走出华三EAD误区

长久以来由于对802.1x协议以及华三EAD的一知半解,我一直认为只有接入交换机是华三的并且支持EAD才能对用户进行安全检查隔离、桌面资产管理等EAD业务,然而当对EAD工作过程进行进一步分析时发现并不是这样。以前我们为了实现EAD业务而不得不采购特别交换机是完全没有必要的,下面对华三EAD进行简要的分析。

一:什么是EAD

EAD终端准入控制,并不是单一一个技术,而是通过多种硬件软件以及协议的相互协同实现网络准入,终端安全,桌面管理的一个解决方案。也可以说是华三对802.1X认证的一种扩展,使其具有认证授权功能之外又增加了一些高级功能。所以在配置的时候才会有扩展模式与标准模式之分,要实现高级功能就必须采用扩展模式。

IMC智能管理中心的所有功能都是通过各个组件来实现的。比如UAM组件,UAM是用来实现用户的用户认证以及策略下发的。而EAD组件是基于UAM安装的,用来实现用户安全检查、桌面管理等。

二:EAD的工作过程

 

 wKioL1SbgB3DYuGgAAHtVWGP-z0461.jpg

上图是终端用户安全接入的4个步骤。从图中可以清楚地看出用户是先进行身份验证,再进行安全检查,最后是动态授权。这个过程的报文交互如下图所示:

spacer.gif

从图中可以看出,用户身份认证成功之后IMC EAD组件就向接入设备下发隔离ACL,之后触发安全检查。当安全检查通过之后给接入设备下发安全ACL,用户正常上网。如果用户安全检查不通过则会一直被隔离ACL隔离。

三:存在哪些EAD误区

  • 误区1:只有交换机支持EAD,才能对用户进行安全检查,并达到限制不安全用户接入。

  • 误区2:只有华三的交换机才能与IMC配合实现控制不安全用户的接入。

四:深入分析

从报文交互过程可以看出:

1:安全检查是安全策略服务器与inode客户端直接交互的。

2:此处下发ACL是下发给认证设备,所以设备必须支持EAD

从这两点我们可以推测,既然安全检查与接入设备没有关系,那么接入设备为什么必须要支持EAD?我们可以想到的答案是:因为安全ACL需要下发给接入设备。那么如果我们把ACL直接下发给inode客户端,那么接入设备是不是就不需要支持EAD了?答案是肯定的。安全设备并不需要支持EAD也能实现对用户的安全检查。另外需要说明的是即使不下发ACL,我们也可以通过将安全级别调成“下线”来强制不安全的用户下线。(与思科设备配合使用)

五:测试实验

1):实验环境

spacer.gif

2):实验步骤

  • ACL下发到设备。

1:新建安全级别:简单检查

spacer.gif

 

 2:新建安全策略:eadtest

spacer.gif

3:新建接入服务:ead测试

spacer.gif

 

4:新建用户:ead

spacer.gif

5:测试结果:

为安装杀毒软件

安全检查触发,但是不通过

用户能正常上网

安装杀毒软件

安全检查触发,并通过

用户能正常上网

    

  • ACL下发到inode客户端

与下发到设备相比将ACL下发到客户端需要增加客户端ACL,其他步骤基本相同。

1:新建客户端ACL

spacer.gif

2:新建安全策略时选择ACL下发到客户端

spacer.gif

 

3Inode客户端配置。

由于inode客户端必须支持ACL,所以要重新定制lnode客户端具体过程如下

打开inode管理中心,客户端定制选择高级定制

spacer.gif

在基本功能选项中启用ACL功能。

spacer.gif

 

4)实验结果

  • 未安装杀毒软件

spacer.gif

  • 安装杀毒软件

spacer.gif

 

不安装杀毒软件

安全检查触发,但是不通过

ACL生效,不能访问外网

安装杀毒软件

安全检查触发,并通过

ACL生效,能访问外网

 

 

六:结论:

1:安全检查与接入交换机无关,不管接入交换机是否支持EAD都会触发安全检查。

2:接入交换机是否支持EAD,只在ACL下发的时候起作用,如果ACL下发到设备且设备不支持EAD,那么ACL将不会生效

3:可以通过将ACL下发到inode客户端,在交换机不支持EAD的情况下实现安全检查。

4:配置ACL资源,今后新增交换机时可以不需要配置ACL

spacer.gif

相关链接:

http://wenku.baidu.com/link?url=UUIDvNykXuL4TEVXUC1z4ByIcOc5GX9YGJ9IJHy1cGdyU-RbbC9D8U4WeH2X2na8o8Pmr4OFG_1c0UcIRFERr2wNxDRnJHWYyJ-McL4sit_