EOU培训文档设计.ppt

目前你了解联软的哪几种认证方式? 基于端口/MAC的802.1x准入控制； 基于ACL的EOU准入控制； 基于简单安全助手认证； 基于NACC的EOU准入认证,传统的几种认证方式,几种认证方式的对比,EOU认证故障诊断,ACL:对网络起限制作用 TRUNK:EOU不能应用在trunk口上 NAC:network admission control EOU： EAP over UDP NAC L2 IP EAP over UDP 安全状态检查(L2交换机端口) 在交换机实现NAC是，其称作NAC-L2-IP NAC L3 IP EAP over UDP 安全状态检查(Routers and VPN),EOU几个相关的概念,EOU的原理,EAPOU是Cisco的专有协议，即独家技术。 EAPOU是在网络的汇聚层或核心层进行准入控制。当支持EAPOU的汇聚层设备接收到终端设备发来的数据包时，汇聚层EAPOU设备将要求终端设备进行EAP认证。EAP认证包封装在UDP包内，在EAP认证的内容中，身份认证其实并不重要，重要的则是安全状态认证。如果安全状态不符合企业策略，汇聚层EAPOU设备将从策略服务器上下载ACL，限制不安全的客户端的网络访问，并对其进行修复。,EOU的原理,EAP over UDP认证 通过ACL来控制终端访问 动态下载ACL和重定向URL 依据终端身份及安全状态 终端可以通过HUB、无线AP、VPN接入 只要中间有支持NAC-L2/3-IP的设备,EOU在Uniaccess的应用,Leagview服务器上 ACL与部门对应关系设置， Agentless终端以及非安全终端的ACL 网络准入控制策略 用户、机器验证策略 网络交换机上 ACL设置 网络交换机上启用AAA认证： aaa new-model aaa authentication default group radius aaa authorization default group radius 网络交换机上配置Radius服务器 如果有两台，配置两条，第一条的优先 启用EOU 全局配置模式下的命令：ip admission, ip device tracking等 接口下面的命令,EOU在Uniaccess的应用,EOU在uniaccess应用中的认证过程分析 基本步骤： PC(with agent)-switch-auth server(radius） switch检测到pc产生流量之后，向pc发送认证请求 agent响应该认证请求，并且将pc的状态一并发送给switch switch将pc的状态信息放入radius报文，发送给认证服务器 认证服务器根据信息，判断pc的状态，并根据结果，向switch返回信息，内容主要包括：将该端口置于何种状态（不同的状态会在接口上生成不同的ACL），以及对该PC，哪些web访问会被重定向。,EOU在Uniaccess的应用,怎么设计EOU准入方案？ 确定用户具体的需求。 确定实施环境是否具备。结合实际情况设计方案。实际网络结构是什么？交换机之间的连接关系？交换机负载终端？终端环境？ 应急措施 实施EOU准入要注意的地方？ 不能随便在用户现场采用clear eou all . 不能随便在用户的环境随便开启debug eou 等功能。 有IP电话的情况下。怎么去做例外？ EOU应急方案 aaa down policy 的应用,启用EOU的前题,允许访问LeagView服务器 允许EoU认证包 允许ping 允许DHCP包 允许DNS包 禁止其它,启用EOU需要放行以下地址或数据包,EOU的后台配置,1、通过telnet命令行登录到交换机上，进入特权模式，配置交换机对RADIUS服务器的支持； 运行configure terminal进入到全局配置模式，运行以下命令 #启用 AAA aaa new-model #创建缺省的登录认证方法列表，采用line password认证。 aaa authentication login default line none #创建EoU认证方法列表, group radius表示使用Radius服务进行认证 aaa authentication eou default group radius aaa authorization network default group radius,EOU的命令分析,以下型号的Cisco设备(交换机)支持 (eou)准入控制： Catalyst 3550/3560/3750/4500/4900/6500,#创建ip准入控制名称(NAC-L2-IP是名称，可以自己任意指定) ip admission name NAC-L2-IP eapoudp #启动网络设备的设备追踪功能 ip device tracking #配置一些EoU的参数 #允许网络设备将无代理的设备的信息发送到Radius服务器进行认证（根据IP、Mac地址） eou allow clientless #设置重传的超时和次数。