2014宝界终端准入--北信源桌管软件结合解决方案V1.12014宝界终端准入--与北信源桌管软件结合解决方案V1.1.doc

宝界终端准入与北信源桌管软件结合 解决方案 一、需求背景 1.1、为什么要与北信源桌面管理软件结合？ 已经花重金购买了北信源桌面管理软件, 制定了详细的安全规范和标准，要求未安装北信源的客户端软件的主机不能入网、入网的主机要对应到人，但这些安全管理规范落实情况不尽如人意，究其原因是缺乏行之有效的管理手段。 私自卸载北信源源客户端，或北信源客户端不正常，造成服务端无法控制，要求能提示重新安装客户端，让该终端主机再次接入网络时重新认证。 1.2、什么样的网络环境, 准入能与北信源桌面管理软件相结合？ DHCP网络环境; 核心交换机是思科交换机，支持EOU协议; 对固定IP地址网络环境，而且核心交换机不支持EOU协议的网络，允许使用ARP重定向技术。 注:本文作者扣扣1307300313, 电二、解决方案 2.1、方案部署拓朴图 产品部署拓朴结构 网络拓朴说明： 1、终端准入设备是旁路方式接在核心交换机上, 由于准入设备是多接口的，对于网段数不多的网络，可以一个接口管理一个VLAN，各网段分别接入准入设备的不同接口，各自进行准入控制。 2、对于多VLAN的，可以采用核心交换机的TRUNK口接准入设备的一个接口，这样可以一个准入接口可以管理多个VLAN。实现每个VLAN的准入控制。 3、准入与核心交换机通过TELNET/SSH方式联动。 4、汇聚层或接入层交换机启用DHCP Snooping +IP SOURCE GURARD或 DAI，DHCP Snooping有效防止网络中的非法DHCP服务。IP SOURCE GURARD或 DAI功能有效解决终端主机私自设置IP， 同时解决了内网中固定IP的服务器, 直接在交换机上建立合法的绑定表。 2.2 采用DHCP准入与北信源结合 宝界终端准入控制系统旁路接在三层核心交换机的一个TRUNK口，原有的三层核心提供的DHCP服务由宝界终端准入控制系统提供，由宝界终端准入控制系统对内网的所有终端做扫描检查，采用DHCP准入控制技术，所有主机先获取到隔离网段的IP地址，只有通过实名/CA认证检查，以及北信源客户端安装检查，通过后才能分配到内网的工作VLAN的IP。 2.3 采用IPMAC准入+ARP重定向实现与北信源结合 宝界终端准入控制系统旁路接在三层核心交换机的一个TRUNK口，原有三层核心提供的DHCP服务仍不变，或原有的专门DHCP服务器仍正常提供DHCP服务，由宝界终端准入控制系统与三层核心交换机做联动, 对内网的所有终端做扫描检查，可以对现有的合法主机建立白名单体系，针对不同的主机可以做灵活的检查规则，如只需要实名/CA认证检查，或北信源客户端是否安装检查，也可以二者都要求符合才能接入内网。外来的非法主机，打开IE 自动跳转到认证页面, 进行实名认证以及北信源客户端安装，符合这二个条件才能接入内网。 针对固定IP的网络环境，由宝界终端准入控制系统与三层核心交换机做联动, 对内网的所有终端做扫描检查，可以对现有的合法主机建立白名单体系，准入设备采用IPMAC准入+arp重定向实现, 针对不同的主机可以做灵活的检查规则，如只需要实名/CA认证检查，或北信源客户端是否安装检查，也可以二者都要求符合才能接入内网。外来的非法主机，打开IE 自动跳转到认证页面, 进行实名认证以及北信源客户端安装，符合这二个条件才能接入内网。 2.4、终端准入与北信源桌管软件结合工作流程 DHCP准入与北信源结合的准入流程 通过宝界终端准入管理系统，与现有的北信源内网管理服务器的有效联动，接入的主机，首先动态分配到宝界指定的隔离网段IP地址，其网关指向到宝界准入设备，打开IE，自动跳转到实名认证、CA证书验证页面，输入网管人员分配的实名帐号或USB接口插上分配的CA证书，认证通过后，如果该主机已安装了北信源客户端，就可以分配到合法的工作网段的IP地址，网关指向到三层交换机VLAN接口地址。如果该主机没有安装北信源客户端，则跳转到客户端安装页面，安装好后才能分配到工作IP。 1、启用DHCP准入方式 2、设置隔离网段与工作网段，以及检测条件 3、接入主机先分配到宝界准入控制系统指定的隔离网段： 4、打开IE会跳转到实名认证、CA证书验证页面： 如果需要实名认证的，选择实名登录，输入网管分配的实名用户帐号登录 如果需要CA证书验证，选择相应的证书验证菜单选项，USB口插上分配到的 CA证书。如该主机是第一次使用CA，需要安装相应的CA证书驱动，已安装过驱动的主机可以直接验证。 至此，实名认证或CA证书验证通过后，该主机如已安装过北信源客户端，就能分配到工作网段，可以正常访问内网。如没有安装北信源客户端，会接下面步骤安装北信源客户端。 5、没有安装北信源客户端的自动跳转到提示安装界