H3C_EAD安全解决方案及实施步骤.doc

H3C EAD 安全解决方案指导书安全解决方案指导书 实施方案实施方案 二零一零年十二月四日二零一零年十二月四日 目录 1EAD 解决方案介绍 4 1 1EAD 系统介绍 4 2EAD 解决方案实施指导 5 2 1802 1X认证方式 5 2 1 1协议综述 5 2 1 2802 1X 认证体系的结构 5 2 1 3802 1x 典型组网 6 2 1 4802 1x 与其他认证协议的简单比较 9 2 2PORTAL认证方式 9 2 2 1 Portal 协议概述 9 2 2 3 portal 典型组网 12 2 2 4 portal 协议旁挂方式认证流程图 14 2 2 5 portal 两种方式组网的优缺点 15 2 3L2TP VPN EAD 15 2 4无线 EAD 16 3INODE 客户端安装及配置 17 3 1INODE客户端软件安装的软硬件环境需求 17 3 2各种环境下INODE客户端的安装指导 18 3 2 1802 1x 环境下的 iNode 客户端安装过程 18 3 2 2Portal 环境下 iNode 软件的安装 21 3 2 3l2tp 环境下的 iNode 软件的安装 25 3 3INODE终端配置 25 3 3 1802 1x 组网环境终端配置 25 3 3 2Portal 环境下客户端设置 30 3 3 3L2TP 环境下 iNode 软件的设置 33 4接入设备端配置 37 4 18021X环境下接入层设备配置举例 38 4 2PORTAL环境下接入设备的配置 42 4 3L2TP VPN终端设备配置 44 5RADIUS 服务器配置 47 5 1802 1X 服务器端配置 47 5 1 1接入设备配置 47 5 1 2EAD 安全策略创建 49 5 1 3创建服务 关联创建的 EAD 安全策略 51 5 1 4创建接入用户 关联服务 52 5 2PORTAL环境下 IMC 智能管理中心 端相应配置 53 5 2 1portal 部分操作 53 5 2 2增加安全策略 54 5 2 3增加服务 并关联安全策略 55 5 2 4创建接入用户 关联服务 55 1EAD 解决方案介绍 1 1 EAD 系统介绍 H3C EAD Endpoint Admission Defense 端点准入防御 解决方案是一套 融合网络设备 用户终端和第三方安全产品的全网安全体系框架 其目的是整 合孤立的单点安全部件 形成完整的网络安全体系 最终为用户提供端到端的 安全防护 iMC EAD 组件是 EAD 解决方案的核心部件 通过这种防病毒软件 安全 客户端 接入设备 iMC 智能管理中心的整合 EAD 解决方案能够防止已感染 病毒或存在系统漏洞的用户终端对网络中的其他用户产生危害 保护缺乏防御 能力的用户因暴露在非安全的网络中而受到威胁 避免来自网络内部的入侵 再配合传统的防火墙或 IDS 设备 最大限度的防止非法入侵 在 EAD 解决方 案的框架下 用户的认证过程可以分为两个步骤 用户身份认证和安全认证 用户身份认证在 iMC UAM 组件上进行 通过用户名和密码来确定用户是 否合法 身份认证通过后 用户处在隔离区 与此同时发起安全认证 安全认 证由 iMC EAD 组件完成 如果安全认证通过 则用户的隔离状态被解除 可 以正常访问网络资源 如果安全认证不通过 则继续隔离用户 直到用户完成 相关修复操作后通过安全认证为止 iMC EAD 组件 iMC 智能管理平台组件 含 UAM 接入 必须与设备 客 户端 第三方服务器等配合才能形成完整的 EAD 解决方案 下图是 iMC EAD 的结构图 2EAD 解决方案实施指导 EAD 安全解决方案适于各种网络环境中的部署 针对现网中的各种复杂应用 环境和组网模式 H3C 的 EAD 安全解决方案都提供了完善而有针对性解决方案 就目前应用场景来说 最常见的组网模式大致有以下几种 802 1x 环境 Portal 环境 L2tp 环境 下面依次都各个组网模式进行介绍 其中的无线认证方式 是作为有 线网络的补充和延伸 客户端的安装 服务器端的设置是一样的 做到了解即 可 重点说明有线网络环境下的 EAD 安全解决方案如何实施 2 1 802 1x 认证方式 2 1 1协议综述 IEEE 802 1x 称为基于端口的访问控制协议 Port based network access control protocol 主要是为了解决局域网用户的接入认证问题 IEEE 802 1x协议的体系结构包括三个重要的部分 客户端 Supplicant System 认证系统 Authenticator System 认证服务器 Authentication Server System 客户端用户通过启动客户端软件发起802 1x协议的认证 EAPOL报文 经过认证系统的受控口和认证服务器进行认证交互后 如通过认证 则用户接 入网络成功 2 1 2802 1X 认证体系的结构 IEEE 802 1X 的体系结构中包括三个主要部分 Supplicant System 客户端系统 Authenticator System 认证系统 Authentication Sever System 认证服务器系统 三者的关系如下图 Controlled Port Uncontrolled Port EAPOL IEEE 802 1X 的体系结构图 2 1 3802 1x 典型组网 802 1X 