EAD解決方案介紹

EAD解決方案介紹ISSUE2.0日期：2011-06杭州華三通信技術(shù)版權(quán)所有，未經(jīng)授權(quán)不得使用與傳播隨著IT應(yīng)用的不斷開展，客戶開始意識到對內(nèi)網(wǎng)終端進行控制和管理的必要性，實施網(wǎng)絡(luò)接入控制，確保企業(yè)網(wǎng)絡(luò)平安，已是許多企業(yè)網(wǎng)客戶的迫切需求。隨著EAD解決方案的不斷開展，新特性新功能層出不窮。以不斷提供易用性和實用性，不斷提高客戶滿意度為出發(fā)點，EAD解決方案已經(jīng)在不知不覺中發(fā)生了較大的變化。引入熟悉UAM組件和EAD組件的功能特性熟悉EAD解決方案架構(gòu)熟悉EAD解決方案的主要功能特性熟悉EAD解決方案的相關(guān)配置課程目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠：UAM組件介紹EAD解決方案介紹EAD解決方案與Cisco產(chǎn)品配合的應(yīng)用EAD解決方案的容災(zāi)方案目錄UAM組件的定義iMCUAM〔UserAccessManage〕是由H3C業(yè)務(wù)軟件產(chǎn)品線針對企業(yè)網(wǎng)、校園網(wǎng)和小運營商等多種網(wǎng)絡(luò)運營環(huán)境開發(fā)的一套基于Radius的集中式網(wǎng)絡(luò)接入認證管理系統(tǒng)。iMCUAM在Radius效勞器根本的AAA〔Authentication、AuthorizationandAccounting〕功能之上，提供了多業(yè)務(wù)融合的身份識別、權(quán)限控制平臺，具有簡單易用、高性能、可擴展的特點，可以幫助網(wǎng)絡(luò)管理員輕松完成各種網(wǎng)絡(luò)接入業(yè)務(wù)的部署、開通、監(jiān)控、審計等管理任務(wù)，極大提高網(wǎng)絡(luò)的平安性、可管理性和可維護性。UAM組件的主要功能〔1〕支持多種接入及認證方式，適合多種接入組網(wǎng)場景及應(yīng)用場景。支持802.1x、Portal、VPN接入、無線接入等多種認證接入方式。支持PAP、CHAP、EAP-MD5、EAP-TLS、PEAP等多種身份驗證方式，適應(yīng)不同平安要求的應(yīng)用場景。支持證書認證〔802.1x、Portal環(huán)境下均支持，但必須使用iNode客戶端〕、匿名快速認證、RSA認證以及漫游認證。支持接入帳號與接入設(shè)備IP地址、接入設(shè)備端口號、VLAN、QinQ雙VLAN、用戶終端IPv4/IPv6地址、用戶終端MAC地址、無線SSID等硬件信息綁定認證，支持綁定認證自學(xué)習(xí)能力，簡化管理維護工作。支持接入帳號與終端計算機名、域用戶身份信息綁定認證，增強用戶認證的平安性，防止接入帳號盜用和非法接入。UAM組件的主要功能〔2〕支持多種接入及認證方式，適合多種接入組網(wǎng)場景及應(yīng)用場景。支持與LDAP效勞器、Windows域管理器、第三方郵件系統(tǒng)〔必須支持LDAP協(xié)議〕的統(tǒng)一認證，防止用戶記憶多個用戶名和密碼。Portal認證提供純Web、可溶解客戶端及iNode客戶端認證方式。支持定制Portal認證頁面或嵌入到第三方主頁，可根據(jù)不同的端口組、SSID、終端操作系統(tǒng)推送不同的認證頁面。支持NAT環(huán)境下的Portal認證?！矁H支持Portal網(wǎng)關(guān)與Portal效勞器間存在NAT設(shè)備的情況,且只能使用iNodePC客戶端?！碁榱耸箚〗K端〔IP、打印機等〕接入網(wǎng)絡(luò)更便捷，系統(tǒng)提供了啞終端管理功能。系統(tǒng)預(yù)先根據(jù)啞終端的“MAC地址”等信息創(chuàng)立預(yù)生成賬號。當(dāng)啞終端接入時，系統(tǒng)自動將預(yù)生成賬號轉(zhuǎn)為正式賬號與啞終端設(shè)備進行綁定，使用“MAC地址”作為接入賬號進行接入認證。支持終端準(zhǔn)入控制〔EAD〕解決方案，確保所有接入網(wǎng)絡(luò)的用戶終端符合企業(yè)的平安策略。UAM組件的主要功能〔3〕嚴格的權(quán)限控制手段，強化用戶接入控制管理?；谟脩舻臋?quán)限控制策略，可以為不同用戶定制不同網(wǎng)絡(luò)訪問權(quán)限?？梢钥刂朴脩舻纳暇W(wǎng)帶寬〔QoS，需與H3C指定設(shè)備配合〕、限制用戶的同時在線數(shù)、禁止用戶設(shè)置和使用代理效勞器、限制最大閑置時長，有效防止個別用戶對網(wǎng)絡(luò)資源的過度占用?？