portal認證的方式基於ip,認證做在portal裝置上,與終端接入裝置的型號、版本都沒有關係,適合於接入交換機品牌複雜、對802.1x及radius支援情況不穩定的場景中。
802.1x認證方案
有些情況下使用者的接入層交換機雖然不是h3c品牌,但對802.1x及radius也有較好的支援。這時除了採用上述的portal 方案來實現ead外,身份認證也可以採用802.
1x來獲得更為嚴格的身份控制(802.1x可以控制到接入層)。802.
1x ead是通過imc下發兩次acl到交換機上來實現對終端使用者隔離、安全的控制,但第三方廠家的交換機是不支援二次acl下發的,無法通過這種技術來實現ead。要解決這個問題,可以通過以下兩種方案來實施。
第一種方案是採用下線+不安全提示閾值的方法。即使用者身份認證(802.1x)通過後,在安全檢查不合格的情況下,imc不立即將終端認證使用者下線而是等待乙個不安全提示閾值之後再讓使用者下線。
使用者可以在這個不安全提示閾值內進行防病毒軟體版本公升級、作業系統補丁修復、可控軟體管理等操作。注意,由於沒有隔離acl,安全檢查不合格使用者獲得的訪問許可權與安全檢查合格的使用者獲得的網路訪問限制是一致的。這個不安全提示閾值時間不能設定太長,但也不能設定太短,以防終端使用者由於時間不夠每次都不能完成修復,造成無法通過安全檢查的問題。
這種方案技術實現簡單、易用、功能穩定,不足之處是終端使用者在ead安全檢查不合格時對網路也有短暫的與安全使用者一致的訪問許可權。
第二種方式是採用下線+guest-vlan的方式。主要原理為採用guest-vlan來構造乙個隔離區,終端認證使用者在認證前屬於guest-vlan(隔離區),身份認證通過後交換機再將使用者切換至正常的vlan。如果終端使用者的安全檢查不合格,imc將使用者下線,使用者下線後又回到guest-vlan(隔離區)。
這種方案可以實現在身份認證裝置為第三方廠家交換機的情況下對不安全使用者也能「隔離」的效果。但這種方案要求交換機對guest-vlan有良好的支援,身份認證通過後能夠快速將使用者從guest-vlan切換至正常vlan,下線後快速將使用者從正常vlan切回guest-vlan。從實際的使用經驗上來看,該特性與具體交換機的版本有較大關係,如果使用最好在使用者有能力提供第三方廠家交換機技術支援的情況下進行,否則認證不穩定,使用效果會大打折扣;另外這種方案由於使用者認證前後會處於不同的vlan中,要求終端使用者的ip位址獲取方式必須為dhcp,不能是靜態ip位址。
身份認證是ead解決方案中重要的一部分內容,上述介紹的幾種方案應該說各有千秋,需要在實際實施中根據不同的應用場景、不同的使用者需求進行合理選擇。
附:ead(end user admission domination)是h3c的終端准入控制解決方案,也是h3c imc智慧型管理中心的重要組成部分。目前已在**、金融、電力、教育、製造業等眾多行業擁有廣泛應用,部署終端突破60萬。
招聘中常用性格測試的幾種常用方法經典
一 德國醫生 心理學家 卡雷努思的 四氣質說 1,主要特徵 陽剛的多血質 情緒反映弱而快。平淡的黏液質 情緒反映弱而慢。憂鬱的黑膽質 情緒反映強而慢。急躁的黃膽質 情緒反映強而快。2,性格特點及主要表現 氣質型別 多血質 性格特點 輕率 活潑 好事 喜歡與人交往 典型表現 面對困難不退縮,不會記恨,...
初中物理學習中常用的幾種解題方法
一 臨界值法 物體在運動變化過程中,常常要從一種狀態轉變到另一種狀態,從乙個過程轉變到另乙個過程,轉變中的分界點我們將其稱為臨界狀態,臨界狀態具有的物理量叫做臨界值.臨界值聯絡著轉變過程的前後兩種狀態,它能同時體現和反映出兩種狀態的特點,但它又具有很大的隱蔽性,需要仔細研究臨界的特點以及前後兩種狀態...
初中物理學習中常用的幾種解題方法
一 臨界值法 物體在運動變化過程中,常常要從一種狀態轉變到另一種狀態,從乙個過程轉變到另乙個過程,轉變中的分界點我們將其稱為臨界狀態,臨界狀態具有的物理量叫做臨界值.臨界值聯絡著轉變過程的前後兩種狀態,它能同時體現和反映出兩種狀態的特點,但它又具有很大的隱蔽性,需要仔細研究臨界的特點以及前後兩種狀態...