推荐的组网推荐的组网 组网说明 组网说明 1 802 1x 认证起在接入层交换机上 2 采用二次 ACL 下发的方式 隔离 acl 安全 acl 来实现对安全 检查不合格的用户进行隔离 对安全检查合格的用户放行 3 由于是二次 acl 下发的方式 要求接入层交换机为 H3C 交换机 具体的交换机型号请参考 EAD 的产品版本配套表 4 控制点低 控制严格 采用 802 1x 认证方式 接入用户未通 过认证前无法访问任何网络资源 5 由于 802 1x 控制非常严格 非通过认证的用户无法访问任何 网络资源 但有些场景下用户需要用户未认证前能访问一些服务 器 如 DHCP DNS AD active directory 域控 此时可采用 802 1x 的免认证规则 具体配置参照华三相关设备操作手册 6 为确保性能 iMC EAD 一般要求分布式部署 7 对于不支持二次 acl 下发的交换机 我司部分设备及所有第 三方厂家交换机 可以通过使用 iNode 的客户端 acl 功能来实现 隔离区的构造 即将原本下发到设备上的 acl 下发到 iNode 客户 端上 中间设备只需做到能透传 EAP 封装 radius 属性即可 8 二次 acl 下发需要 iNode 定制 客户端 acl 特性 该特性需 要 iNode 安装额外的驱动 对终端操作系统的稳定性有较高的要 求 9 在接入层设备不是 H3C 交换机的情况下 由于设备不支持二次 acl 下发无法采用二次 acl 下发的方式来构造隔离区 此时可以通 过下线 不安全提示阈值的方式来模拟构造隔离区 实现 EAD 功 能 具体实现为 用户安全检查不合格时 EAD 不立即将终端用户 下线而是给出一定的修复时间 不安全提示阈值 终端用户可以 如果在该时间内完成的安全策略修复则可以正常通过 EAD 认证访 问网络 如果在该时间内未完成安全策略修复则被下线 组网说明 组网说明 802 1x 认证起在接入层交换机上 要求接入层交换机对 802 1x 协 议有很好的支持 控制点低 控制严格 终端用户 DHCP 或静态 IP 地址均可 采用下线 不安全提示阈值方式认证过程简单 稳定 由于终端用户在不安全时在 不安全提示阈值 时间内与安全用 户访问网络的权限是一样的 安全性上不如二次 acl 下发方式好 802 1X 的认证过程 802 1x的基本认证过程是 的基本认证过程是 1 最初通道的状态为unauthorized 认证系统处于Initial状态 此时客户端 和认证系统通道上只能通过EAPOL报文 2 用户端返回response报文后 认证系统接收到EAP报文后承载在Radius 格式的报文中 再发送到认证服务器 认证服务器接受到认证系统传递 过来的认证需求 认证完成后将认证结果下发给认证系统 完成对端口 的管理 3 认证通过后 通道的状态切换为authorized 用户的流量就将接受 VLAN CAR参数 优先级 用户的访问控制列表等参数的监管 此时 该通道可以通过任何报文 认证通过之后的保持认证通过之后的保持 认证系统 Authenticator 可以定时要求 Client 重新认证 时间可设 重新认 证的过程对 User 是透明的 2 1 4 802 1x 与其他认证协议的简单比较 认证协议802 1xPppoeweb 是否需安装客 户端软件 需要 Windows xp 系统不需 需要不需 业务报文传送 效率 高低高 组播支持能力好不好好 设备端要求低高较高 处理流程清晰清晰复杂 有线网上安全 性 扩展后可用可用可用 2 2Portal 认证方式 2 2 1 Portal 协议概述 Portal 协议在英语中是 入口 的意思 portal 认证通常称为 web 认 证 基本思想为未认证用户访问网络时会被强制重定向到某站点 进 行身份认证只有通过身份认证才能访问网络资源 2 2 2 portal 协议原理 Portal 协议框架如上所示 portal 的认证方式分为两种 一种为 IE 浏览器 也 即 web 认证方式 另一种为 inode 客户端认证方式 Portal 协议是一种基于 UDP 报文 包括 portal server 和 portal 设备两个协议主体的认证协议 交互流程 如下所示 对于这两种认证方式 认证的流程用下 Web 认证方式 用户输入域名或者 ip 地址后发起 http 请求 portal 设备经处理 后 反馈给用户一个强制认证的页面 需要用户输入账号和密码进行验证 用户浏览器将用户名和密码发送给 porta web 后 经过中间 bas 设备将 portal 报 文转换为 radius 报文 将用户名和密码封装后发送给后方的端点准入控制服务 器进行验证 认证成功后 用户即能正常访问网络资源 否则提示用户验证失 败 访问受限 采用 inode 客户端方式认证 这种方式用户直接在 inode 客户端中输入用户名和 密码 总局人员只有第一次安装时输入 以后每次开机自启动 经 bas 设备 中间的交换设备 重定向给 inode 后 剩下的报文在 inode 客户端和 portal 核 心之间交互 Portal 核心通过和 bas 设备的交互 将用户名和密码传送给 bas 设备 bas 设备 和端点准入控制服务器之间进行 radius 报文的交互 认证成功后 用户即可访 问网络资源 认证失败给出提示 禁止用户访问网络资源 2 2 3portal 典型组网 portal 的直连方式 二层模式 Portal 直连方式 