蓪K端下發(fā)ACL、VLAN、QoSUserProfile，限制用戶對內(nèi)部敏感效勞器和外部非法網(wǎng)站的訪問?？梢韵拗朴脩鬒P地址分配策略，防止IP地址盜用和沖突。監(jiān)控用戶認證成功后的IP地址，假設(shè)有變更那么強制要求下線。可以限制用戶的接入時段和接入?yún)^(qū)域，用戶只能在允許的時間和地點上網(wǎng)?？梢韵拗平K端用戶使用多網(wǎng)卡、撥號網(wǎng)絡(luò)，禁止修改終端MAC地址，防止內(nèi)部信息泄露。支持對iNode客戶端版本的檢測并強制自動升級，防止iNode客戶端破解，確?？蛻舳说钠桨残浴＝尤胗脩艟W(wǎng)關(guān)配置，提供接入用戶網(wǎng)關(guān)IP、MAC地址配置信息。配合iNode客戶端實現(xiàn)防止本地受到假冒網(wǎng)關(guān)方式的ARP欺騙功能。UAM組件的主要功能〔4〕詳盡的用戶監(jiān)控，強化對終端用戶的監(jiān)視控制。iMCUAM提供強大的“黑名單”管理，可以將惡意猜測密碼的用戶參加黑名單，并可按MAC、IP地址跟蹤非法行為的來源。管理員可以實時監(jiān)控在線用戶，批量強制非法用戶下線。支持消息批量下發(fā)，管理員可以向上網(wǎng)用戶批量發(fā)布通知消息，如“系統(tǒng)升級，網(wǎng)絡(luò)將在10分中后切斷”、“您的密碼遭惡意試探，請注意保護密碼平安”等。iMCUAM記錄認證失敗日志，便于定位用戶無法認證通過的原因。提供接入明細日志，便于審計用戶的接入網(wǎng)絡(luò)記錄。iMCUAM基于智能管理平臺提供強大的終端拓撲管理功能，拓撲圖融合了網(wǎng)絡(luò)設(shè)備和終端用戶監(jiān)視管理功能，可針對接入設(shè)備進行在線用戶查詢、強制用戶下線、進一步中查看該設(shè)備所掛接的終端用戶及其平安狀態(tài)等多項操作。UAM組件的主要功能〔5〕集中的接入用戶管理，簡化管理員維護操作。集中的接入用戶管理功能，對接入用戶實施分組管理，不同的用戶分組可以由不同的管理員管理。提供對接入用戶進行批量操作，支持批量導(dǎo)入、修改、參加黑名單、注銷用戶、導(dǎo)出帳號等接入用戶相關(guān)的管理動作集中化，界面對操作員來說更友好、更美觀易用。支持同步LDAP用戶，可自定義LDAP同步策略，通過手工或定時任務(wù)方式從LDAP系統(tǒng)中同步用戶信息。接入用戶可使用自助效勞，帳號申請、查詢、修改都通過自助效勞頁面完成，既提高效率，又減輕管理員的工作量。UAM組件的主要功能〔6〕接入設(shè)備統(tǒng)一管理及運行參數(shù)調(diào)整，適應(yīng)不同的應(yīng)用環(huán)境。設(shè)備統(tǒng)一管理，支持H3C、3COM、華為、思科以及支持標(biāo)準(zhǔn)Radius協(xié)議的接入設(shè)備；統(tǒng)一管理設(shè)備管理用戶，支持對設(shè)備管理用戶登錄設(shè)備的認證和授權(quán)。支持限制登錄設(shè)備的用戶IP地址段，支持限制登錄設(shè)備的IP地址段。提供靈活的業(yè)務(wù)參數(shù)配置，管理員可根據(jù)組網(wǎng)和運營環(huán)境進行參數(shù)調(diào)節(jié)。

UAM組件的主要功能〔6〕穩(wěn)定可靠的保障機制，提供分布式部署能力，精細化的管理。支持系統(tǒng)的雙機熱備、雙機冷備，提供可靠的逃生方案，支持Portal網(wǎng)關(guān)雙機。提供對操作員權(quán)限的精細化控制，不僅可以指定操作員可訪問的功能范疇，也提供對功能工程的增、刪、改、查的操作控制。提供業(yè)務(wù)策略分組管理、接入設(shè)備分組管理、LDAP業(yè)務(wù)分組管理、Portal業(yè)務(wù)分組管理，從而支持管理員的業(yè)務(wù)分權(quán)管理能力。提供多種統(tǒng)計報表：休眠帳號統(tǒng)計、帳號數(shù)月統(tǒng)計、平均在線用戶數(shù)統(tǒng)計、認證失敗類型統(tǒng)計、下線原因分類統(tǒng)計、效勞的用戶數(shù)統(tǒng)計，滿足日常運營維護的需要。提供二次開發(fā)接口，便于客戶第三方系統(tǒng)與UAM系統(tǒng)對接。提供將用戶相關(guān)信息，例如用戶上線信息，通過UDP方式發(fā)送給第三方系統(tǒng)，第三方系統(tǒng)可以將信息轉(zhuǎn)化為短信或電子郵件發(fā)送給特定管理員。提供報修管理功能。