H3CEAD安全解決預(yù)案指導(dǎo)書

91/91H3CEAD安全解決方案指導(dǎo)書實(shí)施方案二零一零年十二月四日目錄1 EAD解決方案介紹 41.1 EAD系統(tǒng)介紹 42 EAD解決方案實(shí)施指導(dǎo) 52.1 802.1x認(rèn)證方式 52.1.1 協(xié)議綜述 52.1.2 802.1X認(rèn)證體系的結(jié)構(gòu) 52.1.3 802.1x典型組網(wǎng) 62.1.4 802.1x與其他認(rèn)證協(xié)議的簡單比較 92.2 Portal認(rèn)證方式 92.2.1 Portal協(xié)議概述 92.2.3 portal典型組網(wǎng) 122.2.4 portal協(xié)議旁掛方式認(rèn)證流程圖 142.2.5 portal兩種方式組網(wǎng)的優(yōu)缺點(diǎn) 152.3 L2TPVPNEAD 152.4 無線EAD 163 iNode客戶端安裝及配置 173.1 iNode客戶端軟件安裝的軟硬件環(huán)境需求 173.2 各種環(huán)境下iNode客戶端的安裝指導(dǎo) 183.2.1 802.1x環(huán)境下的iNode客戶端安裝過程 183.2.2 Portal環(huán)境下iNode軟件的安裝 213.2.3 l2tp環(huán)境下的iNode軟件的安裝 253.3 iNode終端配置 253.3.1 802.1x組網(wǎng)環(huán)境終端配置 253.3.2 Portal環(huán)境下客戶端設(shè)置 303.3.3 L2TP環(huán)境下iNode軟件的設(shè)置 334 接入設(shè)備端配置 374.1 8021x環(huán)境下接入層設(shè)備配置舉例 384.2 portal環(huán)境下接入設(shè)備的配置 424.3 L2tp－vpn終端設(shè)備配置 445 Radius服務(wù)器配置 475.1 802.1X服務(wù)器端配置 475.1.1 接入設(shè)備配置 475.1.2 EAD安全策略創(chuàng)建 495.1.3 創(chuàng)建服務(wù)，關(guān)聯(lián)創(chuàng)建的EAD安全策略 515.1.4 創(chuàng)建接入用戶，關(guān)聯(lián)服務(wù) 525.2 Portal環(huán)境下IMC(智能管理中心)端相應(yīng)配置 535.2.1 portal部分操作 535.2.2 增加安全策略 545.2.3 增加服務(wù),并關(guān)聯(lián)安全策略 555.2.4 創(chuàng)建接入用戶，關(guān)聯(lián)服務(wù) 55EAD解決方案介紹EAD系統(tǒng)介紹H3CEAD（EndpointAdmissionDefense，端點(diǎn)準(zhǔn)入防御）解決方案是一套融合網(wǎng)絡(luò)設(shè)備、用戶終端和第三方安全產(chǎn)品的全網(wǎng)安全體系框架，其目的是整合孤立的單點(diǎn)安全部件，形成完整的網(wǎng)絡(luò)安全體系，最終為用戶提供端到端的安全防護(hù)。iMCEAD組件是EAD解決方案的核心部件。通過這種防病毒軟件、安全客戶端、接入設(shè)備、iMC智能管理中心的整合，EAD解決方案能夠防止已感染病毒或存在系統(tǒng)漏洞的用戶終端對網(wǎng)絡(luò)中的其他用戶產(chǎn)生危害，保護(hù)缺乏防御能力的用戶因暴露在非安全的網(wǎng)絡(luò)中而受到威脅，避免來自網(wǎng)絡(luò)內(nèi)部的入侵；再配合傳統(tǒng)的防火墻或IDS設(shè)備，最大限度的防止非法入侵。在EAD解決方案的框架下，用戶的認(rèn)證過程可以分為兩個步驟：用戶身份認(rèn)證和安全認(rèn)證。用戶身份認(rèn)證在iMCUAM組件上進(jìn)行，通過用戶名和密碼來確定用戶是否合法。身份認(rèn)證通過后，用戶處在隔離區(qū)，與此同時發(fā)起安全認(rèn)證，安全認(rèn)證由iMCEAD組件完成。如果安全認(rèn)證通過，則用戶的隔離狀態(tài)被解除，可以正常訪問網(wǎng)絡(luò)資源；如果安全認(rèn)證不通過，則繼續(xù)隔離用戶，直到用戶完成相關(guān)修復(fù)操作后通過安全認(rèn)證為止。iMCEAD組件、iMC智能管理平臺組件（含UAM接入）必須與設(shè)備、客戶端、第三方服務(wù)器等配合才能形成完整的EAD解決方案。下圖是iMCEAD的結(jié)構(gòu)圖：EAD解決方案實(shí)施指導(dǎo)EAD安全解決方案適于各種網(wǎng)絡(luò)環(huán)境中的部署,針對現(xiàn)網(wǎng)中的各種復(fù)雜應(yīng)用環(huán)境和組網(wǎng)模式,H3C的EAD安全解決方案都提供了完善而有針對性解決方案,就目前應(yīng)用場景來說,最常見的組網(wǎng)模式大致有以下幾種:802.1x環(huán)境,Portal環(huán)境,L2tp環(huán)境.