EAD(Endpoint Admission Defense,端点准入防御)作为一个网络端点接入控制方案,它通过安全客户端、安全策略服务器、接入设备以及第三方服务器的联动,加强了对用户的集中管理,提升了网络的整体防御能力。但是在实际的应用过程中EAD客户端的部署工作量很大,例如,需要网络管理员手动为每一个EAD客户端下载、升级客户端软件,这在EAD客户端数目较多的情况下给管理员带来了操作上的不便。
802.1X认证支持的EAD快速部署功能就可以解决以上问题,它允许未通过认证的802.1X用户访问一个指定的IP地址段(称为Free IP),并可以将用户发起的HTTP访问请求重定向到该IP地址段中的一个指定的URL(重定向URL),实现用户自动下载并安装EAD客户端的目的。
· Free IP:未通过认证的802.1X终端用户可以访问的IP地址段,该IP地址段中可以配置一个或多个特定服务器,用于提供EAD客户端的下载升级或者动态地址分配等服务。
· 重定向URL:802.1X终端用户在认证成功之前,如果使用浏览器访问网络,则设备会将用户访问的URL重定向到已配置的URL(例如,重定向到EAD客户端下载界面),这样只要用户打开浏览器,就必须进入管理员预设的界面。
EAD快速部署功能通过制订EAD规则(通常为ACL规则)来给予未通过认证的终端用户受限制的网络访问权限。当大量用户同时认证时,ACL资源将迅速被占用,如果没有用户认证成功,将出现ACL资源不足的情况,会导致一部分新接入的用户无法认证。
管理员可以通过配置EAD规则的老化时间来控制用户对ACL资源的占用,当用户访问网络时该定时器开始计时,在定时器超时或者用户下载客户端并成功通过认证之后,该用户所占用的ACL资源被删除,在老化时间内未进行任何操作的用户所占用的ACL资源会及时得到释放。
那我们部署的时候有什么注意事项呢?
· MAC地址认证和端口安全特性不支持EAD的快速部署功能,全局使能MAC认证或端口安全功能将会使EAD快速部署功能失效。
· 为使EAD快速部署功能生效,必须保证指定端口的授权模式为auto。
· MAC地址认证、端口安全功能均与Free IP配置互斥。
· 开启EAD快速部署辅助功能与802.1X Guest VLAN功能不建议同时配置,否则可能导致802.1X Guest VLAN功能无法正常使用。
· 在同时配置了Free IP与Auth-Fail VLAN功能的情况下,请保证Free IP网段为Auth-Fail VLAN可允许访问的网络资源。这种情况下,用户只能访问Free IP,不能访问其它资源。
· 未通过802.1X认证的用户若要通过外网的DHCP服务器动态获得IP地址,则需要保证该DHCP服务器的IP地址在配置的Free IP内。
·
重定向URL必须处于Free IP网段内,否则无法实现重定向。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作