hù)終端IPv4/IP

5、v6地址、用戶(hù)終端MAC地址、無(wú)線SSID等硬件信息綁定認(rèn)證,支持綁定認(rèn)證自學(xué)習(xí)能力,簡(jiǎn)化管理維護(hù)工作。支持接入帳號(hào)與終端計(jì)算機(jī)名、域用戶(hù)身份信息綁定認(rèn)證,增強(qiáng)用戶(hù)認(rèn)證的安全性,防止接入帳號(hào)盜用和非法接入。,UAM組件的主要功能(2),支持多種接入及認(rèn)證方式,適合多種接入組網(wǎng)場(chǎng)景及應(yīng)用場(chǎng)景。支持與LDAP服務(wù)器、Windows域管理器、第三方郵件系統(tǒng)(必須支持LDAP協(xié)議)的統(tǒng)一認(rèn)證,避免用戶(hù)記憶多個(gè)用戶(hù)名和密碼。 Portal認(rèn)證

6、提供純Web、可溶解客戶(hù)端及iNode客戶(hù)端認(rèn)證方式。支持定制Portal認(rèn)證頁(yè)面或嵌入到第三方主頁(yè),可根據(jù)不同的端口組、SSID、終端操作系統(tǒng)推送不同的認(rèn)證頁(yè)面。支持NAT環(huán)境下的Portal認(rèn)證。(僅支持Portal網(wǎng)關(guān)與Portal服務(wù)器間存在NAT設(shè)備的情況,且只能使用iNode PC客戶(hù)端。) 為了使啞終端(IP電話、打印機(jī)等)接入網(wǎng)絡(luò)更便捷,系統(tǒng)提供了啞終端管理功能。系統(tǒng)預(yù)先根據(jù)啞終端的“MAC地址”等信息創(chuàng)建預(yù)生成賬號(hào)。

7、當(dāng)啞終端接入時(shí),系統(tǒng)自動(dòng)將預(yù)生成賬號(hào)轉(zhuǎn)為正式賬號(hào)與啞終端設(shè)備進(jìn)行綁定,使用“MAC地址”作為接入賬號(hào)進(jìn)行接入認(rèn)證。支持終端準(zhǔn)入控制(EAD)解決方案,確保所有接入網(wǎng)絡(luò)的用戶(hù)終端符合企業(yè)的安全策略。,UAM組件的主要功能(3),嚴(yán)格的權(quán)限控制手段,強(qiáng)化用戶(hù)接入控制管理 ?;谟脩?hù)的權(quán)限控制策略,可以為不同用戶(hù)定制不同網(wǎng)絡(luò)訪問(wèn)權(quán)限??梢钥刂朴脩?hù)的上網(wǎng)帶寬(QoS,需與H3C指定設(shè)備配合)、限制用戶(hù)的同時(shí)在線數(shù)、禁止用戶(hù)設(shè)置和使用代理服

8、務(wù)器、限制最大閑置時(shí)長(zhǎng),有效防止個(gè)別用戶(hù)對(duì)網(wǎng)絡(luò)資源的過(guò)度占用??蓪?duì)終端下發(fā)ACL、VLAN、QoS User Profile,限制用戶(hù)對(duì)內(nèi)部敏感服務(wù)器和外部非法網(wǎng)站的訪問(wèn)。可以限制用戶(hù)IP地址分配策略,防止IP地址盜用和沖突。監(jiān)控用戶(hù)認(rèn)證成功后的IP地址,若有變更則強(qiáng)制要求下線??梢韵拗朴脩?hù)的接入時(shí)段和接入?yún)^(qū)域,用戶(hù)只能在允許的時(shí)間和地點(diǎn)上網(wǎng)??梢韵拗平K端用戶(hù)使用多網(wǎng)卡、撥號(hào)網(wǎng)絡(luò),禁止修改終端MAC地址,防止內(nèi)部信息泄露。支持

9、對(duì)iNode客戶(hù)端版本的檢測(cè)并強(qiáng)制自動(dòng)升級(jí),防止iNode客戶(hù)端破解,確??蛻?hù)端的安全性。接入用戶(hù)網(wǎng)關(guān)配置,提供接入用戶(hù)網(wǎng)關(guān)IP、MAC地址配置信息。配合iNode客戶(hù)端實(shí)現(xiàn)防止本地受到假冒網(wǎng)關(guān)方式的ARP欺騙功能。,UAM組件的主要功能(4),詳盡的用戶(hù)監(jiān)控,強(qiáng)化對(duì)終端用戶(hù)的監(jiān)視控制 。iMC UAM提供強(qiáng)大的“黑名單”管理,可以將惡意猜測(cè)密碼的用戶(hù)加入黑名單,并可按MAC、IP地址跟蹤非法行為的來(lái)源。管理員可以實(shí)時(shí)監(jiān)控在線用

10、戶(hù),批量強(qiáng)制非法用戶(hù)下線。支持消息批量下發(fā),管理員可以向上網(wǎng)用戶(hù)批量發(fā)布通知消息,如“系統(tǒng)升級(jí),網(wǎng)絡(luò)將在10分中后切斷”、“您的密碼遭惡意試探,請(qǐng)注意保護(hù)密碼安全”等。iMC UAM記錄認(rèn)證失敗日志,便于定位用戶(hù)無(wú)法認(rèn)證通過(guò)的原因。提供接入明細(xì)日志,便于審計(jì)用戶(hù)的接入網(wǎng)絡(luò)記錄。iMC UAM基于智能管理平臺(tái)提供強(qiáng)大的終端拓?fù)涔芾砉δ?,拓?fù)鋱D融合了網(wǎng)絡(luò)設(shè)備和終端用戶(hù)監(jiān)視管理功能,可針對(duì)接入設(shè)備進(jìn)行在線用戶(hù)查詢(xún)、強(qiáng)制用戶(hù)下線、進(jìn)一步中

11、查看該設(shè)備所掛接的終端用戶(hù)及其安全狀態(tài)等多項(xiàng)操作。,UAM組件的主要功能(5),集中的接入用戶(hù)管理,簡(jiǎn)化管理員維護(hù)操作 。集中的接入用戶(hù)管理功能,對(duì)接入用戶(hù)實(shí)施分組管理,不同的用戶(hù)分組可以由不同的管理員管理。提供對(duì)接入用戶(hù)進(jìn)行批量操作,支持批量導(dǎo)入、修改、加入黑名單、注銷(xiāo)用戶(hù)、導(dǎo)出帳號(hào)等接入用戶(hù)相關(guān)的管理動(dòng)作集中化,界面對(duì)操作員來(lái)說(shuō)更友好、更美觀易用。支持同步LDAP用戶(hù),可自定義LDAP同步策略,通過(guò)手工或定時(shí)任務(wù)方式從LDAP

