09九技术文档

1、附件九:技术文档目录1 EAD 与 iMC 融合管理解决方案 3.2 基于 802.1x 的客户端快速部署技术 7.3 Windows 域统一认证技术 8.4 EAD 可控软件技术 1.0.5 EAD 匿名认证技术 1.2.6 EAD 无客户端技术 1.4.7 EAD 桌面资产管理解决方案 1.78 EAD 分级管理解决方案 2.0.9 EAD 高可靠性解决方案 2.4.1 EAD与iMC融合管理解决方案H3C凭借多年网络管理产品的研发经验以及对网络管理的深刻理解，推出了面向下一代的网络管理产品：开放智能管理中枢（Intelligent Management Center，以下简称：iMC ）

2、。iMC以业务管理和业务流程模型为核心，采用面向服务架构（SOA ）的设计思想，提供按需装配的组件化结构，为客户提供网络业务、资源和用户的融合管理解决方案，帮助客户实现网络业务的端到端管理。通过iMC可以灵活组织功能组件，形成直接面向客户需求的业务流解决方案，从根本上解决多业务融合管理的复杂性。决方案EHHl Provision业岑基础业务平合邓台框架MPLS VPN业圣iMC 人菅無|mi!I公共俎件11曇C平台槪亲统一喷源访问.甚础資源着理I I用户资源管理SNMPl I RADIUSj设备/终端文系统I I IH3C开放智能管理中枢（iMC ）解决方案架构iMC从根本上颠覆了传统网络管理

3、软件的设计思想，将网络管理工作从繁杂的、相互独立的管理工具中解脱出来，以业务融合和业务流为主旨思想，实现用户、资源和业务三大网络要素的融合管理。iMC真正实现了以用户为本，灵活分配IT资源，迅速响应业务的目标，实现了基础资源的管理和统一访问。iMC针对不同业务进行独立设计，形成可扩展的组件，可按照客户所需选择装配，从而最终以业务流的 方式贯穿在整个网络管理和运维过程中。iMC主界面r*ll?sn1 LfapT-gt-ftcdl CarterJ Network MaHsgeo-梓弋旷ilTirOdH剧硏STlFlF旧J ：5盘Pi*詢- 心 Eiiflp 丰蛙用口找芒圭如空空S1P 不:口 tt

4、J5*o甘JTKna杵更旳尸-r訂小时用户在Jta色势闻島鵡宀申户T产 品丁哉忻I戸曰比0黑呂牛A 仏 LSER0 烫室HE1B 菇,k-t 9山沪甲苗&T胃 玮.沖嗣否2帛田蠢全站期R1宝刊童全境计fcl知八一C/ IS切/、VX.AC/ Eq0 uoQ17 W 27*231 SI S1Q1113 腑Ff|u|3W星 fUfc舷褂丁里口时用户分俎杠嶽伏总列在晶洲XI七吕用.5： m翻/用戸養：3W1用户并型喀专李闇户菲至全用户羌用戸里生单用户|誉徉1耳510a戟件二站1000盲作扇工5D的Qhs吕D貳片尙11Q3DnQ- if 呼注圭皿iMC用户管理界面EAD解决方案可基于iMC平台进行部署

5、。EAD解决方案的用户管理功能可以与iMC网络设备管理功能相融合，使得用户管理操作更加简单，管理能力更加强大。在iMC的拓扑管理界面上可以直观的操作接入设备，并直接管理每个接入的相关用户，可进行查看用户信息、强制用户下线、执行安全检查等 操作，使终端用户的管理更加直观清晰。1. 接入设备列表中可以直接看到用户相关信息，不仅操作简单方便，而且提高了操作员日常维 护的效率。2. 可针对选定的接入设备进行用户操作，比如，针对某个接入设备，将其所挂的用户进行全部 下线处理等。3. 可以在在线用户列表中通过点击接入设备，直接查看当前在线用户所对应的接入设备的详细 信息，比如，对应的基本信息、告警、性能状

6、况等。该功能使得操作更友好，可全面提升操 作员的操作体验。ImilHiii* ftJCL It A. r* 皿呵 Ml 丁啊”At. Trf臣曙曰It4-用户管理与用户行为审计的融合EAD的用户管理功能还可以与iMC的用户行为审计解决方案（UBAS ）功能相融合，实现基于用户的行为审计。传统的网络行为审计只能基于IP地址，在DHCP动态分配IP的应用环境下，往往无法直接追查到访问网站的某个IP是哪个用户在使用。而iMC融合用户管理和行为审计的解决方案，不仅支持多种日志格式（包括 NAT、NetStream、DIG），实现2到7层的网络行为审计，并且通过和用户接入 信息联动，可以直接审计到用户帐

