神州数码3D-SMP安全攻防技术汇编(三)--交换机侧可信接入解决方案专题.pdf

3D-SMP安全攻防技术汇编(三) 交换机侧可信安全接入解决方案专题 神州数码网络公司 目录 前言3 场景一4 1.1 概述4 1.2 相关技术4 1.2.1 Option82 功能介绍4 1.2.2 Option 82 报文结构4 1.2.3 Option 82 工作原理6 1.2.3 基于Option82 的802.1X认证7 1.3 场景实现8 1.3.1 访问者可以访问外网，但是不能访问内网8 1.3.2 内部员工可以访问内外网9 1.4 配置步骤10 场景二14 2.1 概述14 2.2 相关技术14 2.2.1 Auto VLAN介绍14 2.2.2 Guest VLAN介绍15 2.2.3 主要特性16 2.3 场景实现16 2.3.1 访问者或者新员工可以且仅能访问内网有限资源16 2.3.2 正式员工可以无限制访问内外网18 2.4 配置步骤18 场景三21 3.1 概述21 3.2 相关技术21 3.2.1 FreeResource介绍21 3.3 场景实现22 3.4 配置步骤23 前言 3D-SMP 是我司全网安全主张，为此已经推出了一系列解决方案专题，在售前端、客户 端都得到了很中肯的评价。其中最为重要的TSA （Trusted Security Access ）可信安全接入， 是我司遵循TNC 标准，推出的具有行业领先性的整体解决方案。 在TSA 解决方案中，论述了可信接入的理论基础、方案架构，但对于交换机侧可信接 入的技术实现缺乏详细的原理、配置说明，为此特撰写本汇编（二）文档进行阐述。 本汇编可以成为TSA 解决方案的配套文档，提升我司交换机产品线的附加值；也可以 成为用户和技术人员的使用手册。 文档设计了三个实际应用场景进行叙述，在不用 IP 地址分配方式的情况下，分别引出 我司交换机DHCP option82，FreeResource，AutoVlan ，GuestVlan，802.1X 等功能，力 求做到通俗易懂，贴近用户需求。这四个场景涵盖了几乎所有的用户接入的需求，如下表所 示： 网络使用者 内网 外网 举例说明 访问者 不能访问 能访问 高校学术交流，与会者在会务期间，需要访问 场景一 Internet，但出于安全考虑，这些临时来访者应 内部员工 能访问 能访问 当不允许访问学校内网。 访问者或者新员 受限访问 不能访问 新员工初次接入内网，需要下载相关办公软件、 工 场景二 认证客户端，并检查PC 的完整性是否符合企业 正式员工 无限访问 能访问 要求。 未认证通过 不能访问 不能访问 政府内网由于涉及到机要信息，接入到政府内网 的所有PC 终端