12、系統(tǒng)中同步用戶(hù)信息。接入用戶(hù)可使用自助服務(wù),帳號(hào)申請(qǐng)、查詢(xún)、修改都通過(guò)自助服務(wù)頁(yè)面完成,既提高效率,又減輕管理員的工作量。,UAM組件的主要功能(6),接入設(shè)備統(tǒng)一管理及運(yùn)行參數(shù)調(diào)整,適應(yīng)不同的應(yīng)用環(huán)境 。設(shè)備統(tǒng)一管理,支持H3C、3COM、華為、思科以及支持標(biāo)準(zhǔn)Radius協(xié)議的接入設(shè)備;統(tǒng)一管理設(shè)備管理用戶(hù),支持對(duì)設(shè)備管理用戶(hù)登錄設(shè)備的認(rèn)證和授權(quán)。支持限制登錄設(shè)備的用戶(hù)IP地址段,支持限制登錄設(shè)備的IP地址段。提供靈活的業(yè)務(wù)

13、參數(shù)配置,管理員可根據(jù)組網(wǎng)和運(yùn)營(yíng)環(huán)境進(jìn)行參數(shù)調(diào)節(jié)。,UAM組件的主要功能(6),穩(wěn)定可靠的保障機(jī)制,提供分布式部署能力,精細(xì)化的管理 。支持系統(tǒng)的雙機(jī)熱備、雙機(jī)冷備,提供可靠的逃生方案,支持Portal網(wǎng)關(guān)雙機(jī)。提供對(duì)操作員權(quán)限的精細(xì)化控制,不僅可以指定操作員可訪問(wèn)的功能范疇,也提供對(duì)功能項(xiàng)目的增、刪、改、查的操作控制。提供業(yè)務(wù)策略分組管理、接入設(shè)備分組管理、LDAP業(yè)務(wù)分組管理、Portal業(yè)務(wù)分組管理,從而支持管理員的業(yè)務(wù)分權(quán)

14、管理能力。提供多種統(tǒng)計(jì)報(bào)表:休眠帳號(hào)統(tǒng)計(jì)、帳號(hào)數(shù)月統(tǒng)計(jì)、平均在線用戶(hù)數(shù)統(tǒng)計(jì)、認(rèn)證失敗類(lèi)型統(tǒng)計(jì)、下線原因分類(lèi)統(tǒng)計(jì)、服務(wù)的用戶(hù)數(shù)統(tǒng)計(jì),滿(mǎn)足日常運(yùn)營(yíng)維護(hù)的需要。提供二次開(kāi)發(fā)接口,便于客戶(hù)第三方系統(tǒng)與UAM系統(tǒng)對(duì)接。提供將用戶(hù)相關(guān)信息,例如用戶(hù)上線信息,通過(guò)UDP方式發(fā)送給第三方系統(tǒng),第三方系統(tǒng)可以將信息轉(zhuǎn)化為短信或電子郵件發(fā)送給特定管理員。提供報(bào)修管理功能。當(dāng)終端用戶(hù)網(wǎng)絡(luò)出現(xiàn)故障時(shí),可通過(guò)自助平臺(tái)提交網(wǎng)絡(luò)報(bào)修單。網(wǎng)絡(luò)管理員則通過(guò)報(bào)修管理

15、對(duì)用戶(hù)報(bào)修單進(jìn)行集中處理,并可針對(duì)常見(jiàn)問(wèn)題進(jìn)行FAQ發(fā)布。,UAM組件介紹EAD解決方案介紹EAD解決方案與Cisco產(chǎn)品配合的應(yīng)用EAD解決方案的容災(zāi)方案,目錄,組網(wǎng)能力說(shuō)明,基于802.1x的組網(wǎng):接入層802.1x組網(wǎng)、第三方802.1x接入設(shè)備混合組網(wǎng);基于Portal的組網(wǎng):分支機(jī)構(gòu)出口Portal組網(wǎng)、認(rèn)證網(wǎng)關(guān)旁掛的Portal組網(wǎng)、總部入口的Portal組網(wǎng)、穿越NAT的Portal組網(wǎng);基于VPN的組網(wǎng);基于

16、WLAN的Portal組網(wǎng)。,主要的網(wǎng)絡(luò)接口、協(xié)議及兼容性說(shuō)明,iMC UAM主要與H3C設(shè)備共同組網(wǎng),與第三方支持802.1x的接入設(shè)備混合組網(wǎng)具有較好的兼容性。iMC UAM中主要的網(wǎng)絡(luò)協(xié)議包括:RADIUS 1.1 (H3C擴(kuò)展)PAPCHAPEAP-MD5 EAP-PAPEAP-TLSEAP-PEAP,基于802.1x組網(wǎng),接入層的802.1x組網(wǎng)設(shè)計(jì)在這種組網(wǎng)方案中,接入交換機(jī)啟用802.1x功能,并實(shí)現(xiàn)基于用

17、戶(hù)MAC地址或用戶(hù)接入端口的準(zhǔn)入控制。該組網(wǎng)中,準(zhǔn)入控制的執(zhí)行點(diǎn)在接入層交換機(jī)上,具有對(duì)不滿(mǎn)足身份認(rèn)證的用戶(hù)隔離嚴(yán)格的特點(diǎn),可以有效防止來(lái)自企業(yè)網(wǎng)絡(luò)內(nèi)部的安全威脅。這種組網(wǎng)方案要求接入交換機(jī)支持802.1x功能。,基于802.1x組網(wǎng),第三方802.1x接入設(shè)備混合組網(wǎng) 主要是通過(guò)H3C接入設(shè)備與第三方支持標(biāo)準(zhǔn)802.1x接入設(shè)備混合組網(wǎng)的方式。在此組網(wǎng)方案中,接入交換機(jī)啟用802.1x功能,iMC UAM主要是針對(duì)用戶(hù)進(jìn)行標(biāo)準(zhǔn)的80

18、2.1x認(rèn)證功能,由于各廠家的設(shè)備差異,無(wú)法提供完整的ACL、VLAN下發(fā)隔離功能。若第三方設(shè)備支持802.1x的guest-VLAN特性,可通過(guò)guest-VLAN特性控制用戶(hù)的認(rèn)證前后訪問(wèn)權(quán)限。,基于Portal組網(wǎng) (一),,,,,iMC Server,Portal BAS,L2 Switch,,Gateway,,基于Portal組網(wǎng) (二),,,,,Portal BAS,L3 Switch,Gateway,iMC Server,

