EAD
1必须配置RADIUS的新特性session-control。
2必须为802。1X 配置新特性支持ACCESS-ACCPET的EAP消息 就是802。1X与RUADIUS结合使用。
3可选配DOMAIN方式认证用户,可对用户的RUL进行定义,定义到CAMS的用户自助服务业面
4必须配置2条ACL其实很简单,但注意3528P,时需要定义个流摸板实际就是为让3528能够,基于流来下发ACL,配流摸板时,注意
配置该摸板的关键字DIP目标IP,SMAC源MAC,IP-PROTOCOL,IP协议,如果我的ACL中不存在这些。那流摸板白配了,
配完之后要到每一个接口上用该流摸板,注意DENY的那条策略里必须注意让DHCP能用,切一定要能访问用户自助服务器,当然随便你
H3C的802。1X客户端软件需要2。3-0221以上 ,CAMS1。20-0388
CAMS必须申请一个用户,而且要开起一个服务,并为该用户开通该服务
注意,交换机需要配管理IP以及默认路由,仅公管理
用户自助服务器一般不与安全策略服务器以及CAMS平台在一起,因它是在用户被隔离的时候能访问的唯一地点
网络里因该有一台病毒服务器,和补丁服务器,这是为安全性检查失败的用户准备的
就是依靠802。1X的EAP方式激活RADIUS,之后
RADIUS 除法CAMS服务器,RADIUS 支持
SESSION CONROL,之后连带交换机控制用户进隔离区隔离区只能访问用户自助服务器,在那里获得它需要的信息
5 EAD的服务可以与CMAS不在一个服务器,可以另外再配一个CMAS专门用来做策略代理,用session-control-server xxxx
来定义代理的地址,从而这里也可以定义主策略服务器抵制,但总之你得定义一个如果选了是代理(代理与用户自助其实是在一个安装包里)
此时,表示是利用代理把内容发布到策略服务器进行认证,策略服务器在服务里可以指定代理的位置,
也可以直接指定为策略服务器,如果这样做,当你的认证被策略服务器拒绝了,那你就进入了隔离区,此时你必须保证你当时隔离的ACL
能时刻访问代理服务器,这样一来变一直有机会让你打完补丁还可以验证通过了
EAD在配置RADIUS的时候一定要配置标准格式报文,还要打开计费,否则会出现强制下线问题,以及安全策略一定要选择隔离模式