01-H3C WA系列EAD典型配置举例
本章节下载: 01-H3C WA系列EAD典型配置举例 (614.90 KB)
H3C WA系列 EAD典型配置举例
关键词:EAD,PORTAL,DOT1X
摘 要:本文介绍了用H3C公司WA系列AP部署EAD解决方案时必需的配置。
缩略语:
缩略语 |
英文全名 |
中文解释 |
EAD |
Endpoint Admission Defense |
端点准入防御 |
H3C WA系列无线局域网端点准入防御(EAD,Endpoint Admission Defense)方案主要针对企业广域网络入手,整合网络接入控制与终端安全产品,强制实施企业安全策略,从而加强网络终端的主动防御能力,防止“危险”、“易感”终端接入网络,控制病毒、蠕虫的蔓延。这种端到端的安全防护体系,可以在终端接入层面帮助管理员统一实施企业安全策略,大幅度提高网络的整体安全。该方案充分发挥企业互联网络设备层路由器的作用,尤其是在H3C公司最新发布的基于新一代硬件平台的WA系列无线局域网接入点设备的基础上配合EAD安全理念,极大的提升企业网的性能和安全,彻底改变传统的安全观点,使网络的安全上升到一个新的高度,由原有的被动防御向主动防御和抵抗转化,由单点防御向整体防御过渡,由分散管理向集中管理迁移;同时结合了“检查”、“隔离”、“修复”、“管理和监控”等多种手段。
EAD的基本功能是通过安全客户端、安全联动设备(如交换机、路由器)、安全策略服务器以及防病毒服务器、补丁服务器的联动实现的,其基本原理如下图所示:
图1-1 EAD基本原理
用户终端试图接入网络时,首先通过安全客户端进行用户身份认证,非法用户将被拒绝接入网络。
合法用户将被要求进行安全状态认证,由安全策略服务器验证补丁版本、病毒库版本是否合格,不合格用户将被安全联动设备隔离到隔离区。
进入隔离区的用户可以进行补丁、病毒库的升级,直到安全状态合格。
安全状态合格的用户将实施由安全策略服务器下发的安全设置,并由安全联动设备提供基于身份的网络服务。
结合EAD的安全理念以及企业网目前网络架构,H3C公司推出WA2200无线局域网EAD方案。H3C公司EAD安全理念结WA2200无线局域网以及CAMS服务器,可以是实现802.1x、Portal以及扩展Portal认证方式,在企业网出口处对网络用户的端点准入控制。
作为一种结合企业网络现有架构,为企业量身定做的WA2200无线局域网端点准入方案可以大幅度提高网络对病毒、蠕虫等新兴安全威胁的整体防御能力,同时在目前主流认证方式的基础上结合客户需求独家扩展Portal认证条件,使网络安全性大大增加。H3C的WA2200无线局域网端点准入防御方案具有以下特点:
l 在支持802.1X和Portal基本认证基础上,为企业网客户实际应用扩展Portal认证条件:客户实际应用中只有通过IE才可以激活Portal认证,扩展Portal激活条件规定只要出现TCP/UDP报文就可以激活Portal认证,例如客户不一定启动IE,有FTP等流量经过端口既可以激活认证。双因素决定客户安全和权限,在原有的基础上增加对客户身份认证之后,在决定客户的访问权限。这样操作可以使不同的客户具备不同的权限,访问不同的网络资源,IT资源细化分层。
l 整合防病毒与网络接入控制,大幅提高安全性,EAD可以确保所有正常接入网络的用户终端符合企业的防病毒标准和系统补丁安装策略。不符合安全策略的用户终端将被隔离到“隔离区”,只能访问网络管理员指定的资源,直到按要求完成相应的升级操作。
全面隔离“危险”终端,可以配合设备采用ACL隔离的方式,以到达物理或网络隔离的效果,实现对“危险”终端的全面隔离。
详细的安全事件日志与审计。
专业防病毒厂商的合作,通过EAD的联动,防病毒软件的价值得到提升,从单点防御转化为整体防御。
EAD是一种通用接入安全解决方案,具有很强的灵活性和适应性,配合H3C的WA2200无线局域网,实现对企业无线网络入口安全保护。EAD可以为以下应用场景提供安全防护解决方案:
企业网络入口安全防护
大型企业往往拥有分支或下属机构,分支机构可以通过专线或WAN连接企业总部。某些企业甚至允许家庭办公用户或出差员工直接访问企业内部网络。这种组网方式在开放型的商业企业中比较普遍,受到的安全威胁也更严重。为了确保接入企业内部网的用户具有合法身份且符合企业安全标准,可以在企业入口路由器或BAS中实施EAD准入认证,强制接入用户进行Portal认证和安全状态检查。
(1) 接入设备上服务器端口配置正确。
(2) 相关AAA配置正确。
本配置举例中的AP使用的是WA2200无线局域网接入点。AP的IP地址为8.20.1.20/24,Radius Server的IP地址为8.1.1.16/8,Client通过DHCP服务器获取IP地址。
本典型配置案例简化组网为两台Client以及一台Fat AP,一台PC作为Radius Server。
图4-1 EAD组网图
l 配置DOT1X
l 配置服务器
[AP]display version
H3C Comware Platform Software
Comware Software, Version 5.20, 0001
Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.