19、,基于Portal組網(wǎng) (三),,,,,iMC Server,Portal BAS,L2 Switch,,Gateway,,,,,,,,,,基于Portal組網(wǎng) (四),,,,,ACPortal BAS,AP,iMC Server,Gateway,Trunk,,VLAN 1,,,VLAN 2,VLAN 10,Portal認(rèn)證與802.1x認(rèn)證的比較,Portal認(rèn)證相對(duì)于802.1x認(rèn)證的優(yōu)勢(shì)支持網(wǎng)頁(yè)方式認(rèn)證,免客戶(hù)端安裝部署方式

20、靈活、快捷,適合舊網(wǎng)改造Portal認(rèn)證的不足之處沒(méi)有802.1x認(rèn)證對(duì)客戶(hù)端的控制嚴(yán)格,EAD解決方案定義,EAD解決方案定義終端準(zhǔn)入控制( End User Admission Domination )解決方案從最終用戶(hù)的安全控制入手,對(duì)接入網(wǎng)絡(luò)的終端實(shí)施企業(yè)安全準(zhǔn)入策略。EAD解決方案集成了網(wǎng)絡(luò)準(zhǔn)入、終端安全、桌面管理三大功能,幫助維護(hù)人員控制終端用戶(hù)的網(wǎng)絡(luò)使用行為,確保網(wǎng)絡(luò)安全。,終端用戶(hù)安全接入四步曲,安全檢查不合格進(jìn)

21、入隔離區(qū)修復(fù),隔離區(qū),,安全檢查,,合法用戶(hù),非法用戶(hù)拒絕入網(wǎng),,,,,身份認(rèn)證,接入請(qǐng)求,你是誰(shuí)?,企業(yè)網(wǎng)絡(luò),,動(dòng)態(tài)授權(quán),合格用戶(hù),不同用戶(hù)享受不同的網(wǎng)絡(luò)使用權(quán)限,你安全嗎?,你可以做什么?,你在做什么?,EAD解決方案的業(yè)務(wù)架構(gòu),,,,,,EAD解決方案的軟件架構(gòu),所有業(yè)務(wù)組件均基于iMC平臺(tái)安裝,用于實(shí)現(xiàn)各種業(yè)務(wù)。 EAD組件基于UAM組件安裝。UAM組件包含有:RADIUS服務(wù)器、策略服務(wù)器以及策略代理服務(wù)器、Porta

22、l組件EAD組件包含有:EAD前臺(tái)配置頁(yè)面、桌面資產(chǎn)管理服務(wù)器以及桌面資產(chǎn)管理代理,iMC智能管理平臺(tái)(網(wǎng)元、告警、性能、資源),UAM組件,EAD組件,UBA組件,NTA組件,WSM組件,MVM組件,EAD基本認(rèn)證流程,,iNode客戶(hù)端,,iMC服務(wù)器,1. iNode客戶(hù)端發(fā)起認(rèn)證請(qǐng)求,5. iNode客戶(hù)端執(zhí)行安全策略并上報(bào)安全檢查結(jié)果,6. 服務(wù)服務(wù)器下發(fā)檢查結(jié)果、修復(fù)策略以及設(shè)置在線監(jiān)控任務(wù)等,3. iNode客戶(hù)端請(qǐng)求

23、安全檢查項(xiàng),4. 服務(wù)器下發(fā)安全檢查項(xiàng),,,第三方服務(wù)器用于修復(fù)終端安全隱患,Internet,安全聯(lián)動(dòng)設(shè)備,,,,,,,,,2. 身份認(rèn)證成功,通知客戶(hù)端進(jìn)行安全檢查,802.1x認(rèn)證流程-PAP/CHAP,,,,,,,,,,,,,,,,,,,,EAPoL-Start,EAP-Request/identity,EAP-Responset/identity,Access Request,EAP-Request/MD5-Challeng

24、e,EAP-Response/MD5-Password,Access Success(Radius Code=2,隔離ACL),Accounting Request,Accounting Response,EAP-Success,,安全檢查請(qǐng)求,下發(fā)檢查項(xiàng),上報(bào)檢查結(jié)果,監(jiān)控/修復(fù)策略下發(fā),iNode客戶(hù)端,H3C設(shè)備,iMC EAD,安全策略服務(wù)器,,,,EAP(code=10),EAP(code=10),Session Contro

25、l (Radius code=20,安全ACL),802.1x認(rèn)證流程-EAP MD5,,,,,,,,,,,,,,,,,,,,,EAPoL-Start,EAP-Request/identity,EAP-Responset/identity,Access Request,Access Challenge(Proxy ip&port),EAP-Request/MD5-Challenge,EAP-Response/MD5-Passwo

26、rd,Access Request,Access Success,Accounting Request,Accounting Response,EAP-Success,,安全檢查請(qǐng)求,下發(fā)檢查項(xiàng),上報(bào)檢查結(jié)果,監(jiān)控/修復(fù)策略下發(fā),iNode客戶(hù)端,第三方設(shè)備,iMC EAD,安全策略服務(wù)器,EAD業(yè)務(wù)的基本配置流程,基本配置流程如下,按照箭頭方向依次配置即可,流量監(jiān)控,為了對(duì)終端用戶(hù)的網(wǎng)絡(luò)流量進(jìn)行監(jiān)控,EAD解決方案支持異常流量監(jiān)控特性

27、。管理員設(shè)置終端用戶(hù)流量閾值,iNode客戶(hù)端根據(jù)安全策略服務(wù)器的指令,打開(kāi)流量監(jiān)控功能,實(shí)現(xiàn)異常上報(bào)并根據(jù)安全策略服務(wù)器的指令對(duì)用戶(hù)采取相應(yīng)的動(dòng)作。,終端安全軟件策略管理,終端安全軟件策略包括:防病毒軟件策略、防間諜軟件策略、防火墻軟件策略、防釣魚(yú)軟件策略、硬盤(pán)加密軟件策略。設(shè)置接入用戶(hù)需要安裝和運(yùn)行的終端安全軟件的種類(lèi),以確保終端用戶(hù)接入網(wǎng)絡(luò)后最大限度的免受攻擊和侵害。,終端安全軟件策略管理(1),防病毒軟件策略,終端安全軟件策略管