使用30秒、3次这个设置可以避免代理启动过慢被交换机误认为是无代理设备。如果代理启动速度加快了，这两个参数可以适当减小 eou timeout retransmit 30 eou max-retry 3,EOU的命令分析,EOU的命令分析,#配置一个接口默认的ACL，建议至少允许以下几种IP包：udp21862端口（EoU认证需要）、DHCP（获取IP地址）、DNS（允许获取域名的IP地址，以便http可以重定向）、ICMP（允许ping和被ping利于诊断）、LeagView服务器所在的IP地址访问、其它修复服务器的地址（例如反病毒软件安装服务器、补丁服务器等） ip access-list extended interface_default_acl permit udp any any eq 21862 permit udp any eq bootpc any eq bootps permit udp any any eq domain permit icmp any any permit ip any host 0 permit ip any host 04 deny ip any any #配置一个ACL，用来定义要重定向的Http访问。下例中，假定所有的其它Http访问被重定向到04 ip access-list extended quaratine_url_redir_acl deny tcp any host 04 eq www permit tcp any any eq www permit tcp any any eq 443,#配置radius服务器 radius-server attribute 8 include-in-access-req radius-server host 0 auth-port 1812 acct-port 1646 key secret #将dead的Radius的优先级降低，缺省情况下不调整优先级别 #当已经发现第一个Radius dead时，如果有认证请求，直接将认证包发给第二个 radius-server retry method reorder #指定网络交换机向radius服务器的认证包的重传次数，缺省值为3 #减少该值有可以更快地切换到下一台Radius服务器来做认证 radius-server retransmit 2 #指定认证包的超时，缺省为5秒 radius-server timeout 3 #设置deadtime为3分钟，3分钟后网络设备会再次尝试 radius-server deadtime 3 指定交换机发送Radius包时加上Cisco自己的扩展（以便解析接入端口名） radius-server vsa send authentication,EOU的命令分析,EOU的命令分析,#启动交换机上的Http服务器（如果需要URL重定向功能的话） ip http server #在某个端口上启动NAC-L2-IP（例如interface giga 1/0/1） interface giga 1/0/1 ip access-group interface_default_acl in ip admission NAC-L2-IP #查看EoU接入情况 show eou all #查看某个端口上的ACL应用情况 show ip access-lists interface giga 1/0/47 #清除某个设备的EoU会话（以便开始一次新的认证过程） clear eou ip xxx.xxx.xxx.xxx,EOU认证故障诊断,问题一般处理流程： 1: 先全局，后局部。基本定位问题。 2：从认证过程着手。 客户端 网络访问设备 策略服务器 如何查找IOS的特性？ 如何验证交换机与radius的连通性？ Test aaa group radius username password new-code 采用公司的radius测试工具,EOU认证故障诊断,EOU认证故障诊断,问题： Agent的EOU认证界面没有反应，表明没有收到认证包。但是使用Ethereal 能抓到认证包。 原因分析： 显然是Window防火墙把认证包阻止了。打开Windows防火墙配置界面，发现防火墙服务ICS无法启动，报错“拒绝访问”，错误码5。这种报错是意料之外的，因此很可能是安装第三方程序引起的。重启机器，进入带网络连接的安全模式，Agent的EOU认证正常。凭这点可以断定必然是安装第三方程序引起的，因为在安全模式下没有加载这些程序。 解决方法： 在安全模式下，运行autoruns.exe 工具（这个工具的作用是列出当前所有的自动启动项）。仔细查看，把不明自动启动项全部去掉，重启机器，故障解决。如果有时间，可以一个个去掉，每去掉一个就重启机器试试，这样可以找出具体是哪个自动启