下面依次都各個組網(wǎng)模式進(jìn)行介紹，其中的無線認(rèn)證方式，是作為有線網(wǎng)絡(luò)的補(bǔ)充和延伸，客戶端的安裝，服務(wù)器端的設(shè)置是一樣的，做到了解即可。重點(diǎn)說明有線網(wǎng)絡(luò)環(huán)境下的EAD安全解決方案如何實(shí)施。802.1x認(rèn)證方式協(xié)議綜述IEEE802.1x稱為基于端口的訪問控制協(xié)議（Portbasednetworkaccesscontrolprotocol）。主要是為了解決局域網(wǎng)用戶的接入認(rèn)證問題。IEEE802.1x協(xié)議的體系結(jié)構(gòu)包括三個重要的部分：客戶端（SupplicantSystem）、認(rèn)證系統(tǒng)(AuthenticatorSystem)、認(rèn)證服務(wù)器(AuthenticationServerSystem)?？蛻舳擞脩敉ㄟ^啟動客戶端軟件發(fā)起802.1x協(xié)議的認(rèn)證,EAPOL報文經(jīng)過認(rèn)證系統(tǒng)的受控口和認(rèn)證服務(wù)器進(jìn)行認(rèn)證交互后，如通過認(rèn)證，則用戶接入網(wǎng)絡(luò)成功。802.1X認(rèn)證體系的結(jié)構(gòu)IEEE802.1X的體系結(jié)構(gòu)中包括三個主要部分SupplicantSystem——客戶端系統(tǒng)；AuthenticatorSystem——認(rèn)證系統(tǒng)；AuthenticationSeverSystem——認(rèn)證服務(wù)器系統(tǒng)。三者的關(guān)系如下圖：IEEE802.1X的體系結(jié)構(gòu)圖802.1x典型組網(wǎng)802.1X推薦的組網(wǎng)推薦的組網(wǎng)：組網(wǎng)說明：1．802.1x認(rèn)證起在接入層交換機(jī)上.2．采用二次ACL下發(fā)的方式（隔離acl,安全acl）來實(shí)現(xiàn)對安全檢查不合格的用戶進(jìn)行隔離，對安全檢查合格的用戶放行.3．由于是二次acl下發(fā)的方式，要求接入層交換機(jī)為H3C交換機(jī)（具體的交換機(jī)型號請參考EAD的產(chǎn)品版本配套表）.4．控制點(diǎn)低，控制嚴(yán)格（采用802.1x認(rèn)證方式，接入用戶未通過認(rèn)證前無法訪問任何網(wǎng)絡(luò)資源）5．由于802.1x控制非常嚴(yán)格，非通過認(rèn)證的用戶無法訪問任何網(wǎng)絡(luò)資源，但有些場景下用戶需要用戶未認(rèn)證前能訪問一些服務(wù)器，如DHCP,DNS,AD(activedirectory域控)，此時可采用802.1x的免認(rèn)證規(guī)則，具體配置參照華三相關(guān)設(shè)備操作手冊。6．為確保性能，iMCEAD一般要求分布式部署7．對于不支持二次acl下發(fā)的交換機(jī)（我司部分設(shè)備及所有第三方廠家交換機(jī)），可以通過使用iNode的客戶端acl功能來實(shí)現(xiàn)隔離區(qū)的構(gòu)造，即將原本下發(fā)到設(shè)備上的acl下發(fā)到iNode客戶端上，中間設(shè)備只需做到能透傳EAP封裝radius屬性即可8．二次acl下發(fā)需要iNode定制“客戶端acl特性”，該特性需要iNode安裝額外的驅(qū)動，對終端操作系統(tǒng)的穩(wěn)定性有較高的要求。9．在接入層設(shè)備不是H3C交換機(jī)的情況下，由于設(shè)備不支持二次acl下發(fā)無法采用二次acl下發(fā)的方式來構(gòu)造隔離區(qū)，此時可以通過下線＋不安全提示閾值的方式來模擬構(gòu)造隔離區(qū)，實(shí)現(xiàn)EAD功能。具體實(shí)現(xiàn)為：用戶安全檢查不合格時，EAD不立即將終端用戶下線而是給出一定的修復(fù)時間（不安全提示閾值），終端用戶可以如果在該時間內(nèi)完成的安全策略修復(fù)則可以正常通過EAD認(rèn)證訪問網(wǎng)絡(luò)，如果在該時間內(nèi)未完成安全策略修復(fù)則被下線。組網(wǎng)說明：802.1x認(rèn)證起在接入層交換機(jī)上（要求接入層交換機(jī)對802.1x協(xié)議有很好的支持），控制點(diǎn)低，控制嚴(yán)格終端用戶DHCP或靜態(tài)IP地址均可采用下線＋不安全提示閾值方式認(rèn)證過程簡單，穩(wěn)定。由于終端用戶在不安全時在“不安全提示閾值”時間內(nèi)與安全用戶訪問網(wǎng)絡(luò)的權(quán)限是一樣的，安全性上不如二次acl下發(fā)方式好。802.1X的認(rèn)證過程802.1x的基本認(rèn)證過程是：最初通道的狀態(tài)為unauthorized，認(rèn)證系統(tǒng)處于Initial狀態(tài)，此時客戶端和認(rèn)證系統(tǒng)通道上只能通過EAPOL報文；用戶端返回response報文后，認(rèn)證系統(tǒng)接收到EAP報文后承載在Radius格式的報文中，再發(fā)送到認(rèn)證服務(wù)器，認(rèn)證服務(wù)器接受到認(rèn)證系統(tǒng)傳遞過來的認(rèn)證需求，認(rèn)證完成后將認(rèn)證結(jié)果下發(fā)給認(rèn)證系統(tǒng)，完成對端口的管理。