1、华东 区 -DEOU准入控制联软科技用服中心目前 你 了解 联软 的 哪 几 种 认证 方式 ? 基于端口 /MAC的 802.1x准入控制; 基于 ACL的 EOU准入控制; 基于 简单 安全助手 认证 ; 基于 NACC的 EOU准入 认证传统的几种认证方式几种认证方式的对比准入方式 类型 优点 缺点 应用场合基于端口/MAC的802.1x认证公用协议 公有协议大部分设备都支持 控制方式不灵活 多厂商设备混用的单位基于 ACL的EOU认证 Cisco 私有 控制方式灵活私有协议不支持 trunk环境全是cisco3560的设备基于简单安全助手的认证 联软私有 认证简单 安全性太差对安全要求
2、不高的公司基于 NACC的EOU认证 联软私有 部署实施容易可能会增大交换机的负担HUB比较多的环境1 EOU原理2EOU相关的几个概念1EOU在 Uniaccess的应用3EOU的命令分析14 EOU认证故障诊断ACL:对网络起限制作用TRUNK:EOU不能应用在 trunk口上NAC:network admission controlEOU: EAP over UDP NAC L2 IP EAP over UDP 安全状态检查 (L2交换机端口 )在交换机实现 NAC是,其称作 NAC-L2-IPNAC L3 IP EAP over UDP 安全状态检查 (Routers and VPN)
3、EOU几个相关的概念EOU的原理 EAPOU是 Cisco的专有协议,即独家技术。 EAPOU是在网络的汇聚层或核心层进行准入控制。当支持 EAPOU的汇聚层设备接收到终端设备发来的数据包时,汇聚层 EAPOU设备将要求终端设备进行 EAP认证。 EAP认证包封装在 UDP包内, 在 EAP认证的内容中,身份认证其实并不重要,重要的则是安全状态认证。 如果安全状态不符合企业策略,汇聚层 EAPOU设备将从策略服务器上下载 ACL,限制不安全的客户端的网络访问,并对其进行修复。EOU的原理 EAP over UDP认证 通过 ACL来控制终端访问 动态下载 ACL和重定向 URL 依据终端身份及
4、安全状态 终端可以通过 HUB、无线 AP、 VPN接入 只要中间有支持 NAC-L2/3-IP的设备Radius访客可访问资源安全区资源修复区资源身份安全状态 +硬件 IDEAP over UDPACL访问控制对无 Agent终端做 URL重定向提醒EOU在 Uniaccess的应用 Leagview服务器上 ACL与部门对应关系设置, Agentless终端以及非安全终端的 ACL 网络准入控制策略 用户、机器验证策略 网络交换机上 ACL设置 网络交换机上启用 AAA认证: aaa new-model aaa authentication default group radius aaa
5、 authorization default group radius 网络交换机上配置 Radius服务器 如果有两台,配置两条,第一条的优先 启用 EOU 全局配置模式下的命令: ip admission, ip device tracking等 接口下面的命令EOU在 Uniaccess的应用 EOU在 uniaccess应用中的认证过程分析 基本步骤: PC(with agent)-switch-auth server(radius) switch检测到 pc产生流量之后,向 pc发送认证请求 agent响应该认证请求,并且将 pc的状态一并发送给 switch switch将 pc的
6、状态信息放入 radius报文,发送给认证服务器 认证服务器根据信息,判断 pc的状态,并根据结果,向 switch返回信息,内容主要包括:将该端口置于何种状态(不同的状态会在接口上生成不同的 ACL),以及对该 PC,哪些 web访问会被重定向。EOU在 Uniaccess的应用 怎么设计 EOU准入方案? 确定用户具体的需求。 确定实施环境是否具备。结合实际情况设计方案。实际网络结构是什么?交换机之间的连接关系?交换机负载终端?终端环境? 应急措施 实施 EOU准入要注意的地方? 不能随便在用户现场采用 clear eou all . 不能随便在用户的环境随便开启 debug eou 等功能。 有 IP电话的情况下。怎么去做例外? EOU应急方案 aaa down policy 的应用
