走出華三EAD誤區
長久以來由於對802.1x協議以及華三EAD的一知半解,我一直認爲只有接入交換機是華三的並且支持EAD才能對用戶進行安全檢查隔離、桌面資產管理等EAD業務,然而當對EAD工作過程進行進一步分析時發現並不是這樣。以前我們爲了實現EAD業務而不得不採購特別交換機是完全沒有必要的,下面對華三EAD進行簡要的分析。
一:什麼是EAD
EAD終端准入控制,並不是單一一個技術,而是通過多種硬件軟件以及協議的相互協同實現網絡准入,終端安全,桌面管理的一個解決方案。也可以說是華三對802.1X認證的一種擴展,使其具有認證授權功能之外又增加了一些高級功能。所以在配置的時候纔會有擴展模式與標準模式之分,要實現高級功能就必須採用擴展模式。
IMC智能管理中心的所有功能都是通過各個組件來實現的。比如UAM組件,UAM是用來實現用戶的用戶認證以及策略下發的。而EAD組件是基於UAM安裝的,用來實現用戶安全檢查、桌面管理等。
二:EAD的工作過程
上圖是終端用戶安全接入的4個步驟。從圖中可以清楚地看出用戶是先進行身份驗證,再進行安全檢查,最後是動態授權。這個過程的報文交互如下圖所示:
從圖中可以看出,用戶身份認證成功之後IMC EAD組件就向接入設備下發隔離ACL,之後觸發安全檢查。當安全檢查通過之後給接入設備下發安全ACL,用戶正常上網。如果用戶安全檢查不通過則會一直被隔離ACL隔離。
三:存在哪些EAD誤區
誤區1:只有交換機支持EAD,才能對用戶進行安全檢查,並達到限制不安全用戶接入。
誤區2:只有華三的交換機才能與IMC配合實現控制不安全用戶的接入。
四:深入分析
從報文交互過程可以看出:
1:安全檢查是安全策略服務器與inode客戶端直接交互的。
2:此處下發ACL是下發給認證設備,所以設備必須支持EAD。
從這兩點我們可以推測,既然安全檢查與接入設備沒有關係,那麼接入設備爲什麼必須要支持EAD?我們可以想到的答案是:因爲安全ACL需要下發給接入設備。那麼如果我們把ACL直接下發給inode客戶端,那麼接入設備是不是就不需要支持EAD了?答案是肯定的。安全設備並不需要支持EAD也能實現對用戶的安全檢查。另外需要說明的是即使不下發ACL,我們也可以通過將安全級別調成“下線”來強制不安全的用戶下線。(與思科設備配合使用)
五:測試實驗
(1):實驗環境
(2):實驗步驟
將ACL下發到設備。
1:新建安全級別:簡單檢查
2:新建安全策略:eadtest
3:新建接入服務:ead測試
4:新建用戶:ead
5:測試結果:
爲安裝殺毒軟件 | 安全檢查觸發,但是不通過 | 用戶能正常上網 |
安裝殺毒軟件 | 安全檢查觸發,並通過 | 用戶能正常上網 |
將ACL下發到inode客戶端
與下發到設備相比將ACL下發到客戶端需要增加客戶端ACL,其他步驟基本相同。
1:新建客戶端ACL
2:新建安全策略時選擇ACL下發到客戶端
(3)Inode客戶端配置。
由於inode客戶端必須支持ACL,所以要重新定製lnode客戶端具體過程如下
打開inode管理中心,客戶端定製選擇高級定製
在基本功能選項中啓用ACL功能。
(4)實驗結果
未安裝殺毒軟件
安裝殺毒軟件
不安裝殺毒軟件 | 安全檢查觸發,但是不通過 | ACL生效,不能訪問外網 |
安裝殺毒軟件 | 安全檢查觸發,並通過 | ACL生效,能訪問外網 |
六:結論:
1:安全檢查與接入交換機無關,不管接入交換機是否支持EAD都會觸發安全檢查。
2:接入交換機是否支持EAD,只在ACL下發的時候起作用,如果ACL下發到設備且設備不支持EAD,那麼ACL將不會生效
3:可以通過將ACL下發到inode客戶端,在交換機不支持EAD的情況下實現安全檢查。
4:配置ACL資源,今後新增交換機時可以不需要配置ACL。
相關鏈接:
http://wenku.baidu.com/link?url=UUIDvNykXuL4TEVXUC1z4ByIcOc5GX9YGJ9IJHy1cGdyU-RbbC9D8U4WeH2X2na8o8Pmr4OFG_1c0UcIRFERr2wNxDRnJHWYyJ-McL4sit_