环境:Citrix PVS应用环境
需求:Citrix PVS办公环境桌面准入控制,防止有盘设备非法接入,盗取内部文件。
网络设备:H3C S3600-28TP-SI接入交换机,支持802.1X协议;
准入系统:SEP SNOC +硬件 Enforcer
准入策略:桌面接入设备安装SEP客户端允许接入
难点:接入交换机端口启用802.1X认证,端口只允许通过广播报文+EAPOL报文,导致PVS客户端无法正常启动,但因允许DHCP广播包,PVS可以正常获取IP地址;
切入思路:如果交换机开放 未认证的设备 访问PVS服务器,使PVS正常启动,经测试H3C交换机可以通过 配置 free-ip实现,具体配置如下:
HQ-CR-AGG-D4-31>dis cu
#
sysname HQ-CR-AGG-D4-31
#
domain default enable 2000
#
loopback-detection enable
#
dot1x
dot1x authentication-method eap
undo dot1x handshake enable \\建议关闭二次认证握手机制
dot1x url http://10.30.0.21 \\比配,无实际意义
dot1x free-ip 10.1.2.0 255.255.255.0 \\域控服务器
dot1x free-ip 10.30.11.0 255.255.255.0 \\PVS服务器
#
radius scheme system
radius scheme 2000
server-type standard
primary authentication 10.1.0.110
primary accounting 10.1.0.110
accounting optional
key authentication dahua
key accounting dahua
user-name-format without-domain
#
domain 2000
scheme radius-scheme 2000 local
domain system
#
local-user ###
password cipher ******
service-type telnet
level 3
#
vlan 1
#
vlan 7
#
vlan 80
#
vlan 134
description D4.PVS
#
vlan 144
description D4.Device
#
interface Vlan-interface1
ip address 100.1.4.43 255.255.0.0
#
interface Aux1/0/0
interface Ethernet1/0/12
port access vlan 134
dot1x
转载于:https://blog.51cto.com/maybe/716375