28、理(2),防間諜軟件策略,終端安全軟件策略管理(3),防火墻軟件策略,終端安全軟件策略管理(4),防釣魚(yú)軟件策略,終端安全軟件策略管理(5),硬盤(pán)加密軟件策略,軟件補(bǔ)丁管理,與微軟補(bǔ)丁服務(wù)器WSUS Server或SMS Server聯(lián)動(dòng)進(jìn)行軟件補(bǔ)丁檢查(自動(dòng)強(qiáng)制升級(jí))。 自定義系統(tǒng)軟件補(bǔ)丁檢查,可針對(duì)系統(tǒng)軟件的不同版本自定義補(bǔ)丁檢查策略??蛻?hù)端上線后定期檢測(cè)補(bǔ)丁,此時(shí)間間隔由策略服務(wù)器參數(shù)“補(bǔ)丁檢查間隔時(shí)長(zhǎng)”確定,軟件補(bǔ)丁管理,i

29、MC EAD補(bǔ)丁管理提供了另外一種分級(jí)的管理方式,即iMC EAD僅負(fù)責(zé)檢查終端用戶(hù)的計(jì)算機(jī)上是否安裝和運(yùn)行了專(zhuān)業(yè)的補(bǔ)丁管理軟件,再由補(bǔ)丁管理軟件負(fù)責(zé)檢查計(jì)算機(jī)的補(bǔ)丁是否合格。iMC EAD目前不支持管理員自定義補(bǔ)丁管理軟件,即只支持列表中缺省羅列的幾款軟件。,可控軟件組管理,監(jiān)控軟件安裝、進(jìn)程運(yùn)行、服務(wù)運(yùn)行和特定文件。對(duì)于同一軟件組內(nèi)的多條內(nèi)容,只要其中有一條符合檢查要求,則認(rèn)為整個(gè)組檢查成功。,注冊(cè)表監(jiān)控,監(jiān)控指定的注冊(cè)表項(xiàng)中是否

30、存在特性鍵名及鍵值。,操作系統(tǒng)密碼監(jiān)控,通過(guò)字典文件的方式,檢查操作系統(tǒng)密碼是否為字典文件中記錄的弱密碼。,目錄共享策略管理,該功能用于對(duì)本地共享進(jìn)行監(jiān)控。,遠(yuǎn)程桌面連接,提供了對(duì)在線用戶(hù)進(jìn)行遠(yuǎn)程登錄的功能。網(wǎng)絡(luò)管理員可以通過(guò)遠(yuǎn)程連接功能對(duì)遠(yuǎn)程終端用戶(hù)的電腦進(jìn)行維護(hù)和管理。,EAD的五種安全級(jí)別,監(jiān)控模式無(wú)論安全檢查結(jié)果如何,都提示用戶(hù)通過(guò)安全檢查,不彈出安全檢查結(jié)果頁(yè)面,不對(duì)用戶(hù)做任何限制。只在服務(wù)器一側(cè)記錄檢查結(jié)果以備之后審計(jì)。

31、VIP模式若安全檢查不通過(guò)則會(huì)提示用戶(hù)存在安全隱患,但不對(duì)用戶(hù)采取任何動(dòng)作,不彈出安全檢查結(jié)果頁(yè)面。隔離模式若安全檢查不通過(guò),通知安全聯(lián)動(dòng)設(shè)備限制用戶(hù)只能訪問(wèn)隔離區(qū)資源。下線模式若安全檢查不通過(guò),將用戶(hù)強(qiáng)制下線。訪客模式特殊的下線模式,缺省設(shè)置了“不安全提示閾值”。,安全級(jí)別,安全級(jí)別是一組安全檢查項(xiàng)的集合安全檢查不通過(guò)時(shí),最終執(zhí)行何種模式的策略取決于未通過(guò)的檢查項(xiàng)中最嚴(yán)格的模式不安全提示閾值的功能只能與隔離模式或下線

32、模式配合使用,安全策略,引用安全級(jí)別,使能各項(xiàng)安全檢查策略,配置動(dòng)態(tài)ACL下發(fā)除了使能這些安全檢查策略之外,需要注意同時(shí)使能實(shí)時(shí)監(jiān)控的功能,服務(wù),服務(wù)是最終用戶(hù)使用網(wǎng)絡(luò)的一個(gè)途徑,它由預(yù)先定義的一組網(wǎng)絡(luò)使用特性組成,其中具體包括基本信息、授權(quán)信息、認(rèn)證綁定信息、用戶(hù)客戶(hù)端配置和授權(quán)用戶(hù)分組等。 在服務(wù)配置中引用已有的安全策略。,策略服務(wù)器參數(shù)配置,在“業(yè)務(wù)”?“EAD業(yè)務(wù)”?“系統(tǒng)參數(shù)配置”中修改策略服務(wù)器參數(shù)配置,用戶(hù)分組,用戶(hù)分

33、組不再和服務(wù)關(guān)聯(lián),而是只和操作員關(guān)聯(lián)。 針對(duì)特定的用戶(hù)分組執(zhí)行特定的策略。與指定用戶(hù)分組關(guān)聯(lián)的操作員才能管理該分組內(nèi)的用戶(hù)以及產(chǎn)生的相關(guān)用戶(hù)信息。,業(yè)務(wù)分組,將一些個(gè)性化策略歸入指定的業(yè)務(wù)分組,只有與該業(yè)務(wù)分組關(guān)聯(lián)的操作員,才能夠管理該業(yè)務(wù)分組中的策略。,基于iNode客戶(hù)端的ACL下發(fā),傳統(tǒng)的基于設(shè)備的ACL下發(fā)方式:并非所有設(shè)備都支持ACL下發(fā)設(shè)備的ACL資源有限用戶(hù)區(qū)分的角色越多,設(shè)備上的ACL配置越復(fù)雜無(wú)法通過(guò)服務(wù)器

34、直接查看下發(fā)的ACL中所包含的具體規(guī)則,基于iNode客戶(hù)端的ACL下發(fā),,iNode客戶(hù)端,,1. iNode客戶(hù)端發(fā)起認(rèn)證請(qǐng)求,7. iNode客戶(hù)端執(zhí)行安全策略并上報(bào)安全檢查結(jié)果,8. 服務(wù)服務(wù)器下發(fā)檢查結(jié)果、修復(fù)策略以及設(shè)置在線監(jiān)控任務(wù)等,3. iNode客戶(hù)端主動(dòng)請(qǐng)求安全檢查項(xiàng)聲明支持ACL下發(fā)特性,4. 服務(wù)器下發(fā)安全檢查項(xiàng)提示客戶(hù)端請(qǐng)求ACL,,,第三方服務(wù)器用于修復(fù)終端安全隱患,Internet,安全聯(lián)動(dòng)設(shè)備,,,