WA2200 uptime is 0 week, 0 day, 16 hours, 48 minutes
CPU type: AMCC PowerPC 266MHz
64M bytes SDRAM Memory
8M bytes Flash Memory
Pcb Version: Ver.A
Basic BootROM Version: 1.04
Extend BootROM Version: 1.04
[SLOT 1]CON (Hardware)Ver.A, (Driver)1.0
[SLOT 1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0
[SLOT 1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0
[SLOT 1]ETH1/0/1 (Hardware)Ver.A, (Driver)1.0
[SLOT 1]ETH1/0/2 (Hardware)Ver.A, (Driver)1.0
<AP>display current-configuration
#
version 5.00, 0001
#
sysname AP
#
configure-user count 1
#
domain default enable radius1
#
port-security enable
#
dot1x authentication-method chap
#
vlan 1
#
vlan 2 to 4094
#
radius scheme system
primary authentication 127.0.0.1
primary accounting 127.0.0.1
key authentication h3c
key accounting h3c
accounting-on enable
radius scheme radius1
server-type extended
primary authentication 8.1.1.16
primary accounting 8.1.1.16
key authentication h3c
key accounting h3c
security-policy-server 8.1.1.16
timer realtime-accounting 3
user-name-format without-domain
undo stop-accounting-buffer enable
accounting-on enable
#
domain radius1
authentication default radius-scheme radius1
authorization default radius-scheme radius1
accounting default radius-scheme radius1
access-limit disable
state active
idle-cut disable
self-service-url disable
domain system
access-limit disable
state active
idle-cut disable
self-service-url disable
#
acl number 3000
rule 0 permit ip
acl number 3001
rule 5 permit udp
rule 10 deny tcp
#
wlan service-template 2 clear
ssid h3c-clear
authentication-method open-system
service-template enable
#
interface NULL0
#
interface Vlan-interface1
ip address 8.20.1.20 255.255.255.0
#
interface Ethernet1/0/1
#
interface WLAN-BSS2
port-security port-mode userlogin-secure
#
interface WLAN-Radio1/0/1
service-template 2 interface wlan-bss 2
#
ip route-static 0.0.0.0 0.0.0.0 8.20.1.3
#
user-interface con 0
idle-timeout 0 0
user-interface vty 0 4
#
return
[AP]
在DOT1X接入端配置802.1X和认证
(1) 启用port-security,配置802.1X认证方式为CHAP
[AP]port-security enable
[AP]dot1x authentication-method chap
(2) 配置认证策略
# 创建名为radius1的RADIUS方案并进入其视图。
[AP]radius scheme radius1
# 将RADIUS方案radius1的RADIUS服务器类型设置为extended。
[AP-radius-radius1]server-type extended
# 配置主RADIUS认证/授权服务器的IP地址为8.1.1.16。
[AP-radius-radius1]primary authentication 8.1.1.16
# 配置主RADIUS计费服务器的IP地址为8.1.1.16。
[AP-radius-radius1]primary accounting 8.1.1.16
# 将RADIUS方案radius1的认证/授权报文的共享密钥设置为h3c。
[AP-radius-radius1]key authentication h3c
# 将RADIUS方案radius1的计费报文的共享密钥设置为h3c。
[AP-radius-radius1]key accounting h3c
# 设置RADIUS方案radius1的安全策略服务器IP地址为8.1.1.16。
[AP-radius-radius1]security-policy-server 8.1.1.16
# 设置实时计费的时间间隔为3分钟。
[AP-radius-radius1]timer realtime-accounting 3
# 指定发送给RADIUS方案radius1中RADIUS服务器的用户名不得携带域名。
[AP-radius-radius1]user-name-format without-domain
# 禁止在设备上缓存没有得到响应的停止计费请求报文。
[AP-radius-radius1]undo stop-accounting-buffer enable
