EOU培训文档设计

华东区-Daniel准入控制联软科技－用服中心目前你了解联软的哪几种认证方式?•基于端口/MAC的802.1x准入控制；•基于ACL的EOU准入控制；•基于简单安全助手认证；•基于NACC的EOU准入认证传统的几种认证方式几种认证方式的对比准入方式类型优点缺点应用场合基于端口/MAC的802.1x认证公用协议公有协议大部分设备都支持控制方式不灵活多厂商设备混用的单位基于ACL的EOU认证Cisco私有控制方式灵活私有协议不支持trunk环境全是cisco3560的设备基于简单安全助手的认证联软私有认证简单安全性太差对安全要求不高的公司基于NACC的EOU认证联软私有部署实施容易可能会增大交换机的负担HUB比较多的环境对网络起限制作用TRUNK:EOU不能应用在trunk口上NAC:networkadmissioncontrolEOU：EAPoverUDPNACL2IP̶EAPoverUDP安全状态检查(L2交换机端口)在交换机实现NAC是，其称作NAC-L2-IPNACL3IP̶EAPoverUDP安全状态检查(RoutersandVPN)EOU几个相关的概念的原理•EAPOU是Cisco的专有协议，即独家技术。•EAPOU是在网络的汇聚层或核心层进行准入控制。当支持EAPOU的汇聚层设备接收到终端设备发来的数据包时，汇聚层EAPOU设备将要求终端设备进行EAP认证。EAP认证包封装在UDP包内，在EAP认证的内容中，身份认证其实并不重要，重要的则是安全状态认证。如果安全状态不符合企业策略，汇聚层EAPOU设备将从策略服务器上下载ACL，限制不安全的客户端的网络访问，并对其进行修复。的原理•EAPoverUDP认证•通过ACL来控制终端访问•动态下载ACL和重定向URL–依据终端身份及安全状态•终端可以通过HUB、无线AP、VPN接入–只要中间有支持NAC-L2/3-IP的设备＋Radius访客可访问资源安全区资源修复区资源身份＋安全状态+硬件IDEAPoverUDPACL访问控制对无Agent终端做URL重定向提醒的应用•Leagview服务器上–ACL与部门对应关系设置，Agentless终端以及非安全终端的ACL–网络准入控制策略–用户、机器验证策略•网络交换机上–ACL设置–网络交换机上启用AAA认证：•aaanew-model•aaaauthenticationdefaultgroupradius•aaaauthorizationdefaultgroupradius–网络交换机上配置Radius服务器•如果有两台，配置两条，第一条的优先–启用EOU•全局配置模式下的命令：ipadmission,ipdevicetracking等•接口下面的命令的应用•EOU在uniaccess应用中的认证过程分析•基本步骤：•PC(withagent)------------switch-------------authserver(radius）•switch检测到pc产生流量之后，向pc发送认证请求•agent响应该认证请求，并且将pc的状态一并发送给switch•switch将pc的状态信息放入radius报文，发送给认证服务器•认证服务器根据信息，判断pc的状态，并根据结果，向switch返回信息，内容主要包括：将该端口置于何种状态（不同的状态会在接口上生成不同的ACL），以及对该PC，哪些web访问会被重定向。的应用•怎么设计EOU准入方案？–确定用户具体的需求。–确定实施环境是否具备。结合实际情况设计方案。实际网络结构是什么？交换机之间的连接关系？交换机负载终端？终端环境？–应急措施•实施EOU准入要注意的地方？–不能随便在用户现场采用cleareouall.–不能随便在用户的环境随便开启debugeou等功能。–有IP电话的情况下。怎么去做例外？•EOU应急方案–aaadownpolicy的应用的前题•允许访问LeagView服务器•允许EoU认证包•允许ping•允许DHCP包•允许DNS包•禁止其它启用EOU需要放行以下地址或数据包、通过telnet命令行登录到交换机上，进入特权模式，配置交换机对RADIUS服务器的支持；运行configureterminal进入到全局配置模式，运行以下命令#启用AAAaaanew-model#创建缺省的登录认证方法列表，采用linepassword认证。aaaauthenticationlogindefaultlinenone#创建EoU认证方法列表,groupradius表示使用Radius服务进行认证aaaauthenticationeoudefaultgroupradiusaaaauthorizationnetworkdefaultgroupradiusEOU的命令分析以下型号的Cisco设备(交换机)支持(eou)准入控制：Catalyst3550/3560/3750/4500/4900/6500创建ip准入控制名称(NAC-L2-IP是名称，可以自己任意指定)ipadmissionnameNAC-L2-IPeapoudp#启动网络设备的设备追踪功能ipdevicetracking##配置一些EoU的参数#允许网络设备将无代理的设备的信息发送到Radius服务器进行认证（根据IP、Mac地址）eouallowclientless#设置重传的超时和次数。