三层模式 三层三层 Portal 认证与二层认证与二层 Portal 认证的比较认证的比较 组网方式上 三层认证方式的认证客户端和接入设备之间可以跨接三层转发设 备 非三层认证方式则要求认证客户端和接入设备之间没有三层转发 三层 Portal 认证仅以 IP 地址唯一标识用户 而二层 Portal 认证 以 IP 和 MAC 地址的组合来唯一标识用户 即到 portal 设备的报 文为带 vlan tag 的二层报文 portal 的旁挂方式 当用户网关和 bas 设备不是同一个设备或者在原有网络上需要采用 portal 认 证时 需要采用旁挂方式组网 如下图所示 Portal 设备侧挂在网关上 由网关将需要 portal EAD 认证的流量 策略路由到 Portal 设备上做 EAD 认证 这种组网方式对现场改动 小 策略灵活 仅将需要认证的流量策略路由到 portal 设备上 不需要认证的流量可以正常通过网关转发 一般采用下线的方式即可实现将终端用户放入隔离区来实现 EAD Portal 设备的具体型号请参考 EAD 的版本说明书 网关设备需要支持策略路由 终端用户与 iMC 之间不能有 NAT 终端用户到 iMC 的流量一定要经过 portal 设备 不能出现终端用 户不经过 portal 设备直接访问 iMC 的情况 否则 portal 认证会 异常 2 2 4 portal 协议旁挂方式认证流程图 旁挂方式中 用户流量在 gateway 设备处匹配策略路由进行重定向给 portal BAS 设备 触发 portal 认证 portal 将用户输入的账号和密码封装成 radius 报文发送端点准入服务器 经过服务器的验证后 用户获取到访问网络的权 限 报文回送给 gateway 设备 之后进行正常的报文转发 用户数据流量回来后 通过路由进行正常的报文转发 如下图所示 2 2 5 portal 两种方式组网的优缺点 1 从适用范围来讲 直连方式常应用于新建的网络 如果原来网络 已经建设好 为了不对现有网络产生大的影响 可以采用旁挂的方式 2 从对网络的影响程度上 直连方式对现有网络影响最大 因此对 于那些网络已经建设好的地方 不建议采用直连 portal 方式 而旁挂方式能 很好的解决这个问题 只需要增加配置将原有流量有选择的重定向给 portal 设备即可 对网络影响较小 而且可以平滑过渡 2 3 L2TP VPN EAD 终端用户身份认证采用 l2tp 方式 EAD 通过二次 acl 下发到安全联 动网关来实现 EAD 组网说明 终端用户采用 l2tp 方式做身份认证 如果需要安全性防护可以采用 l2tp over IPSec 的方案 二次 acl 下发均下发到安全联动 VPN 网关上 网关的具体型号请 参考 EAD 版本说明书 附件 iNode 客户端经过 L2TP 远端拨号认证接入内网案例 D LNS在内网接受l2tp ipsec拨入案例 方胜山 20100324 pdf 2 4 无线 EAD 无线 EAD 目前只支持 Portal 方式的 EAD 不支持基于 802 1x 认证 方式的 EAD 组网说明 AC 除了完成 AP 的注册及控制外 同时起用 portal 认证 一般采用下线的方式即可实现将终端用户放入隔离区来实现 EAD 支持 EAD AC 的具体型号请参考 EAD 的版本说明书 终端用户与 iMC 之间不能有 NAT 终端用户到 iMC 的流量一定要经过 portal 设备 不能出现终端用 户不经过 portal 设备直接访问 iMC 的情况 否则 portal 认证会 异常 由于 AC 转发性能的考虑 用户的网关不要设在 AC 上 附件 某大学图书馆无线 portal 与网络中心认证案例 D 某大学图书馆无线PORTAL与网络中心认证对接 doc 3iNode 客户端安装及配置 3 1 iNode 客户端软件安装的软硬件环境需求 硬件需求 iNode 智能客户端可安装和运行在普通 PC 机上 其基本硬件需求 为 主频为 667MHz 或更高的 CPU 128MB 以上内存 20MB 以上的硬盘空间 软件需求 iNode 智能客户端所支持的操作系统如下 Windows 2000 SP4 Windows XP Windows Server 2003 Windows vista 各种环境下 iNode 客户端的安装指导 3 1 1802 1x 环境下的 iNode 客户端安装过程 出现 iNode 客户端安装欢迎界面 点击下一步 接受许可协议中的条款 点击下一步 选择安装路径 建议默认安装路径 确认后点击下一步 确认后 点击安装 Inode 客户端需要 Visual C 2005 的开发环境 安装过程中 系统会检查该环境安装与否 如果没有安装 会默认安装 安装完成后 重新启动系统生效 Portal 环境下 iNode 软件的安装 出现欢迎界面 点击下一步 接受许可证协议条款 点击下一步 选择文件安装位置 点击下一步 准备就绪后点击安装 安装进度条 安装过程中 有可能出现此提示框 需要先关闭 360 等杀毒软 件 否则会影响客户端的正常安装 客户端采用了 C 的环境 需要具备此环境才能正常运行 安装过程中系统会自动检查是否已经安装 否则会出现 上面所示画面 安装完成后重新启动系统完成客户端的安装 3 1 2l2tp 环境下的 iNode 软件的安装 L2tp 环境下的 iNode 软件安装过程和 802 1X 类似 在此不赘述 如果需要写 