EOU讲训文档设计.ppt

华东区-Daniel EOU准入控制 联软科技－用服中心 目前你了解联软的哪几种认证方式? 基于端口/MAC的802.1x准入控制； 基于ACL的EOU准入控制； 基于简单安全助手认证； 基于NACC的EOU准入认证 传统的几种认证方式 几种认证方式的对比 准入方式 类型 优点 缺点 应用场合 基于端口/MAC的802.1x认证 公用协议 公有协议大部分设备都支持 控制方式不灵活 多厂商设备混用的单位 基于ACL的EOU认证 Cisco 私有 控制方式灵活 私有协议不支持trunk 环境全是cisco3560的设备 基于简单安全助手的认证 联软私有 认证简单 安全性太差 对安全要求不高的公司 基于NACC的EOU认证 联软私有 部署实施容易 可能会增大交换机的负担 HUB比较多的环境 1 EOU原理 2 EOU相关的几个概念 1 1 EOU在Uniaccess的应用 3 EOU的命令分析 1 4 ５ EOU认证故障诊断 ACL:对网络起限制作用 TRUNK:EOU不能应用在trunk口上 NAC:network admission control EOU： EAP over UDP NAC L2 IP ? EAP over UDP 安全状态检查(L2交换机端口) 在交换机实现NAC是，其称作NAC-L2-IP NAC L3 IP ? EAP over UDP 安全状态检查(Routers and VPN) EOU几个相关的概念 EOU的原理 EAPOU是Cisco的专有协议，即独家技术。 EAPOU是在网络的汇聚层或核心层进行准入控制。当支持EAPOU的汇聚层设备接收到终端设备发来的数据包时，汇聚层EAPOU设备将要求终端设备进行EAP认证。EAP认证包封装在UDP包内，在EAP认证的内容中，身份认证其实并不重要，重要的则是安全状态认证。如果安全状态不符合企业策略，汇聚层EAPOU设备将从策略服务器上下载ACL，限制不安全的客户端的网络访问，并对其进行修复。 EOU的原理 EAP over UDP认证 通过ACL来控制终端访问 动态下载ACL和重定向URL 依据终端身份及安全状态 终端可以通过HUB、无线AP、VPN接入 只要中间有支持NAC-L2/3-IP的设备 ＋ Radius 访客可 访问 资源 安全区 资源 修复区 资源 身份＋安全状态+硬件ID EAP over UDP ACL访问控制 对无Agent终端做URL重定向提醒 EOU在Uniaccess的应用 Leagview服务器上 ACL与部门对应关系设置， Agentless终端以及非安全终端的ACL 网络准入控制策略 用户、机器验证策略 网络交换机上 ACL设置 网络交换机上启用AAA认证： aaa new-model aaa authentication default group radius aaa authorization default group radius 网络交换机上配置Radius服务器 如果有两台，配置两条，第一条的优先 启用EOU 全局配置模式下的命令：ip admission, ip device tracking等 接口下面的命令 EOU在Uniaccess的应用 EOU在uniaccess应用中的认证过程分析 基本步骤： PC(with agent)------------switch-------------auth server(radius） switch检测到pc产生流量之后，向pc发送认证请求 agent响应该认证请求，并且将pc的状态一并发送给switch switch将pc的状态信息放入radius报文，发送给认证服务器 认证服务器根据信息，判断pc的状态，并根据结果，向switch返回信息，内容主要包括：将该端口置于何种状态（不同的状态会在接口上生成不同的ACL），以及对该PC，哪些web访问会被重定向。 EOU在Uniaccess的应用 怎么设计EOU准入方案？ 确定用户具体的需求。 确定实施环境是否具备。结合实际情况设计方案。实际网络结构是什么？交换机之间的连接关系？交换机负载终端？终端环境？ 应急措施 实施EOU准入要注意的地方？ 不能随便在用户现场采用clear eou all . 不能随便在用户的环境随便开启debug eou 等功能。 有IP电话的情况下。怎么去做例外？ EOU应急方案 aaa down policy 的应用 启用EOU的前题 允许访问LeagView服务器 允许EoU认证包 允许ping 允许DHCP包 允许DNS包 禁止其它 启用EOU需要放行以下地址或数据包 EOU的后台配置 1、通过telnet命令