文档介绍:EAD解决方案介绍
ISSUE
日期:2011-06
杭州华三通信技术有限公司版权所有,未经授权不得使用与传播
随着IT应用的不断发展,客户开始意识到对内网终端进行控制和管理的必要性,实施网络接入控制,确保企业网络安全,已是许多企业网客户的迫切需求。
随着EAD解决方案的不断发展,新特性新功能层出不穷。以不断提供易用性和实用性,不断提高客户满意度为出发点,EAD解决方案已经在不知不觉中发生了较大的变化。
引入
熟悉UAM组件和EAD组件的功能特性
熟悉EAD解决方案架构
熟悉EAD解决方案的主要功能特性
熟悉EAD解决方案的相关配置
课程目标
学****完本课程,您应该能够:
UAM组件介绍
EAD解决方案介绍
EAD解决方案与Cisco产品配合的应用
EAD解决方案的容灾方案
目录
UAM组件的定义
iMC UAM( User Access Manage)是由H3C业务软件产品线针对企业网、校园网和小运营商等多种网络运营环境开发的一套基于Radius的集中式网络接入认证管理系统。iMC UAM 在Radius服务器基本的AAA(Authentication、Authorization and Accounting)功能之上,提供了多业务融合的身份识别、权限控制平台,具有简单易用、高性能、可扩展的特点,可以帮助网络管理员轻松完成各种网络接入业务的部署、开通、监控、审计等管理任务,极大提高网络的安全性、可管理性和可维护性。
UAM组件的主要功能(1)
支持多种接入及认证方式,适合多种接入组网场景及应用场景。
、Portal、VPN接入、无线接入等多种认证接入方式。
支持PAP、CHAP、EAP-MD5、EAP-TLS、PEAP等多种身份验证方式,适应不同安全要求的应用场景。
支持证书认证(、Portal环境下均支持,但必须使用iNode客户端)、匿名快速认证、RSA认证以及漫游认证。
支持接入帐号与接入设备IP地址、接入设备端口号、VLAN、QinQ双VLAN、用户终端IPv4/IPv6地址、用户终端MAC地址、无线SSID等硬件信息绑定认证,支持绑定认证自学****能力,简化管理维护工作。支持接入帐号与终端计算机名、域用户身份信息绑定认证,增强用户认证的安全性,防止接入帐号盗用和非法接入。
UAM组件的主要功能(2)
支持多种接入及认证方式,适合多种接入组网场景及应用场景。
支持与LDAP服务器、Windows域管理器、第三方邮件系统(必须支持LDAP协议)的统一认证,避免用户记忆多个用户名和密码。
Portal认证提供纯Web、可溶解客户端及iNode客户端认证方式。支持定制Portal认证页面或嵌入到第三方主页,可根据不同的端口组、SSID、终端操作系统推送不同的认证页面。支持NAT环境下的Portal认证。(仅支持Portal网关与Portal服务器间存在NAT设备的情况,且只能使用iNode PC客户端。)
为了使哑终端(IP电话、打印机等)接入网络更便捷,系统提供了哑终端管理功能。系统预先根据哑终端的“MAC地址”等信息创建预生成账号。当哑终端接入时,系统自动将预生成账号转为正式账号与哑终端设备进行绑定,使用“MAC地址”作为接入账号进行接入认证。
支持终端准入控制(EAD)解决方案,确保所有接入网络的用户终端符合企业的安全策略。
UAM组件的主要功能(3)
严格的权限控制手段,强化用户接入控制管理。
基于用户的权限控制策略,可以为不同用户定制不同网络访问权限。
可以控制用户的上网带宽(QoS,需与H3C指定设备配合)、限制用户的同时在线数、禁止用户设置和使用***、限制最大闲置时长,有效防止个别用户对网络资源的过度占用。
可对终端下发ACL、VLAN、QoS User Profile,限制用户对内部敏感服务器和外部非法网站的访问。
可以限制用户IP地址分配策略,防止IP地址盗用和冲突。监控用户认证成功后的IP地址,若有变更则强制要求下线。
可以限制用户的接入时段和接入区域,用户只能在允许的时间和地点上网。
可以限制终端用户使用多网卡、拨号网络,禁止修改终端MAC地址,防止内部信息泄露。
支持对iNode客户端版本的检测并强制自动升级,防止iNode客户端破解,确保客户端的安全性。
接入用户网关配置,提供接入用户网关IP、MAC地址配置信息。配合iNode客户端实现防止本地受到假冒网关方式的ARP欺骗功能。
UAM组件的主要功能(4)
详尽的用户监控,强化对终端用户的监视控制。
iMC UAM提供强大的“黑名单”管理,可以将恶意猜测密码的用户加入黑名单,并可按MAC、IP地址跟踪非法行为的来源。
管理员可以实时监控在线用户,批量强制非法用户下线。