認(rèn)證通過后，通道的狀態(tài)切換為authorized，用戶的流量就將接受VLAN、CAR參數(shù)、優(yōu)先級、用戶的訪問控制列表等參數(shù)的監(jiān)管，此時該通道可以通過任何報文。認(rèn)證通過之后的保持：認(rèn)證系統(tǒng)Authenticator可以定時要求Client重新認(rèn)證，時間可設(shè)。重新認(rèn)證的過程對User是透明的。802.1x與其他認(rèn)證協(xié)議的簡單比較認(rèn)證協(xié)議802.1xPppoeweb是否需安裝客戶端軟件需要（Windowsxp系統(tǒng)不需）需要不需業(yè)務(wù)報文傳送效率高低高組播支持能力好不好好設(shè)備端要求低高較高處理流程清晰清晰復(fù)雜有線網(wǎng)上安全性擴(kuò)展后可用可用可用Portal認(rèn)證方式Portal協(xié)議概述Portal協(xié)議在英語中是“入口”的意思，portal認(rèn)證通常稱為“web認(rèn)證”?；舅枷霝槲凑J(rèn)證用戶訪問網(wǎng)絡(luò)時會被強(qiáng)制重定向到某站點(diǎn)，進(jìn)行身份認(rèn)證只有通過身份認(rèn)證才能訪問網(wǎng)絡(luò)資源。portal協(xié)議原理Portal協(xié)議框架如上所示，portal的認(rèn)證方式分為兩種，一種為IE瀏覽器，也即web認(rèn)證方式；另一種為inode客戶端認(rèn)證方式。Portal協(xié)議是一種基于UDP報文，包括portalserver和portal設(shè)備兩個協(xié)議主體的認(rèn)證協(xié)議。交互流程如下所示。對于這兩種認(rèn)證方式，認(rèn)證的流程用下Web認(rèn)證方式：用戶輸入域名或者ip地址后發(fā)起http請求，portal設(shè)備經(jīng)處理后，反饋給用戶一個強(qiáng)制認(rèn)證的頁面，需要用戶輸入賬號和密碼進(jìn)行驗(yàn)證。用戶瀏覽器將用戶名和密碼發(fā)送給portaweb后，經(jīng)過中間bas設(shè)備將portal報文轉(zhuǎn)換為radius報文，將用戶名和密碼封裝后發(fā)送給后方的端點(diǎn)準(zhǔn)入控制服務(wù)器進(jìn)行驗(yàn)證，認(rèn)證成功后，用戶即能正常訪問網(wǎng)絡(luò)資源。否則提示用戶驗(yàn)證失敗，訪問受限。采用inode客戶端方式認(rèn)證：這種方式用戶直接在inode客戶端中輸入用戶名和密碼（總局人員只有第一次安裝時輸入，以后每次開機(jī)自啟動），經(jīng)bas設(shè)備（中間的交換設(shè)備）重定向給inode后，剩下的報文在inode客戶端和portal核心之間交互。Portal核心通過和bas設(shè)備的交互，將用戶名和密碼傳送給bas設(shè)備，bas設(shè)備和端點(diǎn)準(zhǔn)入控制服務(wù)器之間進(jìn)行radius報文的交互，認(rèn)證成功后，用戶即可訪問網(wǎng)絡(luò)資源，認(rèn)證失敗給出提示，禁止用戶訪問網(wǎng)絡(luò)資源portal典型組網(wǎng)portal的直連方式（二層模式）Portal直連方式（三層模式）三層Portal認(rèn)證與二層Portal認(rèn)證的比較組網(wǎng)方式上，三層認(rèn)證方式的認(rèn)證客戶端和接入設(shè)備之間可以跨接三層轉(zhuǎn)發(fā)設(shè)備；非三層認(rèn)證方式則要求認(rèn)證客戶端和接入設(shè)備之間沒有三層轉(zhuǎn)發(fā)。三層Portal認(rèn)證僅以IP地址唯一標(biāo)識用戶；而二層Portal認(rèn)證以IP和MAC地址的組合來唯一標(biāo)識用戶，即到portal設(shè)備的報文為帶vlan-tag的二層報文。portal的旁掛方式當(dāng)用戶網(wǎng)關(guān)和bas設(shè)備不是同一個設(shè)備或者在原有網(wǎng)絡(luò)上需要采用portal認(rèn)證時，需要采用旁掛方式組網(wǎng)。如下圖所示Portal設(shè)備側(cè)掛在網(wǎng)關(guān)上，由網(wǎng)關(guān)將需要portalEAD認(rèn)證的流量策略路由到Portal設(shè)備上做EAD認(rèn)證，這種組網(wǎng)方式對現(xiàn)場改動小，策略靈活（僅將需要認(rèn)證的流量策略路由到portal設(shè)備上，不需要認(rèn)證的流量可以正常通過網(wǎng)關(guān)轉(zhuǎn)發(fā)）一般采用下線的方式即可實(shí)現(xiàn)將終端用戶放入隔離區(qū)來實(shí)現(xiàn)EADPortal設(shè)備的具體型號請參考EAD的版本說明書網(wǎng)關(guān)設(shè)備需要支持策略路由終端用戶與iMC之間不能有NAT終端用戶到iMC的流量一定要經(jīng)過portal設(shè)備，不能出現(xiàn)終端用戶不經(jīng)過portal設(shè)備直接訪問iMC的情況，否則portal認(rèn)證會異常。