EAD快速部署技术白皮书

1、杭州华三通信技术有限公司ead 快速部署技术白皮书2013-3-26页杭州华三通信技术有限公司内部资料，请勿扩散第 1 页, 共 8杭州华三通信技术有限公司catalog 目录1ead快速部署简介. 42实现原理 . 53ead快速部署组网方案. 64结论. 7附1：使用限制 . 82013-3-26页第 2 页, 共 8内部资料，请勿扩散杭州华三通信技术有限公司ead快速部署技术白皮书关关 键键 词：词：eadead、camscams、安全、准入、防病毒、安全、准入、防病毒摘摘要：端点准入防御（要：端点准入防御（eadead，endpointendpoint admissionadmissi

2、on defensedefense）方案的快速部署特性）方案的快速部署特性针对目前针对目前eadead客户端部署中存在的问题，提供全局客户端部署中存在的问题，提供全局aclacl功能和功能和802.1x802.1x未认证时终未认证时终端用户端用户ieie访问访问urlurl重定向功能，重定向功能， 通过该功能可以实现通过该功能可以实现eadead客户端的强制下发功能，客户端的强制下发功能，解决目前解决目前eadead推广中的客户端部署难题。推广中的客户端部署难题。缩略语清单：缩略语清单：nounnounexplanationexplanation中文解释中文解释端点准入防御综合接入管理服务器e

3、adcamsaclvlanendpoint admission defensecomprehensive access managementserveraccess control list访问控制列表虚拟局域网virtual local area network2013-3-26内部资料，请勿扩散第 3 页, 共 8页杭州华三通信技术有限公司1 1 eadead 快速部署简介快速部署简介华为3com端点准入防御（ead，endpoint admission defense）方案从网络终端入手，整合网络接入控制与终端安全产品， 强制实施企业安全策略， 从而加强网络终端的主动防御能力，防止“危险

4、”、“易感”终端接入网络，控制病毒、蠕虫的蔓延。这种端到端的安全防护体系， 可以在终端接入层面帮助管理员统一实施企业安全策略， 大幅度提高网络的整体安全。目前ead在市场上的反应非常理想，但是在实际的开局过程中所有客户都对客户端的部署不便提出批评。主要原因是ead安全客户端的部署工作量太大，不能自动部署。同时主要竞争对手cisco公司和锐捷公司均在其交换机上支持了全局acl功能和802.1x未认证时终端用户ie访问url重定向功能， 为其客户端的部署提供方便。 我司ead解决方案在市场推广时遇到客户对ead部署不满的重大挑战，急需我司交换机（尤其是s3900、s5600、s6500系列）提供全

5、局acl功能和802.1x未认证时终端用户ie访问url重定向功能。通过该功能可以实现ead客户端的强制下发功能，解决目前ead推广中的客户端部署难题。可以提升我司ead解决方案的市场竞争力，有助于我司交换机产品快速占领市场。主要实现如下两个功能：1、 交换机受限访问。802.1x认证成功之前（包括认证失败）通过限制终端用户只能访问一个特定的ip地址段或是某一个（或几个）服务器。2、 802.1x未认证时终端用户ie访问url重定向功能。终端用户在未进行802.1x认证前（包括认证失败），使用ie进行网络访问，交换机会将用户访问的url重定向到设置好的url（例如ead客户端下载界面），这样用

6、户一打开ie就必须进入管理员预设的界面。通过以上两个功能，ead可以在部署时要求所有接入网络的终端用户到指定的机器上下载客户端，并进行安装，解决了ead客户端部署困难和工作量大的难题。流程示意图如下：2013-3-26内部资料，请勿扩散第 4 页, 共 8页杭州华三通信技术有限公司2 2 实现原理实现原理ieee 802.1x标准协议规定开启了802.1x认证的端口除认证报文外， 其它报文全部丢弃，端口处于不学习不转发状态，因此用户不通过认证无法访问任何资源。ead快速部署功能允许用户可以通过命令行（dot1x url http:/x.x.x.x和dot1x free-ip x.x.x.x x

7、）来设置可访问的受限网段（由于该特性会占用acl资源且资源有限，最多可设置的网段限定为2个）。1.使能快速部署功能，将在所有启用802.1x端口上改变端口状态，以便dhcp/arp报文可以上送cpu。用户undo此命令后，即恢复端口为原始状态。2.当端口接收到dhcp的discover或arp报文后，若全局使能了 802.1x和ead快速部署功能，且端口使能了802.1x，为了控制用户在未成功认证之前的访问权限，下发具有以下功能的acl：允许此mac的http报文、目的地址为受限ip的报文、dhcp报文、802.1x报文上送，拒绝此mac的所有其它报文。通过下发这些acl，用户可通过dhcp

8、动态获得ip，发送http请求报文，随意访问受限网段内的资源并在重定向到指定url后下载认证客户端并进行802.1x的协议认证。3.当端口收到dhcp的discover或arp报文后，还需提取用户的源mac并下发。4.如果是动态获得地址，用户通过上述acl的限制可以获得ip地址。5.用户可以访问指定的受限ip。如果用户通过http协议访问的地址非指定地址，将通过tcp仿冒建立一个仿冒连接，连接建立后向用户发送一个http重定向报文，让用户访问指定的地址，借此实现下载客户端的功能。6.用户下载客户端后，通过认证，认证成功后，将删除在第二步下发的acl资源。7.用户下线后，用户的mac删除。201