iNode 的安装指导 参考 8021x 的安装指导 3 2 iNode 终端配置 3 2 1802 1x 组网环境终端配置 点击新建连接 选择 是 出现欢迎界面 点击下一步 选择 802 1x 协议 点击下一步 选择连接类型 普通连接 点击下一步 输入分配的用户名和密码 如果环境中存在 mac 认证或者结合 USB KEY 进行证书认证的话 可以选中 启用高级认证 点击下一步 选择认证时采用的网卡 同时选择 运行时自动认证 上传 IPV4 地址 至于 上传客户端版本 虽然默认是选中的 但是在特殊环境下 需要将 其关闭 比如在无线的证书认证中 根据实际需求选择后点击 完成客户端 的设置 完成界面 点击 创建 点击新建的连接 认证成功如下 3 2 2Portal 环境下客户端设置 新建连接向导 点击下一步 选择认证协议 portal 协议 根据需求选择不同连接类型 这里我选择普通连接 设置连接用户名和密码 点击下一步进入创建快捷方式界面 点击图标的属性 输入 portal 服务器的地址 这个地址一定不能修改 不 然会影响到客户端和服务器端的正常通讯 完成设置后 点击进行认证 认证成功如下图 认证成功后在 imc 端的在线用户列表 3 2 3L2TP 环境下 iNode 软件的设置 进入新建向导 点击下一步 选择连接协议 l2tp over vpn 协议 点击下一步 选择连接类型 普通连接 输入用户名和密码 点击下一步 根据实际情况设置 点击高级 选择认证模式 chap 默认为 pap 认证模式 重点设置网关名字和对端网关设备名字 建议选中 keepalive 报文 完成设置后 点击认证成功如下 没有关联 EAD 安全策略 注意点 在做 l2tp 的接入认证中 用户名 密码认证正确后 是需要在域地址 池中分配一个地址给用户的 用户使用这个地址和 IMC 进行直接通讯 也就是 路由必须可达 不然用户的 EAD 安全检查是无法进行的 并且在一段时间连接超 时后 提示 无法连接到策略服务器 连接超时 这点是需要注意的 4接入设备端配置 4 1 8021x 环境下接入层设备配置举例 要求 认证用户属于 这个默认域 radius 服务器地址为 10 1 1 1 24 密码 H3c 指定验证后进行 EAD 安全检查 配置脚本如下 5120 EI di cu version 5 20 Release 2202P06 sysname 5120 EI 配置系统名称 domain default enable telnet server enable undo lldp enable 关闭 lldp 协议 dot1x 全局启动 dot1x dot1x authentication method eap 验证 dot1x 方式为 eap 透传 dot1x free ip 172 25 1 3 255 255 255 255 到域控的数据流允许不经过 认证即放行 dot1x free ip 172 25 1 2 255 255 255 255 同上 acl number 3000 配置安全 acl3000 必须和 imc 上的 acl 配置一致 rule 1 permit ip acl number 3001 配置隔离 acl3001 必须和 imc 上的 acl 配置一致 rule 1 permit ip destination 172 25 1 2 0 rule 2 permit ip destination 172 25 1 3 0 vlan 1 vlan 701 to 702 vlan 902 创建管理 vlan radius scheme system server type extended primary authentication 127 0 0 1 1645 primary accounting 127 0 0 1 1646 user name format without domain radius scheme h3c 创建 radius 模版 h3c server type extended 服务类型为扩展 支持 EAD 安全检查 primary authentication 172 25 255 12 首选认证服务器地址 primary accounting 172 25 255 12 首选计费服务器地址 key authentication h3c 接入层交换机和 radius 服务 器之间的验证密码 key accounting h3c 接入层交换机和 radius 服务 器之间的计费密码 user name format without domain 用户名格式为不带域名后缀 domain 新建域名 authentication lan access radius scheme h3c 关联新建 radius 模版 h3c authorization lan access radius scheme h3c 关联新建 radius 模版 h3c accounting lan access radius scheme h3c 同上 access limit disable state active idle cut disable self service url disable interface Vlan interface1 interface Vlan interface902 配置网管地址 和 imc 进行 radius 报文交互的 ip 地址 