35、,,,,,,2. 身份認(rèn)證成功,通知客戶(hù)端進(jìn)行安全檢查,,5. 客戶(hù)端主動(dòng)請(qǐng)求ACL,iMC服務(wù)器,,6. 同時(shí)下發(fā)隔離ACL和安全ACL(包含所有規(guī)則),基于iNode客戶(hù)端的ACL下發(fā),配置ACL策略,基于iNode客戶(hù)端的ACL下發(fā),在安全策略中引用ACL,部署客戶(hù)端ACL特性的條件,客戶(hù)端必須為支持此特性的iNode版本且定制時(shí)啟用了該特性?xún)H限802.1X和Portal認(rèn)證,防內(nèi)網(wǎng)外聯(lián),基于客戶(hù)端ACL功能,實(shí)現(xiàn)了防內(nèi)網(wǎng)外聯(lián)功

36、能iNode認(rèn)證前所有網(wǎng)卡都是邏輯上關(guān)閉的,會(huì)過(guò)濾除DHCP外的所有IP報(bào)文認(rèn)證通過(guò)后僅認(rèn)證網(wǎng)卡放開(kāi),其他網(wǎng)卡仍然關(guān)閉僅限802.1x和Portal認(rèn)證方式,思考:VPN認(rèn)證方式是否有必要支持此特性?為何不能過(guò)濾DHCP報(bào)文?,混合組網(wǎng)特性的由來(lái),使用RADIUS報(bào)文控制在線用戶(hù)列表需要考慮:EAD安全認(rèn)證依賴(lài)于RADIUS身份認(rèn)證建立的在線表,而RADIUS在線表需要接入設(shè)備支持發(fā)送計(jì)費(fèi)開(kāi)始和計(jì)費(fèi)結(jié)束報(bào)文。在沒(méi)有EAP

37、心跳機(jī)制和不支持計(jì)費(fèi)更新報(bào)文的環(huán)境下,容易出現(xiàn)在線用戶(hù)列表中用戶(hù)掛死的現(xiàn)象。即使與支持計(jì)費(fèi)更新包的第三方設(shè)備配合,通常也無(wú)法支持通過(guò)計(jì)費(fèi)更新包下發(fā)的剩余上網(wǎng)時(shí)長(zhǎng)等信息,從而無(wú)法準(zhǔn)確控制在線用戶(hù)。雖然在線重認(rèn)證可以在一定程度上代替EAP心跳和計(jì)費(fèi)更新包,但各廠家實(shí)現(xiàn)各不相同,難以統(tǒng)一處理,可能引發(fā)其他問(wèn)題隱患。,混合組網(wǎng)特性原理,RADIUS身份認(rèn)證通過(guò)后,客戶(hù)端獲取到安全檢查代理的IP和端口后即發(fā)起安全認(rèn)證。由策略服務(wù)器根據(jù)

38、安全認(rèn)證/心跳/下線報(bào)文維持在線表。UAM后臺(tái)對(duì)于計(jì)費(fèi)報(bào)文或重認(rèn)證報(bào)文僅做檢測(cè)和回應(yīng),不再更新或刪除在線表。通過(guò)EAD心跳回應(yīng)報(bào)文返回用戶(hù)剩余上網(wǎng)時(shí)長(zhǎng)(接入時(shí)段限制、在線加入黑名單、用戶(hù)被從在線表刪除等),以精確控制在線用戶(hù)。,配置混合組網(wǎng)特性,該特性基于接入設(shè)備實(shí)現(xiàn),同一個(gè)接入設(shè)備的所有用戶(hù)要么啟用要么不啟用僅限802.1X認(rèn)證思考:為什么portal認(rèn)證不能使用混合組網(wǎng)?,部署混合組網(wǎng)特性的注意事項(xiàng),對(duì)于可

39、以很好支持RADIUS計(jì)費(fèi)(含開(kāi)始、結(jié)束、更新)報(bào)文的設(shè)備不建議啟用該特性。網(wǎng)絡(luò)環(huán)境復(fù)雜,而iNode又是基于操作系統(tǒng)安裝,EAD心跳丟失的可能性比RADIUS報(bào)文丟失的可能性大的多混合組網(wǎng)環(huán)境下,服務(wù)器動(dòng)用老化功能來(lái)清理在線用戶(hù)列表的機(jī)會(huì)比傳統(tǒng)環(huán)境下大的多,因此建議在混合組網(wǎng)環(huán)境下適當(dāng)放寬對(duì)同一帳號(hào)的在線用戶(hù)數(shù)量限制。,EAD分級(jí)部署特性的由來(lái),典型的大型網(wǎng)絡(luò)結(jié)構(gòu)是一個(gè)總部下轄多個(gè)分支,而分支下面可能還有分支,各分支之間及與總部

40、間網(wǎng)絡(luò)相對(duì)獨(dú)立,各自有一批網(wǎng)管人員在維護(hù)??偛肯M芙o分支機(jī)構(gòu)確定安全策略,讓各分支應(yīng)用而不能隨意修改。各分支的匯總信息能以報(bào)表的形式上報(bào)給總部。,分級(jí)部署架構(gòu),使用EAD分級(jí)特性前的注意事項(xiàng),EAD分級(jí)特性是EAD組件的特性,僅部署UAM組件是沒(méi)有分級(jí)管理功能的。EAD分級(jí)特性依賴(lài)于ETL數(shù)據(jù)分析服務(wù)器組件及報(bào)表組件。EAD分級(jí)管理的實(shí)施應(yīng)該是自上而下進(jìn)行部署。即先部署總部,在總部iMC系統(tǒng)中定義其下級(jí)節(jié)點(diǎn),并配置好預(yù)

41、計(jì)下發(fā)給下級(jí)節(jié)點(diǎn)的策略。,上級(jí)節(jié)點(diǎn)配置,定制安全策略及其相關(guān)的配置(防病毒軟件、補(bǔ)丁、可控軟件、流量監(jiān)控策略等)。定制服務(wù)并引用安全策略。配置下級(jí)節(jié)點(diǎn):IP、Port、管理員帳號(hào)和密碼。上下級(jí)間的通信是通過(guò)WEB Service實(shí)現(xiàn)的。,上級(jí)節(jié)點(diǎn)配置,以“服務(wù)”為單元給下級(jí)節(jié)點(diǎn)下發(fā)配置。該服務(wù)所引用的各種策略(主要指安全策略)及策略引用的策略(流量監(jiān)控策略、補(bǔ)丁、可控軟件、防病毒軟件等)都會(huì)下發(fā)給下級(jí)節(jié)點(diǎn)。,策略分發(fā)的原則,支持每日