portal協(xié)議旁掛方式認(rèn)證流程圖旁掛方式中，用戶流量在gateway設(shè)備處匹配策略路由進(jìn)行重定向給portalBAS設(shè)備，觸發(fā)portal認(rèn)證，portal將用戶輸入的賬號和密碼封裝成radius報文發(fā)送端點(diǎn)準(zhǔn)入服務(wù)器，經(jīng)過服務(wù)器的驗(yàn)證后，用戶獲取到訪問網(wǎng)絡(luò)的權(quán)限。報文回送給gateway設(shè)備，之后進(jìn)行正常的報文轉(zhuǎn)發(fā)。用戶數(shù)據(jù)流量回來后，通過路由進(jìn)行正常的報文轉(zhuǎn)發(fā)。如下圖所示。portal兩種方式組網(wǎng)的優(yōu)缺點(diǎn)1．從適用范圍來講，直連方式常應(yīng)用于新建的網(wǎng)絡(luò)，如果原來網(wǎng)絡(luò)已經(jīng)建設(shè)好，為了不對現(xiàn)有網(wǎng)絡(luò)產(chǎn)生大的影響，可以采用旁掛的方式；2．從對網(wǎng)絡(luò)的影響程度上，直連方式對現(xiàn)有網(wǎng)絡(luò)影響最大，因此對于那些網(wǎng)絡(luò)已經(jīng)建設(shè)好的地方，不建議采用直連portal方式；而旁掛方式能很好的解決這個問題，只需要增加配置將原有流量有選擇的重定向給portal設(shè)備即可，對網(wǎng)絡(luò)影響較小。而且可以平滑過渡。L2TPVPNEAD終端用戶身份認(rèn)證采用l2tp方式,EAD通過二次acl下發(fā)到安全聯(lián)動網(wǎng)關(guān)來實(shí)現(xiàn)EAD。組網(wǎng)說明：終端用戶采用l2tp方式做身份認(rèn)證如果需要安全性防護(hù)可以采用l2tpoverIPSec的方案二次acl下發(fā)均下發(fā)到安全聯(lián)動VPN網(wǎng)關(guān)上，網(wǎng)關(guān)的具體型號請參考EAD版本說明書附件:iNode客戶端經(jīng)過L2TP遠(yuǎn)端撥號認(rèn)證接入內(nèi)網(wǎng)案例無線EAD無線EAD目前只支持Portal方式的EAD，不支持基于802.1x認(rèn)證方式的EAD。組網(wǎng)說明：AC除了完成AP的注冊及控制外，同時起用portal認(rèn)證一般采用下線的方式即可實(shí)現(xiàn)將終端用戶放入隔離區(qū)來實(shí)現(xiàn)EAD支持EADAC的具體型號請參考EAD的版本說明書終端用戶與iMC之間不能有NAT終端用戶到iMC的流量一定要經(jīng)過portal設(shè)備，不能出現(xiàn)終端用戶不經(jīng)過portal設(shè)備直接訪問iMC的情況，否則portal認(rèn)證會異常。由于AC轉(zhuǎn)發(fā)性能的考慮，用戶的網(wǎng)關(guān)不要設(shè)在AC上附件:某大學(xué)圖書館無線portal與網(wǎng)絡(luò)中心認(rèn)證案例iNode客戶端安裝及配置iNode客戶端軟件安裝的軟硬件環(huán)境需求硬件需求iNode智能客戶端可安裝和運(yùn)行在普通PC機(jī)上，其基本硬件需求為：主頻為667MHz或更高的CPU；128MB以上內(nèi)存；20MB以上的硬盤空間軟件需求iNode智能客戶端所支持的操作系統(tǒng)如下：Windows2000SP4；WindowsXP；WindowsServer2003；Windowsvista。各種環(huán)境下iNode客戶端的安裝指導(dǎo)802.1x環(huán)境下的iNode客戶端安裝過程出現(xiàn)iNode客戶端安裝歡迎界面，點(diǎn)擊下一步接受許可協(xié)議中的條款，點(diǎn)擊下一步選擇安裝路徑，建議默認(rèn)安裝路徑，確認(rèn)后點(diǎn)擊下一步確認(rèn)后，點(diǎn)擊安裝Inode客戶端需要VisualC++2005的開發(fā)環(huán)境，安裝過程中，系統(tǒng)會檢查該環(huán)境安裝與否，如果沒有安裝，會默認(rèn)安裝安裝完成后，重新啟動系統(tǒng)生效Portal環(huán)境下iNode軟件的安裝出現(xiàn)歡迎界面,點(diǎn)擊下一步接受許可證協(xié)議條款,點(diǎn)擊下一步選擇文件安裝位置,點(diǎn)擊下一步準(zhǔn)備就緒后點(diǎn)擊安裝安裝進(jìn)度條,安裝過程中,有可能出現(xiàn)此提示框,需要先關(guān)閉360等殺毒軟件,否則會影響客戶端的正常安裝客戶端采用了C++的環(huán)境,需要具備此環(huán)境才能正常運(yùn)行.