ip address 172 25 254 68 255 255 255 192 interface GigabitEthernet1 0 1 interface GigabitEthernet1 0 2 在想认证的接口上开启 dot1x 认证 其它接口依次类推 port access vlan 702 dot1x interface GigabitEthernet1 0 3 interface GigabitEthernet1 0 4 interface GigabitEthernet1 0 5 interface GigabitEthernet1 0 6 interface GigabitEthernet1 0 7 interface GigabitEthernet1 0 8 interface GigabitEthernet1 0 9 interface GigabitEthernet1 0 10 interface GigabitEthernet1 0 11 interface GigabitEthernet1 0 12 interface GigabitEthernet1 0 13 interface GigabitEthernet1 0 14 interface GigabitEthernet1 0 15 interface GigabitEthernet1 0 16 interface GigabitEthernet1 0 17 interface GigabitEthernet1 0 18 interface GigabitEthernet1 0 19 interface GigabitEthernet1 0 20 interface GigabitEthernet1 0 21 interface GigabitEthernet1 0 22 interface GigabitEthernet1 0 23 interface GigabitEthernet1 0 24 interface GigabitEthernet1 0 25 interface GigabitEthernet1 0 26 interface GigabitEthernet1 0 27 interface GigabitEthernet1 0 28 interface GigabitEthernet1 0 29 interface GigabitEthernet1 0 30 interface GigabitEthernet1 0 31 interface GigabitEthernet1 0 32 interface GigabitEthernet1 0 33 interface GigabitEthernet1 0 34 interface GigabitEthernet1 0 35 interface GigabitEthernet1 0 36 interface GigabitEthernet1 0 37 interface GigabitEthernet1 0 38 interface GigabitEthernet1 0 39 interface GigabitEthernet1 0 40 port access vlan 702 poe enable interface GigabitEthernet1 0 41 interface GigabitEthernet1 0 42 interface GigabitEthernet1 0 43 interface GigabitEthernet1 0 44 interface GigabitEthernet1 0 45 interface GigabitEthernet1 0 46 interface GigabitEthernet1 0 47 interface GigabitEthernet1 0 48 上联口 配置为 trunk 类型 允许业务 vlan 和管理 vlan 通过 port link type trunk port trunk permit vlan all interface GigabitEthernet1 0 49 shutdown interface GigabitEthernet1 0 50 shutdown interface GigabitEthernet1 0 51 shutdown interface GigabitEthernet1 0 52 shutdown nqa entry imcl2topo ping type icmp echo destination ip 172 25 254 123 frequency 270000 ip route static 0 0 0 0 0 0 0 0 172 25 254 126 配置默认路由 snmp agent 启用 snmp 简单网 络管理协议 snmp agent local engineid 800063A2033CE5A60C6B90 snmp agent community read public snmp agent community write private snmp agent sys info version all snmp agent target host trap address udp domain 172 25 255 12 params securityname public nqa schedule