H3CiMC服务器准入特性说明(XXXX0613)

1、All rights reserved 版权所有，侵权必究第10页，共 9页iMC 服务器准入管理特性说明PC 终端接入网络的认证 服务器和打印机 所以服务器和打1 特性介绍iMC 服务器准入控制功能是 EAD 解决方案的重要补充。 EAD 很好解决了 和控制问题，但是缺乏对服务器和打印机接入网络时造成的安全隐患的有效控制。 不宜或无法安装认证客户端软件，也无法通过需要有人值守的网页方式进行认证。 印机一般在网络里不进行认证，如果非法终端通过服务器或打印机所连接交换机的接口接入网络， 将无法对这些非法终端进行有效的控制，成为用户的内网安全隐患。服务器准入控制问题由此也成 为 EAD 产品推广时

2、用户经常关注的问题之一。iMC 新推出的服务器准入控制特性，能够有效阻止非法终端接入到服务器区域，通过关闭端口，异 常告警，异常接入日志审计和历史接入跟踪功能，将服务器接入区域的网络也严格监控起来，很好 的消除了上述服务器接入区域内的安全隐患。2 功能特点iMC服务器准入控制具备如下功能特点：1无需在服务器或打印机上部署客户端软件2支持自动学习网络中服务器或打印机的 IP/MAC 地址信息3允许服务器或打印机在指定的交换机接口上面认证接入网络，在非指定区域无法接入网络4非法终端通过服务器或打印机端口接入网络时，可以根据策略让其接入端口立即关闭或延时关闭5可以设置由于非法终端接入造成关闭的端口定

3、时自动恢复6非法终端接入网络时可以发送告警， 并记录详尽日志， 供以后审计查询7从网管的角度，对服务器准入进行管理，不需要对设备进行特殊配置，管理方便、简单。8采用公共 MIB 实现，可以支持第三方设备3特性配置详解服务器准入管理是从网管的角度对服务器准入进行安全认证，由服务器准入绑定、交换机准入绑定、终端异常处理策略、异常接入日志、历史接入记录、实时定位等功能组成。（1）服务器准入绑定服务器准入绑定方式分为两种，第一种为将终端（服务器）同某个交换机接口绑定，限制终端只能 通过绑定的交换机接口接入网络，第二种为将终端（服务器）配置为免认证，使终端可以通过网络 中的任何位置接入网络。服务器准入绑

4、定可以通过手工配置、自动扫描两种方式完成。手工配置：手工设置一个终端和一个交换机接口的绑定关系。图3-1服务器准入绑定手工配置©帮助空 SS »穿«入配5 »绦S1S入走»増加终请«入第定当设蚤为免认证时，已粛加的接口不用于限制终诵接入，I5t用于查诲终端的接入范團°基本信耳*终请MAC维护人免认证I 増如|兰部移除接口状喜接口描迷设备IP确定軀消共有0条记录,如上图，输入终端 MAC、终端名称、维护人信息，选择绑定方式是否为免认证，选择设备接口, 完成服务器准入绑定配置。自动扫描：系统自动查找出网络中当前在线的、且未进行服

5、务器准入绑定的接入信息，用户只需从 扫描结果中选择需要绑定的记录即可。图3-2服务器准入绑定自动扫描飪帮助电贵S »聲誌入配置»聲S准入鳞定»自动扫B设置要扫£的设备叮S示如果不选择任何设备，则ms所有设备.1増抑设备1全部移除共有0条记录.设备标签设备IP设备类£除确定取消如上图，用户可以选择自动扫描的接入设备，如果不选择任何设备， 则扫描所有接入设备。图3-3服务器准入绑定自动扫描结果电»粵S准入配S A终S准入绑定»耒定终自动扫sss未第定终K自动扫£结果共有佃条记录，当前第1 昭第1贡-1 23 JM,整显

6、示:81 15 50 100 200终禾IP终箱名称a护人免认证设备标签设备IP鳌口 £述aa:bb:cc：ddee：ff10.153.89.55IIMC否h3c10.153.S9.34Elfiemet1/0/3400:24:e8:4f;52:261O.153.S9.5OW00905G否h3c10.153,39.3Elhemet1/0/3400:e0:fc;00:39:6210.153.69.35h3c10.153.89.34Ettiemetiwe00:e0:fc:12:34:56否h3c10.153.99.34ElFiGrnGtnO/25s00:13：72：fE：t)4：aO10.