7、号信息，而不仅仅是用户IP地址信息。盘逮1卄 AAit *137武I ib ill rtf q 1t1b K31X ftA f41MItMf q tfi HI.1 JG M* 1 E 白f MBIQ Vll tv HfTQ V-Q J* t 脚IID HIM / 出 10 rt 4 I)4 BX|卄一f-Vt Ur W7VIIL*J *4価岡i、疔+ M C*-E*OD*卄JfBT-M-11 It 11 I LI- 1 J ppl M Vrw 4 q J -Ljs-j -！* J T JTiFMU 1 riL Jl UIH1 R -nA-1 a iw 1 Q i i Bl1.-1JW 1,HB

8、 1_ i a,-.1 i mil- an i11i qiirwhibB InIIhIVi1IIIII*IIII|IIII|i资产上线：资产上线分成几种情况：1、已管理资产的上线：服务器根据客户端上传的资产编号找到资产记录即回应确认信息，客户端之后请求资产策略，服务器回应资产策略给客户端；2、客户端注册方式的新资产（该资产由管理员增加）上线：服务器端要求客户端输入资产编号，客户端提交后，服务器端根据资产编号找到资产信息， 发给客户端 确认，确认后服务端将该资产置为已管理状态， 回应确认信息，客户端之后请求资 产策略，服务器回应资产策略给客户端；3、服务器自动生成新资产方式的上线：服务器端根据客

9、户端上传的资产指纹信息生成新资产编号；客户端弹出资产信息录入界面并由用户录入，之后上传给服务端，服务端回应确认信息，客户端之后请求资产策略，服务器回应资产策略给客户端；4、重装操作系统之后的客户端上线：服务器端根据客户端传递过来的指纹信息找到已有的资产记录，之后回应资产信息给客户端；客户端用户确认服务器返回的资产信息与自己的资产相匹配，之后，客户端发送确认报文给服务端；服务端确认后将正在上线的资产与自身已有记录关联起来；服务端回应确认信息， 客户端之后请 求资产策略，服务器回应资产策略给客户端；5、安装了多操作系统的资产上线：用户启动一个操作系统并上线成功后，在另一个操作系统下又发起上线请求；

10、服务器端发现多操作系统情况，将只允许最后安装 的操作系统的客户端可以上线；服务端回应确认信息，客户端之后请求资产策略，服务器回应资产策略给客户端；资产信息上报：客户端获取本地资产信息， 保存到本地，并上报给服务端；客户端 定期会扫描本地资产信息， 如发现有变更，更新本地保存的资产文件， 同时将资产 变更信息上报给服务端；USB使用信息上报： 客户端实时监测USB插入情况，如果有USB插入、向USB中 写入文件、或者拔出USB，都会写入文件；客户端定期上报 USB使用信息给服务 端；软件分发：服务端为资产创建分发任务； 客户端向服务端请求资产策略， 服务端回 应同时，将分发任务下达给客户端； 客

11、户端连接到分发服务器进行软件下载； 下载 到本地之后可由用户自行安装，也可以自动安装。桌面资产管理功能特点硬件资产管理收集资产硬件信息（CPU、硬盘等等）；通过资产分组管理各部门人员资产配备情况；及时了解硬件资产的配置变更情况；软件资产管理收集资产软件信息（安装软件、屏保、服务、进程 ）；及时了解桌面资产的软件变更情况（安装/卸载软件、操作系统重装、IP地址变更）； 资产统计对计算机类型、CPU、硬盘、操作系统等提供图表统计；支持对全部或者分组资产进行统计；USB 监控插入USB设备，自动产生告警报告管理员；报告通过 USB 设备写入的文件数量、文件名及文件大小、操作时间等信息；软件分发能够给

12、指定的资产或指定分组下的所有资产自动批量分发和安装软件； 支持对分发软件的静默安装；支持通过制定任务定时分发；支持Http、Ftp、文件共享等多种形式进行软件分发。8 EAD 分级管理解决方案EAD 解决方案应用灵活、 功能丰富， 已经在各种不同类型的网络中得到了广泛的应用。 而对于一些终端用户规模庞大的网络环境 （如拥有众多分支机构的大型企业） ， EAD 解决方 案特别推出了分级管理特性。为了便于全网的管理员进行比较统一的策略部署，EAD 分级管理特性推荐由最上级的管理员进行基础策略的统一定制， 而后再进行层层的下发。 下级的管理员可以依据上级 EAD 下发的策略进行继承、自定义等操作，从