42、定時(shí)自動(dòng)分發(fā)和手工分發(fā)。首先比較策略更新時(shí)間和上次成功下發(fā)的時(shí)間,如果策略更新時(shí)間較新則下發(fā)。策略會(huì)逐級(jí)下發(fā)下去,中間一級(jí)只能將上一級(jí)的策略直接下發(fā)給下級(jí),不能跨級(jí)分發(fā)。,下級(jí)節(jié)點(diǎn)配置,上級(jí)結(jié)點(diǎn)是在下發(fā)時(shí)自動(dòng)配置上的,如果上級(jí)結(jié)點(diǎn)IP地址發(fā)生改變時(shí)才需要修改。,下級(jí)節(jié)點(diǎn)配置,下級(jí)結(jié)點(diǎn)上報(bào)匯總數(shù)據(jù)的配置。,分級(jí)報(bào)表管理,查看安全日志匯總統(tǒng)計(jì)報(bào)表,下級(jí)節(jié)點(diǎn)的工作和限制,下級(jí)節(jié)點(diǎn)不能增加/刪除服務(wù)、安全策略和安全級(jí)別,絕大多數(shù)配置也不能修改

43、。下級(jí)節(jié)點(diǎn)不能增加/修改/刪除補(bǔ)丁、注冊(cè)表監(jiān)控策略、流量監(jiān)控策略、防病毒軟件等信息。下級(jí)節(jié)點(diǎn)不能修改/刪除下發(fā)的可控軟件組,但可以新增,并且可以對(duì)安全級(jí)別本地新增的可控軟件組對(duì)應(yīng)的處理方式進(jìn)行修改。下級(jí)節(jié)點(diǎn)可以修改安全策略中配置的ACL以及服務(wù)器地址等個(gè)性化的內(nèi)容。,下級(jí)節(jié)點(diǎn)的工作和限制,下級(jí)節(jié)點(diǎn)可以修改服務(wù)中的授權(quán)信息,如下發(fā)VLAN信息。若最近一次下發(fā)的服務(wù)中沒(méi)有包含當(dāng)前用戶(hù)已申請(qǐng)的服務(wù),則該狀態(tài)變?yōu)椤盁o(wú)效”,申請(qǐng)?jiān)?/p>

44、服務(wù)的用戶(hù)無(wú)法通過(guò)認(rèn)證。除服務(wù)外,其他之前曾經(jīng)下發(fā)而最近一次沒(méi)有下發(fā)的內(nèi)容(安全策略、補(bǔ)丁、可控軟件組等)都會(huì)被刪除。接入時(shí)段策略和接入?yún)^(qū)域策略不下發(fā)。同名的服務(wù)、安全策略、安全級(jí)別下發(fā)后,會(huì)更新不可修改的項(xiàng)。下級(jí)節(jié)點(diǎn)不再支持業(yè)務(wù)分權(quán)。,漫游特性的由來(lái),在EAD分級(jí)環(huán)境中,不同節(jié)點(diǎn)所管理的用戶(hù)具有流動(dòng)性,當(dāng)A節(jié)點(diǎn)的用戶(hù)到B節(jié)點(diǎn)出差時(shí),希望能不在B節(jié)點(diǎn)增加相關(guān)的帳號(hào)信息就可以接入到網(wǎng)絡(luò)并能做身份認(rèn)證和安全檢查。雖然在B

45、節(jié)點(diǎn)上開(kāi)始來(lái)賓帳號(hào)可以解決上面問(wèn)題,但來(lái)賓帳號(hào)無(wú)法區(qū)分用戶(hù)的身份,給管理和審計(jì)帶來(lái)不便。用戶(hù)在B節(jié)點(diǎn)認(rèn)證時(shí),B節(jié)點(diǎn)根據(jù)其身份(帶了A節(jié)點(diǎn)的某種標(biāo)識(shí))將其身份認(rèn)證請(qǐng)求發(fā)送到A節(jié)點(diǎn),由A節(jié)點(diǎn)進(jìn)行身份校驗(yàn)。這就是所謂的“漫游”。通常將B節(jié)點(diǎn)稱(chēng)之為漫游地服務(wù)器,而A節(jié)點(diǎn)稱(chēng)之為歸屬地服務(wù)器。,漫游地服務(wù)器配置,使能漫游地服務(wù)器的漫游功能。,漫游地服務(wù)器配置,配置漫游域信息,漫游地服務(wù)器配置,配置漫游域信息,同時(shí)定義認(rèn)證及計(jì)費(fèi)漫游,漫游地服

46、務(wù)器配置,配置漫游域信息下面的示例表示漫游地服務(wù)器如果收到用戶(hù)名攜帶域名后綴為roam的認(rèn)證請(qǐng)求則直接轉(zhuǎn)給IP地址為10.153.128.90的歸屬地服務(wù)器處理。,歸屬地服務(wù)器配置,添加漫游地服務(wù)器下面的示例表示將漫游地服務(wù)器10.153.128.107作為歸屬地服務(wù)器的一臺(tái)認(rèn)證接入設(shè)備添加進(jìn)來(lái),需確保與漫游地配置的密鑰一致。,漫游中的身份認(rèn)證和安全認(rèn)證,屬于A節(jié)點(diǎn)的用戶(hù)a到B節(jié)點(diǎn)的網(wǎng)絡(luò)中認(rèn)證時(shí),接入設(shè)備將認(rèn)證請(qǐng)求發(fā)送給B節(jié)點(diǎn),B節(jié)

47、點(diǎn)再通過(guò)RADIUS-proxy功能將其轉(zhuǎn)給A節(jié)點(diǎn)校驗(yàn),完成身份驗(yàn)證。在做身份認(rèn)證漫游時(shí),B節(jié)點(diǎn)將本地的安全代理的IP和端口下發(fā)給iNode客戶(hù)端,iNode到B節(jié)點(diǎn)上做安全認(rèn)證。由于B節(jié)點(diǎn)上沒(méi)有用戶(hù)a的用戶(hù)信息,因此需要在B上設(shè)置一個(gè)“缺省安全策略”,所有漫游用戶(hù)都用該安全策略進(jìn)行安全認(rèn)證。漫游過(guò)程中2個(gè)節(jié)點(diǎn)都會(huì)有該用戶(hù)的在線信息。Portal和802.1X都可以實(shí)現(xiàn)漫游,安全檢查相關(guān)參數(shù)(一),在“接入業(yè)務(wù)”?“業(yè)務(wù)