當(dāng)終端用戶網(wǎng)絡(luò)出現(xiàn)故障時，可通過自助平臺提交網(wǎng)絡(luò)報修單。網(wǎng)絡(luò)管理員那么通過報修管理對用戶報修單進行集中處理，并可針對常見問題進行FAQ發(fā)布。UAM組件介紹EAD解決方案介紹EAD解決方案與Cisco產(chǎn)品配合的應(yīng)用EAD解決方案的容災(zāi)方案目錄組網(wǎng)能力說明基于802.1x的組網(wǎng)：接入層802.1x組網(wǎng)、第三方802.1x接入設(shè)備混合組網(wǎng)；基于Portal的組網(wǎng)：分支機構(gòu)出口Portal組網(wǎng)、認證網(wǎng)關(guān)旁掛的Portal組網(wǎng)、總部入口的Portal組網(wǎng)、穿越NAT的Portal組網(wǎng)；基于VPN的組網(wǎng)；基于WLAN的Portal組網(wǎng)。

主要的網(wǎng)絡(luò)接口、協(xié)議及兼容性說明iMCUAM主要與H3C設(shè)備共同組網(wǎng)，與第三方支持802.1x的接入設(shè)備混合組網(wǎng)具有較好的兼容性。iMCUAM中主要的網(wǎng)絡(luò)協(xié)議包括：RADIUS1.1(H3C擴展)PAPCHAPEAP-MD5EAP-PAPEAP-TLSEAP-PEAP802.1X認證802.1X認證概述IEEE802.1X稱為基于端口的訪問控制協(xié)議〔Portbasednetworkaccesscontrolprotocol〕。主要是為了解決局域網(wǎng)用戶的接入認證問題。IEEE802.1X協(xié)議的體系結(jié)構(gòu)包括三個重要的局部：客戶端〔SupplicantSystem〕認證系統(tǒng)(AuthenticatorSystem)認證效勞器(AuthenticationServerSystem)。802.1X體系架構(gòu)IEEE802.1X定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議〔portbasednetworkaccesscontrol〕，其中端口可以是物理端口，也可以是邏輯端口。802.1X通過EAP幀承載認證信息進行認證。設(shè)備和認證效勞器之間通過RADIUS報文進行通信。PAE(portaccessentity)認證機制中負責(zé)處理算法和協(xié)議的實體基于802.1x組網(wǎng)接入層的802.1x組網(wǎng)設(shè)計在這種組網(wǎng)方案中，接入交換機啟用802.1x功能，并實現(xiàn)基于用戶MAC地址或用戶接入端口的準(zhǔn)入控制。該組網(wǎng)中，準(zhǔn)入控制的執(zhí)行點在接入層交換機上，具有對不滿足身份認證的用戶隔離嚴格的特點，可以有效防止來自企業(yè)網(wǎng)絡(luò)內(nèi)部的平安威脅。這種組網(wǎng)方案要求接入交換機支持802.1x功能?；?02.1x組網(wǎng)第三方802.1x接入設(shè)備混合組網(wǎng)主要是通過H3C接入設(shè)備與第三方支持標(biāo)準(zhǔn)802.1x接入設(shè)備混合組網(wǎng)的方式。在此組網(wǎng)方案中，接入交換機啟用802.1x功能，iMCUAM主要是針對用戶進行標(biāo)準(zhǔn)的802.1x認證功能，由于各廠家的設(shè)備差異，無法提供完整的ACL、VLAN下發(fā)隔離功能。假設(shè)第三方設(shè)備支持802.1x的guest-VLAN特性，可通過guest-VLAN特性控制用戶的認證前后訪問權(quán)限。Portal協(xié)議框架協(xié)議主體：PortalServer和Portal設(shè)備。承載協(xié)議：基于UDP。端口定義：PortalServer：使用本地的50100端口監(jiān)聽BAS設(shè)備發(fā)送的非響應(yīng)類報文，使用目的端口2000向BAS設(shè)備發(fā)送所有報文。BAS：使用本地的2000端口監(jiān)聽PortalServer發(fā)送的所有報文。使用目的端口50100向PortalServer發(fā)送非響應(yīng)類報文。