citrix虚拟化环境桌面准入搭建

环境：Citrix PVS应用环境

需求：Citrix PVS办公环境桌面准入控制，防止有盘设备非法接入，盗取内部文件。

网络设备：H3C  S3600-28TP-SI接入交换机，支持802.1X协议；

准入系统：SEP  SNOC +硬件 Enforcer

准入策略：桌面接入设备安装SEP客户端允许接入

难点：接入交换机端口启用802.1X认证，端口只允许通过广播报文+EAPOL报文，导致PVS客户端无法正常启动，但因允许DHCP广播包，PVS可以正常获取IP地址；

切入思路：如果交换机开放 未认证的设备 访问PVS服务器，使PVS正常启动，经测试H3C交换机可以通过  配置 free-ip实现，具体配置如下：

HQ-CR-AGG-D4-31>dis cu
#
 sysname HQ-CR-AGG-D4-31
#
 domain default enable 2000
#
 loopback-detection enable
#
 dot1x
 dot1x authentication-method eap
 undo dot1x handshake enable             \\建议关闭二次认证握手机制
 dot1x url http://10.30.0.21                  \\比配，无实际意义
 dot1x free-ip 10.1.2.0 255.255.255.0      \\域控服务器
 dot1x free-ip 10.30.11.0 255.255.255.0   \\PVS服务器
#
radius scheme system
radius scheme 2000
 server-type standard
 primary authentication 10.1.0.110
 primary accounting 10.1.0.110
 accounting optional         
 key authentication dahua
 key accounting dahua
 user-name-format without-domain
#
domain 2000                              
 scheme radius-scheme 2000 local
domain system
#
local-user ###

 password cipher ******

service-type telnet
 level 3
#
vlan 1
#
vlan 7
#
vlan 80
#
vlan 134
 description D4.PVS
#
vlan 144
 description D4.Device
#
interface Vlan-interface1
 ip address 100.1.4.43 255.255.0.0
#
interface Aux1/0/0                       
interface Ethernet1/0/12
 port access vlan 134
 dot1x