终端准入实施中常用的几种身份认证方案

终端准入实施中常用的几种身份认证方案发布时间：2022年02月16日文/李瑞峰终端准入掌握是从掌握用户终端平安接入网络的角度入手，整合网络接入掌握与终端平安产品，通过用户端、准入掌握组件、网络设施（交换机、路由器、防火墙、无线）以及第三方软件（杀毒软件、补丁服务器）的联动，对接入网络的用户终端强制实施平安策略，严格掌握终端用户的网络使用行为，有效加强用户终端的主动防范力量，为网络管理人员供应有效、易用的管理工具和手段。终端准入掌握的一个典型特点是它与用户的业务紧密联系，不同的组网、不同的业务，对应的实施方案往往会有较大差异，选择合适的身份认证方案是其中的重要内容。本文以H3cEAD解决方案为例，谈谈在实施过程中对于身份认证方案选择的一些阅历。EAD解决方案支持的身份认证方式有802.lx、Portal.L2Tp三种。L2Tp多用于终端用户在internet上远程接入用户网络的场景中，在内网中应用较少。802.lx—•般用于用户接入层交换机全是H3c交换机的场景中，采纳iMC下发两次ACL（隔离ACL、平安ACL）方案。还有一种比拟常见的场景是用户的组网中接入层交换机品牌比拟杂，这时就要依据用户实际的组网业务需求进行选择。下面主要针对第三种场景供应推举的实施方案。Portal认证方案这种场景下最常用的方式是增加一台Portal认证设施做PortalEAD,如下列图所示。此Portal设施可以侧挂在核心交换机旁，在核心交换机上使用策略路由将需认证的用户流量策略路由到Portal设施上进行EAD认证，不认证的终端用户流量直接发给出口路由器。由于是通过策略路由及采纳侧挂的组网，这种方式基本不需要对用户现有网络进行改动，可以很敏捷的通过策略路由方式将认证用户的流量发送到Portal设施上来掌握需要做EAD认证的用户。此Portal认证设施还可以放在核心交换机与接入交换机之间来实现EAD（二层Portal,此时终端用户的网关终结在Portal设施上）。这种方式掌握点更低，同时由于用户送到Portal设施上的是二层流量,Portal设施可以获得终端用户的MAC、VLAN信息，可以实现MAC、VLAN的绑定策略。缺乏之处是这种方案需要改动用户现有网络，需要与网络的VLAN、路由进行重新配置，相对来讲更适合于新建网络。Portal认证的方式基于IP,认证做在Portal设施上，与终端接入设施的型号、版本都没有关系，适合于接入交换机品牌简单、对802.lx及Radius支持状况不稳定的场景中。802.lx认证方案有些状况下用户的接入层交换机虽然不是H3c品牌，但对802.1X及Radius也有较好的支持。这时除了采纳上述的Portal方案来实现EAD外，身份认证也可以采纳802.lx来获得更为严格的身份掌握（802.lx可以掌握到接入层）。802.IxEAD是通过iMC下发两次ACL到交换机上来实现对终端用户隔离、平安的掌握,但第三方厂家的交换机是不支持二次ACL下发的，无法通过这种技术来实现EAD。要解决这个问题，可以通过以下两种方案来实施。第一种方案是采纳下线+担忧全提示阈值的方法。即用户身份认证（802.lx）通过后，在平安检查不合格的状况下，iMC不马上将终端认证用户下线而是等待一个担忧全提示阈值之后再让用户下线。用户可以在这个担忧全提示阈值内进行防病毒软件版本升级、操作系统补丁修复、可控软件管理等操作。留意，由于没有隔离ACL,平安检查不合格用户获得的访问权限与平安检查合格的用户获得的网络访问限制是全都的。这个担忧全提示阈值时间不能设置太长，但也不能设置太短，以防终端用户由于时间不够每次都不能完成修复，造成无法通过平安检查的问题。这种方案技术实现简洁、易用、功能稳定，缺乏之处是终端用户在EAD平安检查不合格时对网络也有短暂的与平安用户全都的访问权限。其次种方式是采纳下线+guest-VLAN的方式。主要原理为采纳guest-VLAN来构造一个隔离区，终端认证用户在认证前属于guest-VLAN（隔离区），身份认证通过后交换机再将用户切换至正常的VLAN。假如终端用户的平安检查不合格，iMC将用户下线，用户下线后又回到guest-VLAN（隔离区）。这种方案可以实现在身份认证设施为第三方厂家交换机的状况下对担忧全用户也能“隔离”的效果。但这种方案要求交换机对guest-VLAN有良好的支持，身份认证通过后能够快速将用户从guest-VLAN切换至正常VLAN,下线后快速将用户从正常VLAN切回guest-VLAN。从实际的使用阅历上来看，该特性与详细交换机的版本有较大关系，假如使用最好在用户有力量供应第三方厂家交换机技术支持的状况下进行，否那么认证不稳定，使用效果会大打折扣；此外这种方案由于用户认证前后会处于不同的VLAN中，要求终端用户的IP地址猎取方式必需为DHCP,不能是静态IP地址。身份认证是EAD解决方案中重要的一局部内容，上述介绍的几种方案应当说各有千秋，需要在实际实施中依据不同的应用场景、不同的用户需求进行合理选择。附：EAD