48、參數(shù)配置”?“系統(tǒng)配置”中可以修改系統(tǒng)運(yùn)行的各項(xiàng)參數(shù),安全檢查相關(guān)參數(shù)(二),“系統(tǒng)參數(shù)配置”中的客戶(hù)端防破解主要解決破解客戶(hù)端問(wèn)題,需要接入設(shè)備,客戶(hù)端配合,一般推薦禁用,安全檢查相關(guān)參數(shù)(三),運(yùn)行參數(shù)可以修改UAM組件的日志級(jí)別,在問(wèn)題定位處理時(shí)需要調(diào)整由于調(diào)試日志對(duì)系統(tǒng)性能消耗較大,一般情況下建議恢復(fù)為警告級(jí)別,安全檢查相關(guān)參數(shù)(四),“EAD業(yè)務(wù)”?“業(yè)務(wù)參數(shù)配置”下可以調(diào)整策略服務(wù)器的運(yùn)行參數(shù)修改完畢后須選擇“系統(tǒng)配置手

49、工生效”,以使修改生效,DAM簡(jiǎn)介,桌面資產(chǎn)管理(Desktop Asset Management)主要關(guān)注于企業(yè)的信息安全,可以對(duì)終端進(jìn)行全方位的監(jiān)控,保證用戶(hù)只能合理合法的使用公司的信息資源,并提供實(shí)時(shí)和事后的審計(jì)。,DAM軟件架構(gòu),DAM Agent駐留在桌面機(jī)操作系統(tǒng)中,執(zhí)行相關(guān)的DAM策略,采集終端的軟硬件資產(chǎn)信息;監(jiān)控一些敏感資產(chǎn)的變更;執(zhí)行軟件分發(fā)、外設(shè)管理任務(wù)。DAM Proxy負(fù)責(zé)轉(zhuǎn)發(fā)iNode客戶(hù)端桌面服務(wù)器的交互

50、報(bào)文。DAM Server 負(fù)責(zé)向客戶(hù)端下發(fā)桌面安全相關(guān)策略,接受客戶(hù)端上報(bào)的相關(guān)信息,并存入數(shù)據(jù)庫(kù)中。,DAM功能概述,資產(chǎn)管理資產(chǎn)注冊(cè)資產(chǎn)查詢(xún)資產(chǎn)變更管理軟件分發(fā)FTP方式HTTP方式文件共享方式外設(shè)管理U盤(pán)的拔插、寫(xiě)入監(jiān)控禁用USB、光驅(qū)、軟驅(qū)、串口、并口、紅外、藍(lán)牙、1394、Modem,資產(chǎn)注冊(cè)(一),配置資產(chǎn)編號(hào)的生成方式支持手工資產(chǎn)編號(hào)和自動(dòng)資產(chǎn)編號(hào)兩種方式,資產(chǎn)注冊(cè)(二),以手工生成資產(chǎn)編號(hào)為例

51、終端第一次上線時(shí)提示輸入資產(chǎn)編號(hào),必須與服務(wù)器上已錄入的編號(hào)一致服務(wù)器返回該資產(chǎn)編號(hào)對(duì)應(yīng)的資產(chǎn)信息,由終端確認(rèn)后完成注冊(cè),資產(chǎn)查詢(xún)與統(tǒng)計(jì)(一),查詢(xún)已注冊(cè)的資產(chǎn)詳細(xì)信息,包括操作系統(tǒng)信息、硬件信息、屏保信息、分區(qū)列表、邏輯磁盤(pán)列表、軟件列表、補(bǔ)丁列表、進(jìn)程列表、服務(wù)列表以及共享列表。,資產(chǎn)查詢(xún)與統(tǒng)計(jì)(二),支持按多種分類(lèi)方式統(tǒng)計(jì)資產(chǎn)信息并顯示報(bào)表支持統(tǒng)計(jì)資產(chǎn)的軟件安裝情況,資產(chǎn)變更管理,支持軟硬件資產(chǎn)信息變更的檢查和上報(bào),軟件分發(fā)(

52、一),配置軟件分發(fā)服務(wù)器配置軟件分發(fā)任務(wù),軟件分發(fā)(二),iNode客戶(hù)端下載安裝程序完成后彈出軟件分發(fā)管理的提示窗口,用戶(hù)也可以手工從客戶(hù)端上查看雙機(jī)軟件分發(fā)管理中的文件名稱(chēng)開(kāi)始安裝,USB監(jiān)控,記錄使用USB的時(shí)間記錄寫(xiě)入U(xiǎn)SB的文件,外設(shè)管理(一),配置外設(shè)管理策略,選擇需要禁用的外設(shè)將外設(shè)管理策略與資產(chǎn)分組關(guān)聯(lián),外設(shè)管理(二),手工啟用已經(jīng)被外設(shè)管理策略禁用的設(shè)備后,將產(chǎn)生外設(shè)違規(guī)記錄,業(yè)務(wù)參數(shù)配置,資產(chǎn)編號(hào)方式資產(chǎn)變

53、更掃描間隔時(shí)長(zhǎng)心跳相關(guān)參數(shù)資產(chǎn)策略請(qǐng)求間隔時(shí)長(zhǎng),桌面資產(chǎn)管理相關(guān)參數(shù),“桌面資產(chǎn)業(yè)務(wù)”?“業(yè)務(wù)參數(shù)配置”可以對(duì)桌面資產(chǎn)業(yè)務(wù)的參數(shù)進(jìn)行調(diào)整,UAM組件介紹EAD解決方案介紹EAD解決方案與Cisco產(chǎn)品配合的應(yīng)用EAD解決方案的容災(zāi)方案,目錄,與思科設(shè)備配合的注意事項(xiàng)(一),當(dāng)前Cisco版本不支持基于MAC地址的802.1X認(rèn)證方式,僅支持基于端口的802.1X認(rèn)證方式;需要注意一點(diǎn),Cisco設(shè)備基于端口的802.1X認(rèn)證方

54、式下,接入端口可以配置兩種Dot1x主機(jī)模式(single-host和multi-host);默認(rèn)配置為single-host模式時(shí),同一接入端口不允許下掛有多臺(tái)主機(jī),否則Cisco設(shè)備會(huì)自動(dòng)檢測(cè)并關(guān)閉端口;當(dāng)配置為multi-host模式時(shí),同一接入端口可以下掛多臺(tái)主機(jī),但只要有一臺(tái)主機(jī)上的用戶(hù)通過(guò)802.1X認(rèn)證及EAD安全檢查,則該端口下掛的其他所有主機(jī)將擁有訪問(wèn)網(wǎng)絡(luò)的同等權(quán)限,網(wǎng)絡(luò)安全存在隱患;,與思科設(shè)備配合的注意事項(xiàng)(二),