Portal協(xié)議版本：2.0私有協(xié)議，不支持與第三方Portal協(xié)議對接Portal協(xié)議框架PortalWebPortalTransferHTTPUDPUDPUDPUDPPortalServerIEiNodePortalKernelBASAAAServerPortal私有協(xié)議Portal協(xié)議Radius協(xié)議UDP基于Portal組網(wǎng)〔一〕iMCServerPortalBASL2SwitchGateway基于Portal組網(wǎng)〔二〕PortalBASL3SwitchGatewayiMCServer基于Portal組網(wǎng)〔三〕iMCServerPortalBASL2SwitchGateway基于Portal組網(wǎng)〔四〕ACPortalBASAPiMCServerGatewayTrunkVLAN1VLAN2VLAN10Portal認證與802.1x認證的比較Portal認證相對于802.1x認證的優(yōu)勢支持網(wǎng)頁方式認證，免客戶端安裝部署方式靈活、快捷，適合舊網(wǎng)改造Portal認證的缺乏之處沒有802.1x認證對客戶端的控制嚴格EAD解決方案定義EAD解決方案定義終端準(zhǔn)入控制〔EndUserAdmissionDomination〕解決方案從最終用戶的平安控制入手，對接入網(wǎng)絡(luò)的終端實施企業(yè)平安準(zhǔn)入策略。EAD解決方案集成了網(wǎng)絡(luò)準(zhǔn)入、終端平安、桌面管理三大功能，幫助維護人員控制終端用戶的網(wǎng)絡(luò)使用行為，確保網(wǎng)絡(luò)平安。終端用戶平安接入四步曲平安檢查不合格進入隔離區(qū)修復(fù)隔離區(qū)平安檢查合法用戶非法用戶拒絕入網(wǎng)身份認證接入請求你是誰？企業(yè)網(wǎng)絡(luò)動態(tài)授權(quán)合格用戶不同用戶享受不同的網(wǎng)絡(luò)使用權(quán)限你平安嗎？你可以做什么？你在做什么？實時監(jiān)控EAD解決方案的業(yè)務(wù)架構(gòu)EAD解決方案的軟件架構(gòu)所有業(yè)務(wù)組件均基于iMC平臺安裝，用于實現(xiàn)各種業(yè)務(wù)。EAD組件基于UAM組件安裝。UAM組件包含有：RADIUS效勞器、策略效勞器以及策略代理效勞器、Portal組件EAD組件包含有：EAD前臺配置頁面、桌面資產(chǎn)管理效勞器以及桌面資產(chǎn)管理代理iMC智能管理平臺〔網(wǎng)元、告警、性能、資源〕UAM組件EAD組件UBA組件NTA組件WSM組件MVM組件EAD根本認證流程iNode客戶端iMC效勞器1.iNode客戶端發(fā)起認證請求5.iNode客戶端執(zhí)行平安策略并上報平安檢查結(jié)果6.效勞效勞器下發(fā)檢查結(jié)果、修復(fù)策略以及設(shè)置在線監(jiān)控任務(wù)等3.iNode客戶端請求平安檢查項4.效勞器下發(fā)平安檢查項第三方效勞器用于修復(fù)終端平安隱患Internet平安聯(lián)動設(shè)備2.身份認證成功，通知客戶端進行平安檢查802.1x認證流程－PAP/CHAPEAPoL-StartEAP-Request/identityEAP-Responset/identityAccessRequestEAP-Request/MD5-ChallengeEAP-Response/MD5-PasswordAccessSuccess(RadiusCode=2,隔離ACL)AccountingRequestAccountingResponseEAP-Success平安檢查請求下發(fā)檢查項上報檢查結(jié)果監(jiān)控/修復(fù)策略下發(fā)iNode客戶端H3C設(shè)備iMCEAD平安策略效勞器EAP(code=10)EAP(code=10)SessionControl(Radiuscode=20,平安ACL)802.1x認證流程－EAPMD5EAPoL-StartEAP-Request/identityEAP-Responset/identityAccessRequestAccessChallenge(Proxyip&port)EAP-Request/MD5-ChallengeEAP-Response/MD5-PasswordAccessRequestAccessSuccessAccountingRequestAccountingResponseEAP-Success平安檢查請求下發(fā)檢查項上報檢查結(jié)果監(jiān)控/修復(fù)策略下發(fā)iNode客戶端第三方設(shè)備iMCEAD平安策略效勞器EAD業(yè)務(wù)的根本配置流程根本配置流程如下，按照箭頭方向依次配置即可流量監(jiān)控為了對終端用戶的網(wǎng)絡(luò)流量進行監(jiān)控，EAD解決方案支持異常流量監(jiān)控特性。管理員設(shè)置終端用戶流量閾值，iNode客戶端根據(jù)平安策略效勞器的指令，翻開流量監(jiān)控功能，實現(xiàn)異常上報并根據(jù)平安策略效勞器的指令對用戶采取相應(yīng)的動作。