# 使能accounting-on功能。
[AP-radius-radius1]accounting-on enable
(3) 配置认证域
# 创建一个新的ISP域radius1,并进入其视图。
[AP]domain radius1
# 在ISP域radius1下,为所有类型的用户配置方案名为radius1的RADIUS认证方案。
[AP-isp-radius1]authentication default radius-scheme radius1
# 在ISP域radius1下,为所有类型的用户配置方案名为radius1的RADIUS授权方案。
[AP-isp-radius1]authorization default radius-scheme radius1
# 在ISP域radius1下,为所有类型的用户配置方案名为radius1的RADIUS计费方案。
[AP-isp-radius1]accounting default radius-scheme radius1
(4) 把配置的认证域radius1设置为系统缺省域
[AP]domain default enable radius1
(5) 配置下发的ACL
# 创建一个序号为3000的IPv4 ACL。
[AP]acl number 3000
# 定义一条规则,允许所有IP报文通过。
[AP-acl-adv-3000]rule permit ip
# 创建一个序号为3001的IPv4 ACL。
[AP-acl-adv-3000]acl number 3001
# 定义一条规则,允许所有UDP报文通过。
[AP-acl-adv-3001]rule permit udp
# 定义一条规则,禁止所有TCP报文通过。
[AP-acl-adv-3001]rule deny tcp
(6) 配置无线服务模板
# 创建clear类型的服务模板2。
[AP]wlan service-template 2 clear
# 设置服务模板2的SSID为h3c-clear。
[AP-wlan-st-2]ssid h3c-clear
# 使能开放式系统认证。
[AP-wlan-st-2]authentication-method open-system
# 使能服务模板2。
[AP-wlan-st-2]service-template enable
(7) 配置无线口,并在无线口启用端口安全(802.1X认证)
# 在系统视图下创建编号为2的WLAN-BSS接口。
[AP]interface WLAN-BSS 2
# 配置端口WLAN-BSS 2的端口安全模式为userlogin-secure-ext。
[AP-WLAN-BSS2] port-security port-mode userlogin-secure-ext
(8) 在射频口绑定无线服务模板和无线口
# 在系统视图下进入WLAN-Radio1/0/1接口视图。
[AP]interface WLAN-Radio 1/0/1
# 将服务模板2与WLAN射频接口1/0/1上的WLAN BSS接口2进行关联。
[AP-WLAN-Radio1/0/1]service-template 2 interface WLAN-BSS 2
[AP-WLAN-Radio1/0/1]quit
(9) 配置VLAN虚接口
[AP]interface Vlan-interface1
[AP-Vlan-interface1]ip address 8.20.1.20 255.255.255.0
[AP-Vlan-interface1]quit
(10) 配置缺省路由
[AP]ip route-static 0.0.0.0 0.0.0.0 8.20.1.3
接入设备配置:
(1) 在iMC“业务>接入业务.”中选择的“接入设备配置”,在“接入设备配置”页面中单击<增加>,按钮,增加接入设备;
(2) 在“增加接入设备”页面单击<手工增加>按钮,增加接入设备;
(3) 在弹出的对话框中输入接入设备的IP地址(如果只有一台接入设备,这里输入的起始IP地址和结束IP地址可以完全一样),然后单击<确定>按钮;
(4) 根据实际需求设置接入配置参数,然后单击<确定>按钮,增加接入设备成功;
显示增加接入设备成功配置页面:
(1) 在iMC“业务>EAD业务”中选择“安全策略管理”,在“安全策略管理”配置页面中单击<增加>按钮,增加安全策略;
(2) 在“增加安全策略”配置页面:
l 在“基本信息”栏中,输入安全策略名“h3c-ead”,选择安全级别为“监控模式”;
l 在“ACL配置”栏中选择“向设备下发ACL”,并设置安全ACL为“3000”,隔离ACL为“3001”;
l 在“防病毒软件联动”栏中选择“高级联动软件优先”的联动模式,并选择“进行病毒扫描”;
(3) 然后点击该页面下方的<确定>按钮,完成安全策略配置;
显示增加安全策略成功配置页面:
(1) 在iMC“业务>接入业务”中选择“服务配置管理”,在“服务配置管理”页面中单击<增加>按钮,增加服务配置;
(2) 在“增加服务配置”页面中输入服务名“h3c-1x”,并在安全策略参数中选择刚才配置的安全策略“h3c-ead”,其它配置都可以采用缺省值,点击该页面下方的<确定>按钮,完成服务配置;
单击<确定>后,提示增加服务成功:
(1) 在iMC“业务>用户管理.”中选择“增加用户”,在“用户>增加用户”中增加用户;
(2) 输入用户名“gxtest”,证件号码可以根据需要输入相关证件号码,然后点击<确定>按钮,提示增加用户成功;
(3) 在上面的“用户>增加用户结果”页面选择“增加用户帐号”,在“用户>增加接入用户”页面输入帐号和密码(这里采用的用户名和密码均为gx-test),选择前面配置的接入服务“h3c-1x”,其它参数可以根据需要配置;
(4) 然后点击该页面下方的<确定>按钮,完成配置;
显示增加接入用户成功配置页面:
到此,在iMC上的mac认证配置已经完成。
iNode客户端版本:V2.40-C0340,配置如下所示:
(1) 在User页签上配置用户名和密码(用户名和密码均为gx-test):
(2) 在General页签上配置数据包类型和用户认证选项:
(1) 使用display dot1x sessions查看DOT1X用户,是否用户在线。
(2) 在iMC上查看用户是否在线。
目前,在EAD解决方案中,对于客户端可以下发ACL和VLAN。
无
l 《H3C WA系列无线局域网接入点设备 用户手册》“安全分册”中的“端口安全”、“802.1x”、“AAA”。
l 《H3C WA系列无线局域网接入点设备 用户手册》“WLAN分册”中的“WLAN配置”和“WLAN命令”。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!