安裝過程中系統(tǒng)會自動檢查是否已經(jīng)安裝,否則會出現(xiàn)上面所示畫面安裝完成后重新啟動系統(tǒng)完成客戶端的安裝l2tp環(huán)境下的iNode軟件的安裝L2tp環(huán)境下的iNode軟件安裝過程和802.1X類似，在此不贅述，如果需要寫iNode的安裝指導(dǎo)，參考8021x的安裝指導(dǎo)iNode終端配置802.1x組網(wǎng)環(huán)境終端配置點(diǎn)擊新建連接，選擇“是”出現(xiàn)歡迎界面，點(diǎn)擊下一步選擇802.1x協(xié)議，點(diǎn)擊下一步選擇連接類型“普通連接”，點(diǎn)擊下一步輸入分配的用戶名和密碼，如果環(huán)境中存在mac認(rèn)證或者結(jié)合USB-KEY進(jìn)行證書認(rèn)證的話，可以選中“啟用高級認(rèn)證”，點(diǎn)擊下一步選擇認(rèn)證時采用的網(wǎng)卡，同時選擇“運(yùn)行時自動認(rèn)證”，“上傳IPV4地址”，至于“上傳客戶端版本”，雖然默認(rèn)是選中的，但是在特殊環(huán)境下，需要將其關(guān)閉，比如在無線的證書認(rèn)證中。根據(jù)實(shí)際需求選擇后點(diǎn)擊，完成客戶端的設(shè)置完成界面，點(diǎn)擊“創(chuàng)建”點(diǎn)擊新建的連接，認(rèn)證成功如下Portal環(huán)境下客戶端設(shè)置新建連接向?qū)Вc(diǎn)擊下一步選擇認(rèn)證協(xié)議“portal協(xié)議”根據(jù)需求選擇不同連接類型，這里我選擇普通連接設(shè)置連接用戶名和密碼,點(diǎn)擊下一步進(jìn)入創(chuàng)建快捷方式界面點(diǎn)擊圖標(biāo)的屬性,輸入portal服務(wù)器的地址(這個地址一定不能修改,不然會影響到客戶端和服務(wù)器端的正常通訊)完成設(shè)置后，點(diǎn)擊進(jìn)行認(rèn)證，認(rèn)證成功如下圖認(rèn)證成功后在imc端的在線用戶列表、L2TP環(huán)境下iNode軟件的設(shè)置進(jìn)入新建向?qū)?，點(diǎn)擊下一步選擇連接協(xié)議“l(fā)2tpovervpn協(xié)議”，點(diǎn)擊下一步選擇連接類型“普通連接”輸入用戶名和密碼，點(diǎn)擊下一步根據(jù)實(shí)際情況設(shè)置，點(diǎn)擊高級選擇認(rèn)證模式“chap”，默認(rèn)為pap認(rèn)證模式重點(diǎn)設(shè)置網(wǎng)關(guān)名字和對端網(wǎng)關(guān)設(shè)備名字，建議選中keepalive報文完成設(shè)置后，點(diǎn)擊認(rèn)證成功如下（沒有關(guān)聯(lián)EAD安全策略）注意點(diǎn):在做l2tp的接入認(rèn)證中,用戶名/密碼認(rèn)證正確后,是需要在域地址池中分配一個地址給用戶的.,用戶使用這個地址和IMC進(jìn)行直接通訊.,也就是路由必須可達(dá).不然用戶的EAD安全檢查是無法進(jìn)行的,并且在一段時間連接超時后,提示”無法連接到策略服務(wù)器,連接超時”,這點(diǎn)是需要注意的.接入設(shè)備端配置8021x環(huán)境下接入層設(shè)備配置舉例要求：認(rèn)證用戶屬于這個默認(rèn)域，radius服務(wù)器地址為/24,密碼H3c,指定驗(yàn)證后進(jìn)行EAD安全檢查配置腳本如下[5120_EI]dicu#version5.20,Release2202P06#sysname5120_EI配置系統(tǒng)名稱#domaindefaultenable#telnetserverenable#undolldpenable關(guān)閉lldp協(xié)議#dot1x全局啟動dot1xdot1xauthentication-methodeap驗(yàn)證dot1x方式為eap透傳dot1xfree-ip55到域控的數(shù)據(jù)流允許不經(jīng)過認(rèn)證即放行dot1xfree-ip55同上#aclnumber3000配置安全acl3000（必須和imc上的acl配置一致）rule1permitipaclnumber3001配置隔離acl3001(必須和imc上的acl配置一致)rule1permitipdestination0rule2permitipdestination0#vlan1#vlan701to702#vlan902創(chuàng)建管理vlan#radiusschemesystemserver-typeextendedprimaryauthentication1645primaryaccounting1646user-name-formatwithout-domainradiusschemeh3c創(chuàng)建radius模版h3cserver-typeextended服務(wù)類型為擴(kuò)展，支持EAD安全檢查primaryauthentication2首選認(rèn)證服務(wù