EAD的安全

EAD
1必须配置RADIUS的新特性session-control。
2必须为802。1X 配置新特性支持ACCESS-ACCPET的EAP消息 就是802。1X与RUADIUS结合使用。
3可选配DOMAIN方式认证用户，可对用户的RUL进行定义，定义到CAMS的用户自助服务业面
4必须配置2条ACL其实很简单，但注意3528P，时需要定义个流摸板实际就是为让3528能够，基于流来下发ACL，配流摸板时，注意
配置该摸板的关键字DIP目标IP，SMAC源MAC，IP-PROTOCOL，IP协议，如果我的ACL中不存在这些。那流摸板白配了，
配完之后要到每一个接口上用该流摸板，注意DENY的那条策略里必须注意让DHCP能用，切一定要能访问用户自助服务器，当然随便你
H3C的802。1X客户端软件需要2。3-0221以上 ，CAMS1。20-0388
CAMS必须申请一个用户，而且要开起一个服务，并为该用户开通该服务
注意，交换机需要配管理IP以及默认路由，仅公管理
用户自助服务器一般不与安全策略服务器以及CAMS平台在一起，因它是在用户被隔离的时候能访问的唯一地点
网络里因该有一台病毒服务器，和补丁服务器，这是为安全性检查失败的用户准备的
就是依靠802。1X的EAP方式激活RADIUS，之后
RADIUS 除法CAMS服务器，RADIUS 支持
SESSION CONROL，之后连带交换机控制用户进隔离区隔离区只能访问用户自助服务器，在那里获得它需要的信息
5 EAD的服务可以与CMAS不在一个服务器，可以另外再配一个CMAS专门用来做策略代理，用session-control-server xxxx
来定义代理的地址，从而这里也可以定义主策略服务器抵制，但总之你得定义一个如果选了是代理（代理与用户自助其实是在一个安装包里）
此时，表示是利用代理把内容发布到策略服务器进行认证，策略服务器在服务里可以指定代理的位置，
也可以直接指定为策略服务器，如果这样做，当你的认证被策略服务器拒绝了，那你就进入了隔离区，此时你必须保证你当时隔离的ACL
能时刻访问代理服务器，这样一来变一直有机会让你打完补丁还可以验证通过了
EAD在配置RADIUS的时候一定要配置标准格式报文，还要打开计费，否则会出现强制下线问题，以及安全策略一定要选择隔离模式