使用30秒、3次这个设置可以避免代理启动过慢被交换机误认为是无代理设备。如果代理启动速度加快了，这两个参数可以适当减小eoutimeoutretransmit30eoumax-retry3EOU的命令分析的命令分析#配置一个接口默认的ACL，建议至少允许以下几种IP包：udp21862端口（EoU认证需要）、DHCP（获取IP地址）、DNS（允许获取域名的IP地址，以便http可以重定向）、ICMP（允许ping和被ping利于诊断）、LeagView服务器所在的IP地址访问、其它修复服务器的地址（例如反病毒软件安装服务器、补丁服务器等）ipaccess-listextendedinterface_default_aclpermitudpanyanyeq21862permitudpanyeqbootpcanyeqbootpspermitudpanyanyeqdomainpermiticmpanyanypermitipanyhost192.168.1.20permitipanyhost192.168.1.204denyipanyany#配置一个ACL，用来定义要重定向的Http访问。下例中，假定所有的其它Http访问被重定向到192.168.1.204ipaccess-listextendedquaratine_url_redir_acldenytcpanyhost192.168.1.204eq配置radius服务器radius-serverattribute8include-in-access-reqradius-serverhost192.168.1.20auth-port1812acct-port1646keysecret#将dead的Radius的优先级降低，缺省情况下不调整优先级别#当已经发现第一个Radiusdead时，如果有认证请求，直接将认证包发给第二个radius-serverretrymethodreorder#指定网络交换机向radius服务器的认证包的重传次数，缺省值为3#减少该值有可以更快地切换到下一台Radius服务器来做认证radius-serverretransmit2#指定认证包的超时，缺省为5秒radius-servertimeout3#设置deadtime为3分钟，3分钟后网络设备会再次尝试radius-serverdeadtime3＃指定交换机发送Radius包时加上Cisco自己的扩展（以便解析接入端口名）radius-servervsasendauthenticationEOU的命令分析的命令分析#启动交换机上的Http服务器（如果需要URL重定向功能的话）iphttpserver#在某个端口上启动NAC-L2-IP（例如interfacegiga1/0/1）interfacegiga1/0/1ipaccess-groupinterface_default_aclinipadmissionNAC-L2-IP#查看EoU接入情况showeouall#查看某个端口上的ACL应用情况showipaccess-listsinterfacegiga1/0/47#清除某个设备的EoU会话（以便开始一次新的认证过程）cleareouipxxx.xxx.xxx.xxx认证故障诊断问题一般处理流程：1:先全局，后局部。基本定位问题。2：从认证过程着手。–客户端–网络访问设备–策略服务器如何查找IOS的特性？如何验证交换机与radius的连通性？–Testaaagroupradiususernamepasswordnew-code–采用公司的radius测试工具认证故障诊断问题：Agent的EOU认证界面没有反应，表明没有收到认证包。但是使用Ethereal能抓到认证包。原因分析：显然是Window防火墙把认证包阻止了。打开Windows防火墙配置界面，发现防火墙服务ICS无法启动，报错“拒绝访问”，错误码5。这种报错是意料之外的，因此很可能是安装第三方程序引起的。重启机器，进入带网络连接的安全模式，Agent的EOU认证正常。凭这点可以断定必然是安装第三方程序引起的，因为在安全模式下没有加载这些程序。解决方法：在安全模式下，运行autoruns.exe工具（这个工具的作用是列出当前所有的自动启动项）。仔细查看，把不明自动启动项全部去掉，重启机器，故障解决。如果有时间，可以一个个去掉，每去掉一个就重启机器试试，这样可以找出具体是哪个自动启动项引起的。问题：配置eou时，在端口上配置ipadmissionxxx时，提示：Thisconfigisnotsupportedonthisplatform.Tryconfiguringanewrule。解决方法：端口不是access类型的端口，将端口类型改成access即可：switchportmodeaccess。EOU认证故障诊断