13、而生成更加满足本地需要的策略。EAD 分级管理解决方案的架构图如下所示：ft款唁氧上报Web恥息 servirs痕理| *甲一越*住业唁氧上报Web SeMts恥息 servirs业务处理卜|也恵.jflEAD解决方案分级架构示意图图中分部有多套EAD ,各个EAD服务器上的相关安全策略、用户策略等信息则由上级EAD服务器下发给下级。总的来说，EAD分级管理特性可以从策略下发、信息上传两个方面进行说明。策略下发：.上级的EAD服务器支持向下级EAD服务器下发服务策略、分级权限控制策略及安全策略 等。其中，安全策略包括对应的安全级别、可控软件、补丁、防病毒软件等信息。込，业轄（朋诽缶 疥孙*样醉

14、阳ar爭世in涌运晅画EAD解决方案策略下发配置上级向下级的下发包括手工下发和定时下发。手工下发任何时候都可以由管理员发起进EAD服务器可EAD解决方案策略定时下发设置行；定时下发可以设置为每天的一个固定时间。上级向下级下发策略时，以自动比较策略更新时间和下发时间，从而保证下级的策略是最新的策略。轲G屜近更新旳可：址有碟E帀|tqisaliptt 址上虫下左或功时贰下證另珀历Jt北京与亡1Q15310 121007-0211 10；2S J2 ?007-02-11 1OJW4J 如F10153.10.342007 02-11 10:26:42 70D7-02-11 1下握甘能在10153J22

15、51007-(13-11 1C3B：U XD7-D2-11 1O：2fl：42 蛊对10153J1 US-fil0l5d.3l.1S620Q7-Q2-1I MC42 20吓 02川 10:29:42 轴seaEAD解决方案策略下发界面 策略下发支持多级下发进行，中间一级在上一级的基础上对下级进行策略的下发控制，但不支持跨级下发。 下级可以对上级下发的策略进行增加、复制、修改、删除等操作。从而下级可以根据上级的内容进行更加灵活的自定义等操作。 .同时，EAD服务器提供下发历史查询，可以查询何时下发过，结果如何，下发了哪些服务等信息。岳M-rAQjfr*村为丽兒?007 2J0B-1C-C1A-.

16、3试謬*京金杆井表说虫列託I F箕肿ms2tlDD2-1110 2 42三川儿亠恥儿京启匸朋土亡骑圭妄全苹晤10 153 1Lr32_2CiJ?Q2ir Ji：42trf3N7D21110 2B4211用魂QIW 齒借行5孵-匕?.代* 支亡桁圭五全F昵10 1511232_2Q0TO211TD2S42JM20E r-LTS-il l 1D 2E 42自动；LTrr左全擴珀誓1?亶b障址hi年品10 15312 32_2DnTD21110 2B42JM因肯”卜怔啊加盤14用屋全郎晚扌师舟行元t用曙京刃匸弓此支三云殳书忙10 1BH2i32_200?02ir02j41td2QD7-DS-111I

17、T2 C茧用女主黠屋IWt 希注曙10 15.1 U2_EIrD2l 110A42MEAD解决方案策略下发历史查看信息上报：在实际的应用中，下级 EAD服务器在获取到上级的策略之后，可以进行修改和自定义 等操作。同时，下级的 EAD服务器也支持通过信息上报的方式，将相关的安全日志信息上 报给上级的EAD服务器；上级 EAD服务器可以对这些统计数据进行查询以及汇总，并基 于上报的统计数据给出下定的统计报表（如不合格因素分布图等等）。综上所述，EAD解决方案的分级管理特性，更加适合在大型网络中进行部署，同时可 以减轻管理员的工作负担，支持用户漫游，符合大型网络运行管理和维护的情况。9 EAD高可靠

18、性解决方案在EAD解决方案中，EAD安全策略服务器是全网终端进行认证和保持状态的关键模块，是整体解决方案的核心中枢。因此，EAD解决方案的高可靠性，重点聚焦于 EAD服务器核心中枢的高可靠、高稳定运行。而双机冷备和双机热备方案的提出和运用，为EAD高可靠性解决方案提供了重要技术保障。双机系统是指，至少两台计算机实现计算机备份冗余的方案，从而可实现应用的高可靠性。在典型的双机系统中， 每个节点都是运行其自己进程的一个独立服务器，这些进程可以彼此通信，对网络客户机来说就像是形成了一个单一系统，协同起来向用户提供应用程序、 系统资源和数据。它对外仅提供网络服务或应用程序（包括数据库、Web服务和文件服务）的单一客户视图，与传统的单一服务器系统相比，它有几个优点，包括对高可用性和可伸缩性应用程序的支持、适应模块化增长的容量。双机冷备Primary EAD ServerSecondary EADServer如图所示，当主EAD服务器出现故障时，交换机与 EAD服务器之间通讯中断，发出的 认证请求在一定时间内未收到响应。经过缺省的重试次数后，交换机自动将认证请求发往备EAD服务器，同时将主服务器状态置为block。等待一定的时间间隔后，再次尝试将认证请求发往主EAD服务器，若通讯恢复则立即将主服务器状态置为active，从服务器状态不变。