終端平安軟件策略管理終端平安軟件策略包括：防病毒軟件策略、防間諜軟件策略、防火墻軟件策略、防釣魚軟件策略、硬盤加密軟件策略。設(shè)置接入用戶需要安裝和運行的終端平安軟件的種類，以確保終端用戶接入網(wǎng)絡(luò)后最大限度的免受攻擊和侵害。終端平安軟件策略管理〔1〕防病毒軟件策略終端平安軟件策略管理〔2〕防間諜軟件策略終端平安軟件策略管理〔3〕防火墻軟件策略終端平安軟件策略管理〔4〕防釣魚軟件策略終端平安軟件策略管理〔5〕硬盤加密軟件策略軟件補丁管理與微軟補丁效勞器WSUSServer或SMSServer聯(lián)動進行軟件補丁檢查〔自動強制升級〕。自定義系統(tǒng)軟件補丁檢查，可針對系統(tǒng)軟件的不同版本自定義補丁檢查策略。客戶端上線后定期檢測補丁，此時間間隔由策略效勞器參數(shù)“補丁檢查間隔時長”確定軟件補丁管理

iMCEAD補丁管理提供了另外一種分級的管理方式，即iMCEAD僅負責(zé)檢查終端用戶的計算機上是否安裝和運行了專業(yè)的補丁管理軟件，再由補丁管理軟件負責(zé)檢查計算機的補丁是否合格。iMCEAD目前不支持管理員自定義補丁管理軟件，即只支持列表中缺省羅列的幾款軟件。可控軟件組管理監(jiān)控軟件安裝、進程運行、效勞運行和特定文件。對于同一軟件組內(nèi)的多條內(nèi)容，只要其中有一條符合檢查要求，那么認為整個組檢查成功。注冊表監(jiān)控監(jiān)控指定的注冊表項中是否存在特性鍵名及鍵值。操作系統(tǒng)密碼監(jiān)控通過字典文件的方式，檢查操作系統(tǒng)密碼是否為字典文件中記錄的弱密碼。目錄共享策略管理該功能用于對本地共享進行監(jiān)控。

遠程桌面連接提供了對在線用戶進行遠程登錄的功能。網(wǎng)絡(luò)管理員可以通過遠程連接功能對遠程終端用戶的電腦進行維護和管理。EAD的五種平安級別監(jiān)控模式無論平安檢查結(jié)果如何，都提示用戶通過平安檢查，不彈出平安檢查結(jié)果頁面，不對用戶做任何限制。只在效勞器一側(cè)記錄檢查結(jié)果以備之后審計。VIP模式假設(shè)平安檢查不通過那么會提示用戶存在平安隱患，但不對用戶采取任何動作，不彈出平安檢查結(jié)果頁面。隔離模式假設(shè)平安檢查不通過，通知平安聯(lián)動設(shè)備限制用戶只能訪問隔離區(qū)資源。下線模式假設(shè)平安檢查不通過，將用戶強制下線。訪客模式特殊的下線模式，缺省設(shè)置了“不平安提示閾值”。平安級別平安級別是一組平安檢查項的集合平安檢查不通過時，最終執(zhí)行何種模式的策略取決于未通過的檢查項中最嚴格的模式不平安提示閾值的功能只能與隔離模式或下線模式配合使用平安策略引用平安級別，使能各項平安檢查策略，配置動態(tài)ACL下發(fā)除了使能這些平安檢查策略之外，需要注意同時使能實時監(jiān)控的功能效勞效勞是最終用戶使用網(wǎng)絡(luò)的一個途徑，它由預(yù)先定義的一組網(wǎng)絡(luò)使用特性組成，其中具體包括根本信息、授權(quán)信息、認證綁定信息、用戶客戶端配置和授權(quán)用戶分組等。在效勞配置中引用已有的平安策略。策略效勞器參數(shù)配置在“業(yè)務(wù)”“EAD業(yè)務(wù)”“系統(tǒng)參數(shù)配置”中修改策略效勞器參數(shù)配置用戶分組用戶分組不再和效勞關(guān)聯(lián)，而是只和操作員關(guān)聯(lián)。針對特定的用戶分組執(zhí)行特定的策略。與指定用戶分組關(guān)聯(lián)的操作員才能管理該分組內(nèi)的用戶以及產(chǎn)生的相關(guān)用戶信息。業(yè)務(wù)分組將一些個性化策略歸入指定的業(yè)務(wù)分組，只有與該業(yè)務(wù)分組關(guān)聯(lián)的操作員，才能夠管理該業(yè)務(wù)分組中的策略。防內(nèi)網(wǎng)外聯(lián)基于客戶端ACL功能，實現(xiàn)了防內(nèi)網(wǎng)外聯(lián)功能iNode認證前所有網(wǎng)卡都是邏輯上關(guān)閉的，會過濾除DHCP外的所有IP報文認證通過后僅認證網(wǎng)卡放開，其他網(wǎng)卡仍然關(guān)閉僅限802.1x和Portal認證方式思考：VPN認證方式是否有必要支持此特性？為何不能過濾DHCP報文？混合組網(wǎng)特性的由來使用RADIUS報文控制在線用戶列表需要考慮：EAD平安認證依賴于RADIUS身份認證建立的在線表，而RADIUS在線表需要接入設(shè)備支持發(fā)送計費開始和計費結(jié)束報文。