9、3-3-26内部资料，请勿扩散第 5 页, 共 8页杭州华三通信技术有限公司在第二步中，配置了可访问的受限网段命令后，用户的 dhcp和arp报文就可以在已经配置了dot1x的端口上进行上送或者继续转发，而此功能的实现是依靠底层驱动设置的多个acl来实现的。如果此时用户发出dhcp或arp报文后，没有立刻下载客户端进行认证，那么将会一直占用这些acl， 浪费设备的acl的资源， 所以应该定时清理占用时间过长的用户。否则，由于设备总的acl个数资源有限，而每个待认证用户必须占有多个acl，此时若大量用户都处于上面所述的只连接不认证的状态会导致acl资源不够， 其他用户将无法实现受限访问的功能。定

10、时清理不认证的用户所占用的acl是依靠命令行的配置实现， 该命令行配置可以设置定时清理的时间长度，范围大小为11440分钟（dot1xtimer acl-timeout 100）。当用户配置了acl定时器配置命令和可访问的受限网段命令后， 用户就可以通过ie浏览器访问指定的url地址， 从而实现下载客户端并进行认证的功能。 如果此时用户一直闲置， 不下载客户端，或者即使下载了客户端也不进行认证， 再或者根本不访问任何地址， 在上述这些条件下， 如果闲置时间超过了配置的acl定时器时间，那么此时这些用户所占有的acl资源将被删除，这时如果有新的用户接入设备进行访问则可以获得acl资源，并且能够认

11、证成功。acl超时定时器的作用范围是针对用户的。 如果同一端口上存在多个用户进行接入， 有的没有及时下载客户端进行认证操作， 有的则立即下载客户端进行认证， 则此种情况下，不论这同一端口上的多个用户是否为同一时间接入， 只要该用户接入后所占用的时间超出acl定时器的时间，那么这个用户的acl资源就被删除。acl定时器启动后，若去使能1x，将删除下发的acl，并清除定时器；再使能 1x，若下发acl的条件满足，下发acl，下发成功后启动定时器。此功能需要和堆叠互斥，和802.1x的dhcp-lanch功能互斥。3 3 eadead 快速部署组网方案快速部署组网方案ead快速部署方案目前仅支持80

12、2.1x方式的ead接入，是ead解决方案一期的演进形式。在组网过程中接入层交换机，cams接入认证服务器，重定向web服务器是必需的组网元素，cams自助服务器、安全代理服务器、补丁dnsdhcp等服务器、病毒服务器等都是可选的。在图2中，g1/ g2/ g3组内的终端设备都没有安装inode客户端，其中g1组终端设备上接的交换机仅启用802.1x认证， 因此没有客户端或者使用第三方客户端的话， 仅能对终端进行下线或者上线操作，不能做ead安全检查；在g2组终端设备中虽然上接交换机启2013-3-26内部资料，请勿扩散第 6 页, 共 8页杭州华三通信技术有限公司动了ead方式，但是由于没有

13、inode客户端，认证同样不能通过，解决方式只能通过管理员或者终端用户手工到指定区域（指定的ip地址服务器）上进行客户端安装， 终端代理软件的部署工作量大；在g3组中的终端设备上连的交换机支持ead快速部署功能，当终端设备没有安装inode客户端的时候， 用户在ie中输入网站地址试图访问外部网站时， 交换机将http报文重定向到“重定向web服务器”，服务器强推一个客户端下载界面供用户安装，用户正确安装inode客户端后进行认证，如果通过了身份认证和安全认证，重定向acl被删除，用户正常上线。这种组网方式是以接入层交换机作为ead控制点，终结802.1x；cams与汇聚层交换机联动动态隔离危险

14、用户；重定向web服务器置于隔离区，提供inode下载；接入层交换机提供基于802.1x的快速部署功能。目前支持快速部署的设备包括： s3100ei、s5100ei、s3600、s5600、s6500、s7502e；后续支持该特性的设备有：s3610、s5510、s5500ei/si。4 4 结论结论ead快速部署提供了一个全新的特性，该特性为网络管理员和终端用户进行 ead中端软件inode快速部署提供了极大的方便，可以有力的提高公司ead方案的推广。2013-3-26内部资料，请勿扩散第 7 页, 共 8页杭州华三通信技术有限公司附附 1 1：使用限制：使用限制1、 如果设备处于堆叠状态或者启动了802.1x的dhcp-lanch功能，则此时不能进行可访问的受限网段命令的配置，会提示错误。2、 如果设备当前已经配置了可访问的受限网段命令，则此时再配置 802.1x的dhcp-lanch功能或者使能堆叠端口，建立堆叠都不能成功，会提示错误。3、 用户可以通过命令行来设置可访问的受限网段，由于会占用acl资源，acl资源有限，最多可设置的网段为2个。4、 各产品支持的用户数限制：设备名称3900ge端