)器地址primaryaccounting2首選計費(fèi)服務(wù)器地址keyauthenticationh3c接入層交換機(jī)和radius服務(wù)器之間的驗(yàn)證密碼keyaccountingh3c接入層交換機(jī)和radius服務(wù)器之間的計費(fèi)密碼user-name-formatwithout-domain用戶名格式為不帶域名后綴#domain新建域名authenticationlan-accessradius-schemeh3c--關(guān)聯(lián)新建radius模版h3cauthorizationlan-accessradius-schemeh3c關(guān)聯(lián)新建radius模版h3caccountinglan-accessradius-schemeh3c同上access-limitdisablestateactiveidle-cutdisableself-service-urldisable#interfaceVlan-interface1#interfaceVlan-interface902配置網(wǎng)管地址，和imc進(jìn)行radius報文交互的ip地址ipaddress892#interfaceGigabitEthernet1/0/1#interfaceGigabitEthernet1/0/2在想認(rèn)證的接口上開啟dot1x認(rèn)證，其它接口依次類推portaccessvlan702dot1x#interfaceGigabitEthernet1/0/3#interfaceGigabitEthernet1/0/4#interfaceGigabitEthernet1/0/5#interfaceGigabitEthernet1/0/6#interfaceGigabitEthernet1/0/7#interfaceGigabitEthernet1/0/8#interfaceGigabitEthernet1/0/9#interfaceGigabitEthernet1/0/10#interfaceGigabitEthernet1/0/11#interfaceGigabitEthernet1/0/12#interfaceGigabitEthernet1/0/13#interfaceGigabitEthernet1/0/14#interfaceGigabitEthernet1/0/15#interfaceGigabitEthernet1/0/16#interfaceGigabitEthernet1/0/17#interfaceGigabitEthernet1/0/18#interfaceGigabitEthernet1/0/19#interfaceGigabitEthernet1/0/20#interfaceGigabitEthernet1/0/21#interfaceGigabitEthernet1/0/22#interfaceGigabitEthernet1/0/23#interfaceGigabitEthernet1/0/24#interfaceGigabitEthernet1/0/25#interfaceGigabitEthernet1/0/26#interfaceGigabitEthernet1/0/27#interfaceGigabitEthernet1/0/28#interfaceGigabitEthernet1/0/29#interfaceGigabitEthernet1/0/30#interfaceGigabitEthernet1/0/31#interfaceGigabitEthernet1/0/32#interfaceGigabitEthernet1/0/33#interfaceGigabitEthernet1/0/34#interfaceGigabitEthernet1/0/35#interfaceGigabitEthernet1/0/36#interfaceGigabitEthernet1/0/37#interfaceGigabitEthernet1/0/38#interfaceGigabitEthernet1/0/39#interfaceGigabitEthernet1/0/40portaccessvlan702poeenable#interfaceGigabitEthernet1/0/41#interfaceGigabitEthernet1/0/42#interfaceGigabitEthernet1/0/43#interfaceGigabitEthernet1/0/44#interfaceGigabitEthernet1/0/45#interfaceGigabitEthernet1/0/46#interfaceGigabitEthernet1/0/47#interfaceGigabitEthernet1/0/48上聯(lián)口，配置為trunk類型，允許業(yè)務(wù)vlan和管理vlan通過portlink-typetrunkporttrunkpermitvlanall#interfaceGigabitEthernet1/0/49shutdown#interfaceGigabitEthernet1/0