在沒有EAP心跳機制和不支持計費更新報文的環(huán)境下，容易出現(xiàn)在線用戶列表中用戶掛死的現(xiàn)象。即使與支持計費更新包的第三方設(shè)備配合，通常也無法支持通過計費更新包下發(fā)的剩余上網(wǎng)時長等信息，從而無法準(zhǔn)確控制在線用戶。雖然在線重認證可以在一定程度上代替EAP心跳和計費更新包，但各廠家實現(xiàn)各不相同，難以統(tǒng)一處理，可能引發(fā)其他問題隱患?；旌辖M網(wǎng)特性原理RADIUS身份認證通過后，客戶端獲取到平安檢查代理的IP和端口后即發(fā)起平安認證。由策略效勞器根據(jù)平安認證/心跳/下線報文維持在線表。UAM后臺對于計費報文或重認證報文僅做檢測和回應(yīng)，不再更新或刪除在線表。通過EAD心跳回應(yīng)報文返回用戶剩余上網(wǎng)時長〔接入時段限制、在線參加黑名單、用戶被從在線表刪除等〕，以精確控制在線用戶。配置混合組網(wǎng)特性該特性基于接入設(shè)備實現(xiàn)，同一個接入設(shè)備的所有用戶要么啟用要么不啟用僅限802.1X認證思考：為什么portal認證不能使用混合組網(wǎng)？部署混合組網(wǎng)特性的本卷須知對于可以很好支持RADIUS計費〔含開始、結(jié)束、更新〕報文的設(shè)備不建議啟用該特性。網(wǎng)絡(luò)環(huán)境復(fù)雜，而iNode又是基于操作系統(tǒng)安裝，EAD心跳喪失的可能性比RADIUS報文喪失的可能性大的多混合組網(wǎng)環(huán)境下，效勞器動用老化功能來清理在線用戶列表的時機比傳統(tǒng)環(huán)境下大的多，因此建議在混合組網(wǎng)環(huán)境下適當(dāng)放寬對同一帳號的在線用戶數(shù)量限制。EAD分級部署特性的由來典型的大型網(wǎng)絡(luò)結(jié)構(gòu)是一個總部下轄多個分支，而分支下面可能還有分支，各分支之間及與總部間網(wǎng)絡(luò)相對獨立，各自有一批網(wǎng)管人員在維護?？偛肯Ｍ芙o分支機構(gòu)確定平安策略，讓各分支應(yīng)用而不能隨意修改。各分支的匯總信息能以報表的形式上報給總部。分級部署架構(gòu)使用EAD分級特性前的本卷須知EAD分級特性是EAD組件的特性，僅部署UAM組件是沒有分級管理功能的。EAD分級特性依賴于ETL數(shù)據(jù)分析效勞器組件及報表組件。EAD分級管理的實施應(yīng)該是自上而下進行部署。即先部署總部,在總部iMC系統(tǒng)中定義其下級節(jié)點，并配置好預(yù)計下發(fā)給下級節(jié)點的策略。上級節(jié)點配置定制平安策略及其相關(guān)的配置〔防病毒軟件、補丁、可控軟件、流量監(jiān)控策略等〕。定制效勞并引用平安策略。配置下級節(jié)點：IP、Port、管理員帳號和密碼。上下級間的通信是通過WEBService實現(xiàn)的。上級節(jié)點配置以“效勞”為單元給下級節(jié)點下發(fā)配置。該效勞所引用的各種策略〔主要指平安策略〕及策略引用的策略〔流量監(jiān)控策略、補丁、可控軟件、防病毒軟件等〕都會下發(fā)給下級節(jié)點。策略分發(fā)的原那么支持每日定時自動分發(fā)和手工分發(fā)。首先比較策略更新時間和上次成功下發(fā)的時間，如果策略更新時間較新那么下發(fā)。策略會逐級下發(fā)下去，中間一級只能將上一級的策略直接下發(fā)給下級，不能跨級分發(fā)。下級節(jié)點配置上級結(jié)點是在下發(fā)時自動配置上的，如果上級結(jié)點IP地址發(fā)生改變時才需要修改。下級節(jié)點配置下級結(jié)點上報匯總數(shù)據(jù)的配置。分級報表管理查看平安日志匯總統(tǒng)計報表下級節(jié)點的工作和限制下級節(jié)點不能增加/刪除效勞、平安策略和平安級別，絕大多數(shù)配置也不能修改。下級節(jié)點不能增加/修改/刪除補丁、注冊表監(jiān)控策略、流量監(jiān)控策略、防病毒軟件等信息。下級節(jié)點不能修改/刪除下發(fā)的可控軟件組，但可以新增，并且可以對平安級別本地新增的可控軟件組對應(yīng)的處理方式進行修改。下級節(jié)點可以修改平安策略中配置的ACL以及效勞器地址等個性化的內(nèi)容。下級節(jié)點的工作和限制下級節(jié)點可以修改效勞中的授權(quán)信息，如下發(fā)VLAN信息。假設(shè)最近一次下發(fā)的效勞中沒有包含當(dāng)前用戶已申請的效勞，那么該狀態(tài)變?yōu)椤盁o效”，申請該效勞的用戶無法通過認證。