7、153.59.40W00905Fparzonghci否h3c10.153.89.34E1hemet1/0/4000:23:39:27:ad-OS10.153,89 41否h3c10.153,39,34Effierriet1/0/43圄00：23：89：27：ad；27否h3c10.153.89.34EttiemEtl 仰4?00:Oc:29:43:6b:(Ja10.153.09.57否h3c10.153.99.34Ettiemetno/3412 3>>1取消如上图，用户只需选择需要绑定的记录即可。另外，用户可以对扫描结果中终端名称、维护人字段 进行编辑，并可以选择绑定方式是否为免认

8、证。(2) 交换机准入绑定交换机准入绑定通过将交换机接口同某个终端绑定，限制交换机接口只允许绑定的终端接入。交换 机准入绑定可以通过手工配置、自动扫描两种方式完成。手工配置：手工设置一个交换机接口和一个终端的绑定关系。图3-4交换机准入绑定手工配置©帮削廳臨» *耀S准入KS “查换机唯入屛定»増加驟定基本信愿方接口捲述设备标签允许接入的终终離名舔a护人11除共有。条记录°取消图3-5交换机准入绑定手工配置终端终端名称錐护人如上图，选择设备接口，输入终端MAC、终端名称、维护人信息，完成交换机准入绑定配置。自动扫描：系统自动查找出网络中当前在线的、且同交

9、换机准入绑定冲突或未匹配的接入信息，用户只需从扫描结果中选择需要绑定的记录即可。图3-6交换机准入绑定自动扫描【臬!赛S A终«入配S A交養机准入黑定»自动扫IS设置©帮助自动扫案件谡置a猩示如果不选择社何设备，則扌m描所有设备.要扫a的设备共有0条记录°设畫IP谟备类型确定取消如上图，用户可以选择自动扫描的接入设备,如果不选择任何设备，则扫描所有接入设备。图3-7交换机准入绑定自动扫描结果矚*终入KS “ 5换机入驟定»耒驟定接口自动SIS踣果耒鄭定號口自动扫描结果共有19条记录，当前第1 -3第価页.12 3b >l毎贝显示:3 1

10、5 50 100 200挂口掏龙设备标鉴设备IPwMAC终詞P终皑名称1錐护人Ethernet1/ar34h3c10.153.39.3400：ac:29:43:6b:da10.153.89.57Ethefnetim2H3C10.153.39.200:0c:29：5f：ad：e310.153.69.292003DC-ENHEth&fn&t1/0/32H3C10 153.89.200:0c:297t).no：4710.153.B9.36国Ethern&t1O34r3c10.153.90.340Ci：0c:29：a3:Gc：G210.153.69.50OeENT-SP1-XS

11、4Ethernet1/a/32H3C10.153.3S.200：ac:29:a3:46iSe10.153.89.17Ethernetl/a/32H3C10.153.30.200:0c:29:a3:46:a8aEthernetl/oneH3C10.153.30.200：ae:7l：rd:ef:3310.153.89.10冒Ethernet/Qin 4r3c10.153.3S.3400：)f:cb:EO:c6:6E12 3卜丨軀消如上图，用户只需选择需要绑定的记录即可。另外，用户可以对扫描结果中终端名称、维护人字段 进行编辑。(3) 终端异常处理策略IP /MAC绑定冲突处终端异常处理策略包括三部

12、分：未知接入处理策略、冲突异常接入处理策略、 理策略。图3-8终端异常处理策略曲加、陀蔽敌熬助瞑 as »srsitARS * 终 s 异第处 3%«尊jsg异冨扯9集略冲賽异常就人处理炯当食現了违反入嫌定的S入时*采取的as策）发送告書发送V关闭接口延时关闭V*实长时闾后关闭接口 （5-1 3001'）190关闭播口一鼠时间后，再次打开打开*关闭接口劣长时间后再次打开咆）130未刼接入处理策略在设有匹配到任何椎入勢定的昔况下.对终挂入采取未知接入理策ft- 未知接入不合袪V发送V关闭接口延时关闭7*劣长时间后关闭接口 （5-1 800秒）130关闭接口一段时间后，

13、再彳欠打开打开V*关闭接口冬长时闾后再决打开3汕胞）190IPHAC定冲突址a策咯发送告警- 确定射肖未知接入处理策略：如果未知接入是否有效选择是，则未知接入合法；如果未知接入是否有效选择 否，则未知接入非法，记录异常接入日志，并根据未知接入处理策略中的配置发送告警、（延迟） 关闭接口、延迟恢复接口。冲突异常接入处理策略：对异常接入采取的处理策略；异常接入是指和准入绑定关系冲突的接入信 息；对于异常接入，首先记录异常接入日志， 然后并根据冲突异常接入处理策略中的配置发送告警、 （延迟）关闭接口、延迟恢复接口。IP/MAC绑定冲突处理策略：接入网络的IP/MAC信息同IP /MAC绑定关系冲突时