/50shutdown#interfaceGigabitEthernet1/0/51shutdown#interfaceGigabitEthernet1/0/52shutdown#nqaentryimcl2topopingtypeicmp-echodestinationip23frequency270000#iproute-static26配置默認(rèn)路由#snmp-agent啟用snmp簡單網(wǎng)絡(luò)管理協(xié)議snmp-agentlocal-engineid800063A2033CE5A60Csnmp-agentcommunityreadpublicsnmp-agentcommunitywriteprivatesnmp-agentsys-infoversionallsnmp-agenttarget-hosttrapaddressudp-domain2paramssecuritynamepublic#nqascheduleimcl2topopingstart-timenowlifetime630720000#user-interfaceaux03user-interfacevty04authentication-modenoneuserprivilegelevel3#Returnportal環(huán)境下接入設(shè)備的配置[H3C]dicu#version5.20,Release1910#sysnameH3C#domaindefaultenable指定默認(rèn)域?yàn)?telnetserverenable#portalserver1ip2keyh3curl2/portal指定portal服務(wù)器為2,使用默認(rèn)端口50100，密鑰為h3c#vlan1#domain新建域authenticationlan-accessradius-schemeh3c指定驗(yàn)證的radius模版為h3cauthorizationlan-accessradius-schemeh3c指定授權(quán)的radius模版為h3caccountinglan-accessradius-schemeh3c指定計費(fèi)的radius模版為h3caccess-limitdisablestateactiveidle-cutdisableself-service-urldisable#dhcpserverip-pool1為內(nèi)網(wǎng)分配地址networkmaskgateway-listdns-list0#interfaceEthernet0/0連接外網(wǎng)的接口portlink-moderouteipaddress7undoipv6fast-forwarding#interfaceSerial0/0link-protocolpppundoipv6fast-forwarding#interfaceNULL0#interfaceVlan-interface1應(yīng)用剛新建的portal服務(wù)器到內(nèi)網(wǎng)接口上ipaddressundoipv6fast-forwardingportalserver1methoddirect#iproute-static缺省路由#snmp-agentsnmp-agentlocal-engineid800063A203000FE2A25B0Csnmp-agentcommunityreadpublicsnmp-agentcommunitywriteprivatesnmp-agentsys-infoversionallsnmp-agenttarget-hosttrapaddressudp-domain2paramssecuritynamepublic#dhcpenable#loadxml-configuration#loadtr069-configuration#user-interfacetty12user-interfaceaux0user-interfacevty04authentication-modenoneuserprivilegelevel3#returnL2tp－vpn終端設(shè)備配置[H3C]dicu#version5.20,Release1910#sysnameH3C#l2tpenable開啟L2TP協(xié)議#ikelocal-nameremoteIKE的本地名字，需要和inode客戶端設(shè)備的“對端安全設(shè)備網(wǎng)關(guān)名字”保持一致#firewallenable#domaindefaultenable修改默認(rèn)域?yàn)?radiusschemeh3c新建radius模版h3cserver-typeextended如需關(guān)聯(lián)EAD策略，必須指定為擴(kuò)展primaryauthentication2primaryaccounting2keyauthenticationh3ckeyaccountingh3csecurity-policy-server2指定安全策略服務(wù)器地址，試用于分布式系統(tǒng)（EAD和UAM組件沒有安裝在一起）user-name-formatwithout-domain#domain指定