H3C路由交换 网络访问控制

网络访问控制

网络访问控制通常包含通过安全策略阻止不符合安全要求的终端访问网络，对WEB访问用户进行控制，以及通过访问控制列表过滤非法用户对网络的访问。

EAD解决方案

EAD（End user Adminssion Domination，终端准入控制）是一种安全防御解决方案，能弥补传统的单点安全防御的不足。

整合孤立的单点防御系统，加强对用户的集中管理，统一实施企业安全策略，提高网络终端的主动抵抗能力。EAD方案通过安全客户端、安全策略服务器、接入设备以及第三方服务器的联动，可以将不符合安全要求的终端限制在“隔离区”内，防止“危险”终端对网络安全的损害，避免“易感”终端受到病毒的攻击。

EAD的主要功能包括：

• 检查终端用户的安全状态和防御能力；
• 隔离“危险”和“易感”终端；
• 强制修复系统补丁、升级防病毒软件；
• 管理与监控；

EAD具有以下技术特点：

• 整合防病毒与网络接入控制，大幅提高安全性；
• 支持多种认证方式，适用范围广；
• 全面“隔离”危险终端；
• 灵活、方便的部署与维护；
• 详细的安全事件日志与审计；
• 专业防病毒厂商的合作；
• 具有策略实施功能，方便企业实施组织级安全策略；
• 可扩展的安全解决方案，有效保护投资；

交换机作为SWA作为安全联动设备，负责实施对用户的访问控制功能。服务器域中包含有安全策略服务器、防病毒服务器等。为了实现EAD快速部署功能，将服务器区域的地址范围配置为Free-IP网段，以使主机能够在通过认证前从服务器下载EAD客户端软件；同时设置WEB服务器，以使主机的HTTP访问能够被重定向。

[H3C-radius-name]security-policy-server 192.168.2.1
[H3C]dot1x ead-assistant enable 
[H3C]dot1x ead-assistant  free-ip 192.168.2.0 24
[H3C]dot1x ead-assistant url http://192.168.2.3
因为EAD快速部署需要802.1X支持，所以需要在交换机上开启802.1X功能
[H3C]dot1x 
[H3C]int G1/0/1
[H3C-GigabitEthernet1/0/1]dot1x 

PORTAL认证

Portal认证通常也称为WEB认证，是一种运营商常用的，通过强制用户到门户网站进行认证的方式。主要包括认证客户端、接入设备、Portal服务器、认证/计费服务器以及可选的安全策略服务器。

PORTAL认证方式

• 三层认证方式
  • 客户端与接入设备间有三层设备
  • 直接获得IP地址
• 非三层认证方式
  • 客户端与接入设备间没有三层设备
  • 直接获得IP地址进行认证
  • 二次地址分配认证

Portal的基本配置包括配置Portal服务器、Portal Web服务器和接口上启用Portal协议。

在系统视图下配置Portal服务器

[H3C]portal server [server-name]
[H3C-portal-server-test]ip [server-ip-address] [key { simple | cipher }] [密钥]
[H3C-portal-server-test]port [port-id]   #缺省值为50100

对于WEB浏览器作为Portal客户端的用户，可以配置Portal Web服务器在portal 认证过程中向用户推送认证界面，同时Portal WEB服务器也是设备强制重定向用户Http请求报文时所使用的服务器。

在系统视图下配置Portal Web服务器

[H3C]portal web-server [web-test]   #指定Portal Web服务器名字
[H3C-portal-websvr-web-test]url [url-string]  #Http报文重定向地址，缺省为 http://ip

配置完Portal服务器和Portal Web服务器后，还需要在指定接口上使能Portal认证，同时指定引用的Portal Web服务器、配置认证方式和服务类型。

[H3C-Vlan-interface10]portal enable method 
[
  direct  #直接认证方式；
  layer3  #三层认证方式；
  redhcp  #二层地址分配认证方式；
]
[H3C-Vlan-interface10]portal apply web-server [server-name]

主机A连接到交换机A上进行接入认证，交换机上进行Portal服务器配置，将主机的Http请求重定向到 Portal Web服务器，由Portal Web服务器将用户的认证信息传递给接入设备；然后接入设备再与认证/计费服务器通信进行认证和计费。因为没有DHCP服务器，所以网络中采用三层直接方式的Portal认证。

[H3C]portal server newpt
[H3C-portal-server-newpt]ip 192.168.0.111 key simple portal
[H3C-portal-server-newpt]port 50100

[H3C]portal web-server newpt
[H3C-portal-websvr-newpt]url http://192.168.0.111/portal

[H3C]int vlan 100
[H3C-Vlan-interface100]portal enable method direct 
[H3C-Vlan-interface100]portal apply web-server newpt