除效勞外，其他之前曾經(jīng)下發(fā)而最近一次沒有下發(fā)的內(nèi)容〔平安策略、補丁、可控軟件組等〕都會被刪除。接入時段策略和接入?yún)^(qū)域策略不下發(fā)。同名的效勞、平安策略、平安級別下發(fā)后，會更新不可修改的項。下級節(jié)點不再支持業(yè)務(wù)分權(quán)。漫游特性的由來在EAD分級環(huán)境中，不同節(jié)點所管理的用戶具有流動性，當(dāng)A節(jié)點的用戶到B節(jié)點出差時，希望能不在B節(jié)點增加相關(guān)的帳號信息就可以接入到網(wǎng)絡(luò)并能做身份認證和平安檢查。雖然在B節(jié)點上開始來賓帳號可以解決上面問題，但來賓帳號無法區(qū)分用戶的身份，給管理和審計帶來不便。用戶在B節(jié)點認證時，B節(jié)點根據(jù)其身份〔帶了A節(jié)點的某種標(biāo)識〕將其身份認證請求發(fā)送到A節(jié)點，由A節(jié)點進行身份校驗。這就是所謂的“漫游”。通常將B節(jié)點稱之為漫游地效勞器，而A節(jié)點稱之為歸屬地效勞器。漫游地效勞器配置使能漫游地效勞器的漫游功能。漫游地效勞器配置配置漫游域信息漫游地效勞器配置配置漫游域信息，同時定義認證及計費漫游漫游地效勞器配置配置漫游域信息下面的例如表示漫游地效勞器如果收到用戶名攜帶域名后綴為roam的認證請求那么直接轉(zhuǎn)給IP地址為的歸屬地效勞器處理。歸屬地效勞器配置添加漫游地效勞器下面的例如表示將漫游地效勞器作為歸屬地效勞器的一臺認證接入設(shè)備添加進來，需確保與漫游地配置的密鑰一致。漫游中的身份認證和平安認證屬于A節(jié)點的用戶a到B節(jié)點的網(wǎng)絡(luò)中認證時，接入設(shè)備將認證請求發(fā)送給B節(jié)點，B節(jié)點再通過RADIUS-proxy功能將其轉(zhuǎn)給A節(jié)點校驗，完成身份驗證。在做身份認證漫游時，B節(jié)點將本地的平安代理的IP和端口下發(fā)給iNode客戶端，iNode到B節(jié)點上做平安認證。由于B節(jié)點上沒有用戶a的用戶信息，因此需要在B上設(shè)置一個“缺省平安策略”，所有漫游用戶都用該平安策略進行平安認證。漫游過程中2個節(jié)點都會有該用戶的在線信息。Portal和802.1X都可以實現(xiàn)漫游平安檢查相關(guān)參數(shù)〔一〕在“接入業(yè)務(wù)”

“業(yè)務(wù)參數(shù)配置”

“系統(tǒng)配置”中可以修改系統(tǒng)運行的各項參數(shù)平安檢查相關(guān)參數(shù)〔二〕“系統(tǒng)參數(shù)配置”中的客戶端防破解主要解決破解客戶端問題，需要接入設(shè)備，客戶端配合，一般推薦禁用平安檢查相關(guān)參數(shù)〔三〕運行參數(shù)可以修改UAM組件的日志級別，在問題定位處理時需要調(diào)整由于調(diào)試日志對系統(tǒng)性能消耗較大，一般情況下建議恢復(fù)為警告級別平安檢查相關(guān)參數(shù)〔四〕“EAD業(yè)務(wù)”“業(yè)務(wù)參數(shù)配置”下可以調(diào)整策略效勞器的運行參數(shù)修改完畢后須選擇“系統(tǒng)配置手工生效”，以使修改生效可溶解客戶端工作原理可溶解客戶端無需安裝，由網(wǎng)頁認證時自動調(diào)用java完成DC的下載和啟動?？扇芙饪蛻舳吮旧淼膶崿F(xiàn)完全基于目前的iNode客戶端的平臺代碼和協(xié)議代碼，是現(xiàn)有iNode功能的一個子集。僅支持PortalEAD。可溶解客戶端功能特性可溶解客戶端平安檢查是普通iNode平安檢查的一個子集，支持大局部功能。支持終端平安軟件管理支持補丁管理支持軟件，進程，效勞，文件管理終端平安狀態(tài)檢查平安檢查信息管理實時監(jiān)控管理平安修復(fù)管理用戶隔離及下線管理設(shè)備無關(guān)特性可溶解客戶端安裝部署可溶解客戶端安裝在iMC效勞器上，以組件的形式存在，安裝部署方式與iMC其他組件一致DAM簡介桌面資產(chǎn)管理〔DesktopAssetManagement〕主要關(guān)注于企業(yè)的信息平安，可以對終端進行全方位的監(jiān)控，保證用戶只能合理合法的使用公司的信息資源，并提供實時和事后的審計。DAM軟件架構(gòu)DAMAgent駐留在桌面機操作系統(tǒng)中，執(zhí)行相關(guān)的DAM策略，采集終端的軟硬件資產(chǎn)信息；監(jiān)控一些敏感資產(chǎn)的變更；執(zhí)行軟件分發(fā)、外設(shè)管理任務(wù)。