域使用剛新建的radius模版authenticationpppradius-schemeh3cauthorizationpppradius-schemeh3caccountingpppradius-schemeh3caccess-limitdisablestateactiveidle-cutdisableself-service-urldisableaccountingoptionalippool10分配的地址池#ikepeerremoteIKE對等體名稱exchange-modeaggressive野蠻模式，適用于分部地址不固定情況pre-shared-keysimple123456id-typenameremote-namelocalnattraversalnat穿越，試用LNS和LAC之間有nat設(shè)備的情況#ipsecproposal1定義ipsec安全提議，采用默認(rèn)封裝格式和加密類型#ipsecpolicy-template11關(guān)聯(lián)ike對等體和安全提議ike-peerremoteproposal1#ipsecpolicyh3c1isakmptemplate1#dhcpserverip-pool1networkmaskgateway-listdns-list0#user-groupsystem#cwmpundocwmpenable#l2tp-group1啟用L2TP-GROUP組，取消隧道驗(yàn)證，強(qiáng)制LCP階段協(xié)商undotunnelauthenticationmandatory-lcpallowl2tpvirtual-template1#interfaceAux0asyncmodeflowlink-protocolppp#interfaceCellular0/0asyncmodeprotocollink-protocolppp#interfaceEthernet0/0連接內(nèi)網(wǎng)接口，連接IMC服務(wù)器portlink-moderouteipaddress7undoipv6fast-forwarding#interfaceSerial0/0link-protocolpppundoipv6fast-forwarding#interfaceVirtual-Template1新建虛擬模版，驗(yàn)證模式和Inode客戶端中的驗(yàn)證模式保持一致，關(guān)聯(lián)域

pppauthentication-modechapdomainremoteaddresspool1ipaddress54虛擬模版的地址，做為分配地址池的虛擬網(wǎng)關(guān)#interfaceNULL0#interfaceVlan-interface1ipaddressipsecpolicyh3cundoipv6fast-forwarding#iproute-static#dhcpenable#loadxml-configuration#loadtr069-configuration#user-interfacetty12user-interfaceaux0user-interfacevty04#Return說明：1.L2TP階段PC和Lns設(shè)備通信，只要配置L2TP/IPSEC參數(shù)正確就能獲取到地址池的地址，但是獲取到地址后所做的EAD安全檢查是以獲得的地址和IMC服務(wù)器通信，如果不通，EAD安全檢查無法繼續(xù)同時提示“未收到服務(wù)器回應(yīng)，您的計算機(jī)可能只能訪問隔離區(qū)的網(wǎng)絡(luò)資源，請檢查終端能否正常訪問網(wǎng)絡(luò)或者與管理員聯(lián)系”，因此地址池的網(wǎng)段一定要發(fā)布到內(nèi)網(wǎng)中，保證PC和IMC直接通信。2.如果是防火墻做LNS，則還要考慮將虛擬模版加入到安全區(qū)域中，不然不通；Radius服務(wù)器配置說明：這里的radius服務(wù)器以H3C公司推出的IMC（智能管理中心）為例802.1X服務(wù)器端配置802．1x認(rèn)證配置在服務(wù)器端分為如下步驟1．接入設(shè)備配置；2．EAD安全策略配置3．服務(wù)創(chuàng)建，關(guān)聯(lián)創(chuàng)建的EAD安全策略；4．創(chuàng)建接入用戶，關(guān)聯(lián)服務(wù)下面結(jié)合截圖說明配置流程接入設(shè)備配置增加設(shè)備，路徑：資源－增加設(shè)備增加接入設(shè)備，選擇前期增加設(shè)備，路徑：業(yè)務(wù)－接入業(yè)務(wù)－接入設(shè)備配置增加接入設(shè)備，在上截圖基礎(chǔ)上，點(diǎn)擊設(shè)備列表中的選擇，在設(shè)備視圖中選擇前面增加的設(shè)備，點(diǎn)擊確定點(diǎn)擊確定，增加接入設(shè)備完成，這里的共享密鑰需要和接入設(shè)備上配置的驗(yàn)證/計費(fèi)密碼保持一致EAD安全策略創(chuàng)建說明：由于EAD功能強(qiáng)大，涉及功能較多，有系統(tǒng)補(bǔ)丁檢查，病毒檢查，流量監(jiān)控，系