UniNAC系统所支持准入认证方式最佳实践.pdf

UniNAC 系统所支持的准入认证方式最佳实践 1、需求描述 系统在网络环境下通过支持802.1x、EOU 的交换机网络设备结合联软准入NACC 网关共 同完成对办公电脑通过LAN 端口或HUB 或无线AP 或服务器、打印机进行接入网络控制，并 可实现对无线笔记本、智能设备通过无线准入控制来进行接入网络控制。所以控制方式都存 在着三种状态：a、未安装安全助手；b、身份验证失败；c、不满足接入安全检查策略。 2、需求实现 为了更加清楚的阐述如何实现需求，本专题说均采用如下拓扑 图表1 拓扑图 无论使用AD 域账号还是吉大智能卡证书： 一、EOU\NACC 准入网关认证 1. 未安装准入客户端，受无助手所对应的ACL 控制，只能访问ACL 中允许的网络资源， 且访问IE 浏览器页面会重定向到提示“下载客户端软件”页面； 2. 身份验证失败，受验证失败所对应的ACL 控制，只能访问该ACL 中允许的网络资源， 且访问 IE 浏览器访问不允许所产生的流量时触发页面重定向，重定向到提示“*身份验证失 败*”的页面； 3. 不满足接入安全检查策略，受安全检查违规所对应的ACL 控制，只能访问该ACL 中允 许的网络资源，且访问 IE 浏览器访问不允许所产生的流量时触发页面重定向，重定向到提 示“*不满足接入安全检查策略*”的页面； 4. 除已添加到 UACL_NAH 例外的外，其他都需要安装安全客户端并身份验证合法且满足 接入完全检查甚至绑定的要求。 二、802.1x 认证 1. 未安装准入客户端，端口自动被切换到guest vlan 即vlan5 ，终端电脑通过DHCP 服务 器 自动获取到guest vlan 的IP 地址，获取到IP 地址后，在终端上访 打开IE 访问 触发流量，流量经策略路由引到准入网关上，在终端上再次打开IE 输入 页面被重定向到下载准入客户端页面，要求下载客户端； 2. 身份验证失败（错误的AD 域账号或非法、过期、吊销的证书），端口自动被切换到repair vlan 即vlan5 ，终端电脑通过 DHCP 服务器 自动获取到repair vlan 的 IP 地址 ，获取到IP 地址后，助手提示“*身份验证失败*”，同时在终端上访打开IE 访问 触发流量，流量经策略路由引到准入网关上，在终端上再次打开IE 输入 页面 被重定向到提示“*身份验证失败*”的重定向页面； 3. 不满足接入安全检查策略（如：违反共享文件规定，不能存在everyone 权限的读写共 享文件），端口自动被切换到repair vlan 即vlan5 ，终端电脑通过DHCP 服务器 自 动获取到repair vlan 的IP 地址，获取到IP 地址后，助手提示“*不满足接入安全 检查策略*”，同时在终端上访打开IE 访问 触发流量，流量经策略路由引到准入网关 上，在终端上再次打开IE 输入 页面被重定向到提示“*不满足接入安全检查*”的重定 向页面；。 图表2 准入认证PC 终端未安装准入客户端 图表3 准入认证PC 终端未安装准入客户端自动被切换到访客VLAN 并自动获取IP 图表4 准入认证PC 终端未安装准入客户端流量被引到NACC 准入网关进行重定向认证 图表5 准入认证PC 终端未安装准入客户端访问IE 被重定向到下载页面 图表6 准入认证PC 终端未安装准入客户端访问IE 被重定向到下载页面下载助手 图表7 准入认证PC 终端安装准入客户端后自动获取AD 域账号通过认证需重启电脑 图表8 准入认证PC 终端安装准入客户端后重启电脑助手自动认证 图表9 准入认证PC 终端安装准入客户端后使用错误AD 域账户认证 图表10 准入认证PC 终端安装客户端后使用错误AD 域账户完成端口和重定向认证 图表11 准入认证PC 终端安装客户端后用错误AD 域账户认证后访问IE 被重定向 图表12 准入认证PC 终端安装客户端后用正确AD 域账户认证后不符合安全检查 图表13 准入认证PC 终端安装客户端后用正确AD 域账户认证后不符合安全检查被重定向 图表14 准入认证PC 终端安装客户端后用正确AD 域账户认证后修复安全漏洞 图表15 准入认证PC 终端安装客户端后用合法智能卡证书认证 图表16 准入认证PC 终端安装客户端后用合法智能卡证书认证（拔KEY 断网） 图表1