14、采取的处理策略;目前只有发送告警一种方式，不可配置。（4）异常接入日志轮询的接入信息不合法时，记录的包括终端MAC、终端IP、终端名称、接入设备 IP、接入设备名称、接入接口描述、冲突类型、发现时间、动作状态等信息的日志。捧页显示：a 1iM 100 ?M动作i像24 ea：4f5a：36 vvoooso1C153G3 5D h3C101533934 專溥执厅00:13:72:f6:lj4：a0 艸0的0斫10.153.00.46 h3c10.153.09.34曰未配fi唯301004-12M眄間如阳冏帳17:3S:D2®Eiherne1im0未配辻唯3010.04-12mriE r

15、n eii fvsw 入射瞪殴 i 丁：油 q 二»图3-9异常接入日志卫 KSaaS常接入日吉异毎S入日吉査诲a暫蛊询龛谕IF11r 吏询 II1异鬲靈入HJE列丢魏需准Tv绑走交换机费麟定|取消执订动f门丨All新共mtJ黑记录，当前第1 -10,页*接人播口坯冲耋类型神突垸現耐间详A信冲突类型分为服务器准入绑定冲突、交换机准入绑定冲突、终端和交换机准入绑定同时冲突、未配 置准入绑定冲突四种类型。服务器准入绑定冲突：接入信息只同服务器准入绑定关系不一致，按照冲突异常接入处理策略进行处理。交换机准入绑定冲突：接入信息只同交换机准入绑定关系不一致，按照冲突异常接入处理策略进行 处理。

16、终端和交换机准入绑定同时冲突：接入信息不仅同服务器准入绑定关系不一致，也同交换机准入绑 定关系不一致，按照冲突异常接入处理策略进行处理。未配置准入绑定冲突：接入信息为未知接入且未知接入是否有效标志为否，按照未知接入处理策略 进行处理。动作状态表示对非法接入进行的关闭、恢复接口动作的处理状态，包括:无动作：对非法接入不进行关闭、恢复接口动作。正初始化：关闭、恢复接口动作处理前的初始化状态，在初始化状态对执行关闭、恢复接口动作的任务环境进行配置。动作冲突：在接口上已经存在处理动作。等待执行：对于延迟关闭接口，关闭接口前的等待状态。正执行：接口已经关闭，恢复接口前的等待状态。已完成：关闭、恢复接口动

17、作已经完成或已经被取消后的状态。图3-10异常接入日志详细信息少蚩谊A异第S入日志A异第S入日志详期信息异富接入日吉详a信息ffSSMAC00:13:72:ie：b4:a0终名称WDD905F10.153.39.46接入ft标签h3ce入设备IP10.153.89.34SAS口誉述ElhernetWdO冲突类型未配置准入鄭定沖突冲突详姻信息轮询设备£3.日9一34时发现砒Ctft址®:1372：f6：t)4:如非法MAC . B连接的接口为 *10.153.e9.34-Ethernet1/0/40冲突览現时间2010-04-12 17:39:02动作状玄諄特执行关闭接口动作

18、資迷将在加!坪4月! 231 e点9分谢关闭搔口打开e口动作S谜将在血04月1 291 8点9分12秒打开接口-返回上图为异常接入的详细信息页面，可以通过详细信息查看动作执行情况。图3-11异常接入日志详细信息-动作取消卫资S A异常S入日志A异當接入日志详信息异當接入日吉详a信息捧韻MAC0013：72：16'b4：a0寒n名称WOD905F终 SSIP10.153.39.46畫入设&标签h3c接入设备IP10.153.09.34SAS口fi述Ememetm40冲突类型未配置淮入錚定冲突冲賽详姻信耳轮询设备-W153.8934时发现MAC地址m：132：f6：t)4:；a(r

19、为非法fclAG苴连接的接口为 "1O.153.09.34-Ethemet1/OMO冲突发現时间2010-04-12 17:39:02关闭接口动作舞迷动作已被取消°打开e 口动作Kjf动作已被®消.返回如上图，如果动作尚未执行(动作状态为正初始化或者等待执行)，则可以将动作取消掉。(5) 历史接入记录通过历史接入记录可以查看终端的所有接入历史信息，接入信息包括：终端MAC、终端名称、终端IP、接入设备名称、接入设备 IP、接入接口描述、所在 VLAN、上次轮询时间等信息。图3-12历史接入记录交换机崔入绑定II 刷新自动生成历史S入记录二i：5即生成艾百1 g奚迅录 > 当前第1 -S.MW页.综SIP£入设蛊标筌SAftiiP整入接描述ffiOLAN上ifctt逹吋H00:22:1 9:b1:e7:e1WIN-FPMRKDPOVIID 1 53.89.24H3C10.1 53.B9.2Ethernatl/W3?12Q1C-O4-1217:-5:1400.24.eS：4f 5:20flfD09C5G10.1 53.89.50hSt1O.153.S9.34Ethernetl/(ll3412010-04-1217:45:14D0.13.7?：TB:b4：a0W00905F10.1 53.89.48