imcl2topo ping start time now lifetime 630720000 user interface aux 0 3 user interface vty 0 4 authentication mode none user privilege level 3 Return 4 2 portal 环境下接入设备的配置 H3C di cu version 5 20 Release 1910 sysname H3C domain default enable 指定默认域为 telnet server enable portal server 1 ip 172 25 255 12 key h3c url http 172 25 255 12 portal 指定 portal 服务器为 172 25 255 12 使用默认端口 50100 密钥为 h3c vlan 1 domain 新建域 authentication lan access radius scheme h3c 指定验证的 radius 模 版为 h3c authorization lan access radius scheme h3c 指定授权的 radius 模 版为 h3c accounting lan access radius scheme h3c 指定计费的 radius 模 版为 h3c access limit disable state active idle cut disable self service url disable dhcp server ip pool 1 为内网分配地 址 network 192 168 1 0 mask 255 255 255 0 gateway list 192 168 1 1 dns list 202 106 0 20 interface Ethernet0 0 连接外网的接 口 port link mode route ip address 172 18 2 47 255 255 255 0 undo ipv6 fast forwarding interface Serial0 0 link protocol ppp undo ipv6 fast forwarding interface NULL0 interface Vlan interface1 应用刚新建的 portal 服务器到内网接口上 ip address 192 168 1 1 255 255 255 0 undo ipv6 fast forwarding portal server 1 method direct ip route static 0 0 0 0 0 0 0 0 172 18 2 1 缺省路由 snmp agent snmp agent local engineid 800063A203000FE2A25B0C snmp agent community read public snmp agent community write private snmp agent sys info version all snmp agent target host trap address udp domain 172 25 255 12 params securityname public dhcp enable load xml configuration load tr069 configuration user interface tty 12 user interface aux 0 user interface vty 0 4 authentication mode none user privilege level 3 return 4 3 L2tp vpn 终端设备配置 H3C di cu version 5 20 Release 1910 sysname H3C l2tp enable 开启 L2TP 协议 ike local name remote IKE 的本地名 字 需要和 inode 客户端设备的 对端安全设备网关名字 保持一致 firewall enable domain default enable 修改默认域为 radius scheme h3c 新建 radius 模版 h3c server type extended 如需关联 EAD 策略 必须指定为扩展 primary authentication 172 25 255 12 primary accounting 172 25 255 12 key authentication h3c key accounting h3c security policy server 172 25 255 12 指定安全策略服 务器地址 试用于分布式系统 EAD 和 UAM 组件没有安装在 一起 user name format without domain domain 指定域使用刚 新建的 radius 模版 authentication ppp radius scheme h3c authorization ppp radius scheme h3c accounting ppp radius scheme h3c access limit disable state active idle cut disable self service url disable