H3CSE园区-网络访问控制

PS：本篇仅挑选作者认为重要的模块，并不全面仅供复习参考，具体请自行查阅相关书籍。设有H3CNE-H3CTE学习博客专栏，敬请关注。

网络访问控制是网络管理的重要内容

通过安全策略阻止不符合安全要求的终端访问网络

对Web访问用户进行控制

EAD概述：

EAD（Endpoint Admission Defense，端点准入防御）是一种安全防御解决方案，能弥补传统的单点安全防御的不足

安全策略服务器由IMC软件的EAD组件提供

EAD解决方案：

      必须在 客户端终端上安装具有EAD检测功能的inode客户端软件

      必须3A服务 和 安全策略服务器（由IMC软件的UAM和EAD组件提供）

EAD安全检测必须建立在端口接入控制（接入认证）的基础上

配置：

EAD快速部署：支持在未完成802.1X认证前，设备能访问特定网段。

PORTAL概述：
Portal认证通常也称为WEB认证（IE浏览器），是一种运营商常用的，通过强制用户到门户网站进行认证的方式

主要包括认证客户端、接入设备、Portal服务器、认证/计费服务器以及可选的安全策略服务器

Portal认证必须在三层路由口下开启

安全策略服务器是可选的

Portal认证方式：指的是客户端和接入设备是2层互连还是3层互连

三层认证方式：
      客户端与接入设备间有三层设备
      直接获得IP地址
非三层认证方式
      客户端与接入设备间没有三层设备
      直接获得IP地址进行认证

      二次地址分配认证

                                                                                   

示例：

2层Portal认证（Direct 直接认证）

web浏览器（客户端）-------------接入设备（BAS）------ ---Portal Server(逻辑服务器，可能在同一物理设备上）

                                                                             ----------Radius Server(逻辑服务器，可能在同一物理设备上）

1.先连接到Portal服务器发起认证请求。

2.Portal服务器与接入设备之间进行CHAP认证交互。

3.Portal服务器将用户输入的用户名和密码组成认证请求报文发往接入设备

4.接入设备与Radius服务器之间进行Radius协议报文的交互

5.接入设备向Portal服务器发送认证应答报文。

6.Portal服务器向客户端发送认证通过报文，通知客户端上限

7.Portal服务器向接入设备发送认证应答确认。

Portal认证要求客户端必须先获取到IP

配置：

示例：