DAMProxy負責(zé)轉(zhuǎn)發(fā)iNode客戶端桌面效勞器的交互報文。DAMServer負責(zé)向客戶端下發(fā)桌面平安相關(guān)策略，接受客戶端上報的相關(guān)信息，并存入數(shù)據(jù)庫中。DAM功能概述資產(chǎn)管理資產(chǎn)注冊資產(chǎn)查詢資產(chǎn)變更管理軟件分發(fā)FTP方式HTTP方式文件共享方式外設(shè)管理U盤的拔插、寫入監(jiān)控禁用USB、光驅(qū)、軟驅(qū)、串口、并口、紅外、藍牙、1394、Modem資產(chǎn)注冊〔一〕配置資產(chǎn)編號的生成方式支持手工資產(chǎn)編號和自動資產(chǎn)編號兩種方式資產(chǎn)注冊〔二〕以手工生成資產(chǎn)編號為例終端第一次上線時提示輸入資產(chǎn)編號，必須與效勞器上已錄入的編號一致效勞器返回該資產(chǎn)編號對應(yīng)的資產(chǎn)信息，由終端確認后完成注冊資產(chǎn)查詢與統(tǒng)計〔一〕查詢已注冊的資產(chǎn)詳細信息，包括操作系統(tǒng)信息、硬件信息、屏保信息、分區(qū)列表、邏輯磁盤列表、軟件列表、補丁列表、進程列表、效勞列表以及共享列表。資產(chǎn)查詢與統(tǒng)計〔二〕支持按多種分類方式統(tǒng)計資產(chǎn)信息并顯示報表支持統(tǒng)計資產(chǎn)的軟件安裝情況資產(chǎn)變更管理支持軟硬件資產(chǎn)信息變更的檢查和上報軟件分發(fā)〔一〕配置軟件分發(fā)效勞器配置軟件分發(fā)任務(wù)軟件分發(fā)〔二〕iNode客戶端下載安裝程序完成后彈出軟件分發(fā)管理的提示窗口，用戶也可以手工從客戶端上查看雙機軟件分發(fā)管理中的文件名稱開始安裝USB監(jiān)控記錄使用USB的時間記錄寫入USB的文件外設(shè)管理〔一〕配置外設(shè)管理策略，選擇需要禁用的外設(shè)將外設(shè)管理策略與資產(chǎn)分組關(guān)聯(lián)外設(shè)管理〔二〕手工啟用已經(jīng)被外設(shè)管理策略禁用的設(shè)備后，將產(chǎn)生外設(shè)違規(guī)記錄業(yè)務(wù)參數(shù)配置資產(chǎn)編號方式資產(chǎn)變更掃描間隔時長心跳相關(guān)參數(shù)資產(chǎn)策略請求間隔時長桌面資產(chǎn)管理相關(guān)參數(shù)“桌面資產(chǎn)業(yè)務(wù)”

“業(yè)務(wù)參數(shù)配置”可以對桌面資產(chǎn)業(yè)務(wù)的參數(shù)進行調(diào)整UAM組件介紹EAD解決方案介紹EAD解決方案與Cisco產(chǎn)品配合的應(yīng)用EAD解決方案的容災(zāi)方案目錄UAM組件介紹EAD解決方案介紹EAD解決方案與Cisco產(chǎn)品配合的應(yīng)用EAD解決方案的容災(zāi)方案目錄逃生工具用戶接入逃生工具〔簡稱為“逃生工具”〕是CAMS/iMCUAM后臺的替身。當(dāng)CAMS/iMCUAM出現(xiàn)諸如進程宕掉、數(shù)據(jù)庫異常、性能下降等故障無法處理認證或計費請求時，逃生工具暫時替代CAMS/iMCUAM處理請求報文以保障用戶的業(yè)務(wù)不中斷。逃生工具不驗證用戶信息與用戶口令，不做綁定、授權(quán)處理，也不啟用平安認證，對于請求報文都直接回應(yīng)成功。逃生工具以后臺效勞形式存在，操作系統(tǒng)重新啟動后會自動啟用逃生工具。逃生工具的部署方式逃生工具支持集中式部署〔即和iMCUAM部署于同一臺效勞器上〕和獨立部署〔單獨部署在另一臺效勞器上〕。逃生工具和UAM監(jiān)聽同樣的端口，所以當(dāng)集中式部署時只能啟動兩者之一。獨立部署時，建議將逃生工具所在效勞器配置成和原效勞器一樣的IP地址，并離線放置。當(dāng)出現(xiàn)故障時直接將原效勞器的網(wǎng)線拔到逃生工具效勞器上，就好似替換備件。不建議配置不同的IP做主備切換。獨立部署的好處是首先盡量防止主機操作系統(tǒng)或硬件故障帶來的影響，其次可以在主機出現(xiàn)故障時直接在現(xiàn)網(wǎng)環(huán)境下定位問題，而不用為了啟動逃生而將UAM停止。這樣可以盡早定位問題，恢復(fù)原效勞器。逃生工具的優(yōu)缺點優(yōu)點有低本錢的容災(zāi)方案，實施及維護非常簡單；一種簡單易行的附加保險，即使是使用了其他容災(zāi)方案，仍然可以準(zhǔn)備一套逃生工具以備不時之需缺點有需要管理員及時發(fā)現(xiàn)故障并手工地切換使用逃生工具；用戶業(yè)務(wù)仍然會中斷；使用逃生工具期間，將損失