accounting optional ip pool 1 10 1 1 1 10 1 1 10 分配的地 址池 ike peer remote IKE 对等体 名称 exchange mode aggressive 野蛮模式 适用 于分部地址不固定情况 pre shared key simple 123456 id type name remote name local nat traversal nat 穿越 试用 LNS 和 LAC 之 间有 nat 设备的情况 ipsec proposal 1 定义 ipsec 安全提议 采用默 认封装格式和加密类型 ipsec policy template 1 1 关联 ike 对 等体和安全提议 ike peer remote proposal 1 ipsec policy h3c 1 isakmp template 1 dhcp server ip pool 1 network 192 168 1 0 mask 255 255 255 0 gateway list 192 168 1 1 dns list 202 106 0 20 user group system cwmp undo cwmp enable l2tp group 1 启用 L2TP GROUP 组 取消隧道验 证 强制 LCP 阶段协商 undo tunnel authentication mandatory lcp allow l2tp virtual template 1 interface Aux0 async mode flow link protocol ppp interface Cellular0 0 async mode protocol link protocol ppp interface Ethernet0 0 连接内网接口 连接 IMC 服 务器 port link mode route ip address 172 18 2 47 255 255 255 0 undo ipv6 fast forwarding interface Serial0 0 link protocol ppp undo ipv6 fast forwarding interface Virtual Template1 新建虚拟模版 验证模式 和 Inode 客户端中的验证 模式保持一致 关联域 ppp authentication mode chap domain remote address pool 1 ip address 10 1 1 254 255 255 255 0 虚拟模版的地址 做为分 配地址池的虚拟网关 interface NULL0 interface Vlan interface1 ip address 192 168 1 1 255 255 255 0 ipsec policy h3c undo ipv6 fast forwarding ip route static 0 0 0 0 0 0 0 0 172 18 2 1 dhcp enable load xml configuration load tr069 configuration user interface tty 12 user interface aux 0 user interface vty 0 4 Return 说明 1 L2TP 阶段 PC 和 Lns 设备通信 只要配置 L2TP IPSEC 参数正确就能 获取到地址池的地址 但是获取到地址后所做的 EAD 安全检查是以获得的地址 和 IMC 服务器通信 如果不通 EAD 安全检查无法继续同时提示 未收到服务 器回应 您的计算机可能只能访问隔离区的网络资源 请检查终端能否正常访 问网络或者与管理员联系 因此地址池的网段一定要发布到内网中 保证 PC 和 IMC 直接通信 2 如果是防火墙做 LNS 则还要考虑将虚拟模版加入到安全区域中 不然不通 5Radius 服务器配置 说明 这里的 radius 服务器以 H3C 公司推出的 IMC 智能管理中心 为例 5 1 802 1X 服务器端配置 802 1x 认证配置在服务器端分为如下步骤 1 接入设备配置 2 EAD 安全策略配置 3 服务创建 关联创建的 EAD 安全策略 4 创建接入用户 关联服务 下面结合截图说明配置流程 5 1 1接入设备配置 增加设备 路径 资源 增加设备 增加接入设备 选择前期增加设备 路径 业务 接入业务 接入设备配 置 增加接入设备 在上截图基础上 点击设备列表中的选择 在设备视图中 选择前面增加的设备 点击确定 点击确定 增加接入设备完成 这里的共享密钥需要和接入设备上配置的 验证 计费密码保持一致 5 1 2EAD 安全策略创建 说明 由于 EAD 功能强大 涉及功能较多 有系统补丁检查 病毒检查 流量监控 系统密码强度检查 注册表监控检查 目录共享功能检查 可 控软件检查等等 这里只介绍工程中使用最多的系统补丁检查和病毒检查 两项 以截图说明 系统补丁检查 按照操作平台类型增加补丁 补丁名称为 KB 开头的 6 位数字 在补丁服务 器 WSUS 目前 2008 系统中 WSUS 必须打 P01 的补丁 中可以查到 用户提示 信息可以不写 默认为该补丁的说明 补丁级别分重要 紧急 一般 提示等 安全级别中根据补丁的级别配置补丁安全模式 路径 业务 EAD 业务 软件补丁管理 增加软件补丁 查看补丁列表 病毒检查配