55、目前Cisco設(shè)備必須支持aaa accounting dot1x default start-stop group radius命令才能夠支持EAD,否則無(wú)法實(shí)現(xiàn)安全檢查(包括其他與策略服務(wù)器相關(guān)的功能)Cisco設(shè)備可以通過(guò)配置aaa accounting update periodic命令來(lái)啟用/設(shè)置計(jì)費(fèi)報(bào)文的更新時(shí)間,但大部分早期版本的Cisco交換機(jī)并不支持該命令。缺少計(jì)費(fèi)更新包的交互,缺省情況下將導(dǎo)致在線用戶(hù)列表老化后刪除

56、。必須在添加接入設(shè)備時(shí)將設(shè)備類(lèi)型選為“思科”,與思科設(shè)備配合的注意事項(xiàng)(三),當(dāng)認(rèn)證客戶(hù)端上線后,Cisco設(shè)備不提供與802.1X客戶(hù)端的EAP握手??蛻?hù)端異常退出(比如PC機(jī)掉電)后,交換機(jī)無(wú)法感知。即使依靠EAD心跳,服務(wù)器能夠感知到客戶(hù)端異常,但服務(wù)器仍無(wú)法通知交換機(jī)將用戶(hù)下線處理,并且也無(wú)法自行清除在線用戶(hù)列表。目前存在一定的安全隱患。,與思科設(shè)備配合的注意事項(xiàng)(四),Cisco接入交換機(jī)上可以通過(guò)配置多臺(tái)RADIUS服務(wù)器進(jìn)

57、行備份,按照配置順序從上到下依次查找可用的RADIUS服務(wù)器。除此之外,必須進(jìn)行額外的配置,否則無(wú)法實(shí)現(xiàn)主備切換。如下兩種解決方案選其一:配置radius-server deadtime,或者通過(guò)調(diào)整RADIUS請(qǐng)求重試間隔的參數(shù),將RADIUS服務(wù)器之間的切換時(shí)間控制在4秒內(nèi): radius-server retransmit 0 //Radius報(bào)文只重試一次 radius-server tim

58、eout 2 //每次重試間隔2秒鐘,與思科設(shè)備配合的注意事項(xiàng)(五),Guest-vlan的切換時(shí)間由端口下的dot1x timeout tx-period命令來(lái)控制,為提高用戶(hù)體驗(yàn),經(jīng)常將該參數(shù)改小,比如改為5秒; 端口下的dot1x timeout quiet-period命令用來(lái)控制終端認(rèn)證失敗后,該交換機(jī)端口靜默多長(zhǎng)時(shí)間才處理下一次認(rèn)證。為提高用戶(hù)體驗(yàn),經(jīng)常將該參數(shù)改小,比如改為3秒。,與思科設(shè)備配合的注意事項(xiàng)(六),在

59、配置客戶(hù)端802.1x連接參數(shù)時(shí)需要注意以下幾項(xiàng):更改報(bào)文類(lèi)型為“多播報(bào)文”取消勾選“超時(shí)重播90S”如果客戶(hù)端IP地址的四段十進(jìn)制數(shù)中,若有任何一段為0,則不能夠勾選“上傳IP地址”。但包含0沒(méi)有問(wèn)題的,比如1.0.1.1不能夠上傳,但1.10.1.1則可以。,UAM組件介紹EAD解決方案介紹EAD解決方案與Cisco產(chǎn)品配合的應(yīng)用EAD解決方案的容災(zāi)方案,目錄,逃生工具,用戶(hù)接入逃生工具(簡(jiǎn)稱(chēng)為“逃生工具”)是CAMS

60、/ iMC UAM后臺(tái)的替身。當(dāng)CAMS / iMC UAM出現(xiàn)諸如進(jìn)程宕掉、數(shù)據(jù)庫(kù)異常、性能下降等故障無(wú)法處理認(rèn)證或計(jì)費(fèi)請(qǐng)求時(shí),逃生工具暫時(shí)替代CAMS / iMC UAM處理請(qǐng)求報(bào)文以保障用戶(hù)的業(yè)務(wù)不中斷。逃生工具不驗(yàn)證用戶(hù)信息與用戶(hù)口令,不做綁定、授權(quán)處理,也不啟用安全認(rèn)證,對(duì)于請(qǐng)求報(bào)文都直接回應(yīng)成功。 逃生工具以后臺(tái)服務(wù)形式存在,操作系統(tǒng)重新啟動(dòng)后會(huì)自動(dòng)啟用逃生工具。,逃生工具的部署方式,逃生工具支持集中式部署(即和iMC U

61、AM部署于同一臺(tái)服務(wù)器上)和獨(dú)立部署(單獨(dú)部署在另一臺(tái)服務(wù)器上)。逃生工具和UAM監(jiān)聽(tīng)同樣的端口,所以當(dāng)集中式部署時(shí)只能啟動(dòng)兩者之一。獨(dú)立部署時(shí),建議將逃生工具所在服務(wù)器配置成和原服務(wù)器一樣的IP地址,并離線放置。當(dāng)出現(xiàn)故障時(shí)直接將原服務(wù)器的網(wǎng)線拔到逃生工具服務(wù)器上,就好像替換備件。不建議配置不同的IP做主備切換。獨(dú)立部署的好處是首先盡量避免主機(jī)操作系統(tǒng)或硬件故障帶來(lái)的影響,其次可以在主機(jī)出現(xiàn)故障時(shí)直接在現(xiàn)網(wǎng)環(huán)境下定位問(wèn)題,而不用

62、為了啟動(dòng)逃生而將UAM停止。這樣可以盡早定位問(wèn)題,恢復(fù)原服務(wù)器。,逃生工具的優(yōu)缺點(diǎn),優(yōu)點(diǎn)有低成本的容災(zāi)方案,實(shí)施及維護(hù)非常簡(jiǎn)單;一種簡(jiǎn)單易行的附加保險(xiǎn),即使是使用了其他容災(zāi)方案,仍然可以準(zhǔn)備一套逃生工具以備不時(shí)之需缺點(diǎn)有需要管理員及時(shí)發(fā)現(xiàn)故障并手工地切換使用逃生工具;用戶(hù)業(yè)務(wù)仍然會(huì)中斷;使用逃生工具期間,將損失認(rèn)證用戶(hù)的所有接入信息(日志,計(jì)費(fèi)信息等);由于逃生工具不對(duì)認(rèn)證請(qǐng)求做任何判斷,所以在使用逃生工具期間將存在一定的

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論