H3CiMCEAD解决方案(含UAM)介绍.ppt

与思科设备配合的注意事项（一） 当前Cisco版本不支持基于MAC地址的802.1X认证方式，仅支持基于端口的802.1X认证方式；需要注意一点，Cisco设备基于端口的802.1X认证方式下，接入端口可以配置两种Dot1x主机模式（single-host和multi-host）；默认配置为single-host模式时，同一接入端口不允许下挂有多台主机，否则Cisco设备会自动检测并关闭端口；当配置为multi-host模式时，同一接入端口可以下挂多台主机，但只要有一台主机上的用户通过802.1X认证及EAD安全检查，则该端口下挂的其他所有主机将拥有访问网络的同等权限，网络安全存在隐患； 与思科设备配合的注意事项（二） 目前Cisco设备必须支持aaa accounting dot1x default start-stop group radius命令才能够支持EAD，否则无法实现安全检查（包括其他与策略服务器相关的功能） Cisco设备可以通过配置aaa accounting update periodic命令来启用/设置计费报文的更新时间，但大部分早期版本的Cisco交换机并不支持该命令。缺少计费更新包的交互，缺省情况下将导致在线用户列表老化后删除。必须在添加接入设备时将设备类型选为“思科” 与思科设备配合的注意事项（三） 当认证客户端上线后，Cisco设备不提供与802.1X客户端的EAP握手。客户端异常退出（比如PC机掉电）后，交换机无法感知。即使依靠EAD心跳，服务器能够感知到客户端异常，但服务器仍无法通知交换机将用户下线处理，并且也无法自行清除在线用户列表。目前存在一定的安全隐患。 与思科设备配合的注意事项（四） Cisco接入交换机上可以通过配置多台RADIUS服务器进行备份，按照配置顺序从上到下依次查找可用的RADIUS服务器。除此之外，必须进行额外的配置，否则无法实现主备切换。如下两种解决方案选其一： 配置radius-server deadtime， 或者通过调整RADIUS请求重试间隔的参数，将RADIUS服务器之间的切换时间控制在4秒内： radius-server retransmit 0 //Radius报文只重试一次 radius-server timeout 2 //每次重试间隔2秒钟 与思科设备配合的注意事项（五） Guest-vlan的切换时间由端口下的dot1x timeout tx-period命令来控制，为提高用户体验，经常将该参数改小，比如改为5秒； 端口下的dot1x timeout quiet-period命令用来控制终端认证失败后，该交换机端口静默多长时间才处理下一次认证。为提高用户体验，经常将该参数改小，比如改为3秒。 与思科设备配合的注意事项（六） 在配置客户端802.1x连接参数时需要注意以下几项： 更改报文类型为“多播报文” 取消勾选“超时重播90S” 如果客户端IP地址的四段十进制数中，若有任何一段为0，则不能够勾选“上传IP地址”。但包含0没有问题的，比如不能够上传，但则可以。 * 传统的RADIUS方式下，EAD心跳丢失服务器无法通过RADIUS报文通知第三方设备将用户下线。唯一的可能是直接清除在线表，在支持计费更新的环境下，等待设备下一次计费更新然后返回会话时长为0。但可惜第三方设备不支持会话时长为0的属性，所以即使是在支持计费更新的环境下清除在线表也没有用，清除了反而使得管理员找不到哪些用户出现异常，所以传统的机制是将EAD心跳超时的用户在在线表中置为隔离状态。 * * 有一个“缺省安全策略”即使没有被下发的服务引用，也会下发到下级节点上，其功能后面讲 * 有一个“缺省安全策略”即使没有被下发的服务引用，也会下发到下级节点上，其功能后面讲 * * * * * 此页标题禁止有多级标题，更不要出现所在章节的名称。 此页标题要简练，能直接表达出本页的内容。 内容页可以除标题外的任何版式，如图、表等。 该页在授课和胶片＋注释中都要使用。 资产查询与统计（二） 支持按多种分类方式统计资产信息并显示报表 支持统计资产的软件安装情况 资产变更管理 支持软硬件资产信息变更的检查和上报 软件分发（一） 配置软件分发服务器 配置软件分发任务 软件分发（二） iNode客户端下载安装程序完成后弹出软件分发管理的提示窗口，用户也可以手工从客户端上查看 双机软件分发管理中的文件名称开始安装 USB监控 记录使用USB的时间 记录写入USB的文件 外设管理（一） 配置外设管理策略，选择需要禁用的外设 将外设管理策略与资产分组关联 外设管理（二） 手工启用已经被外设管理策略禁用的设备后，将产生外设违规记录 业务参数配置 资产编号方式 资产变更扫描