宝界终端准入与北信源桌管软件结合解决措施V.docx

宝界终端准入与北信源桌管软件结合解决措施V.docx

《宝界终端准入与北信源桌管软件结合解决措施V.docx》由会员分享，可在线阅读，更多相关《宝界终端准入与北信源桌管软件结合解决措施V.docx（17页珍藏版）》请在冰豆网上搜索。

宝界终端准入与北信源桌管软件结合解决措施V

宝界终端准入与北信源桌管软件结合

解决方案

一、需求背景

1.1、为什么要与北信源桌面管理软件结合？

已经花重金购买了北信源桌面管理软件,制定了详细的安全规范和标准，要求未安装北信源的客户端软件的主机不能入网、入网的主机要对应到人，但这些安全管理规范落实情况不尽如人意，究其原因是缺乏行之有效的管理手段。

私自卸载北信源源客户端，或北信源客户端不正常，造成服务端无法控制，要求能提示重新安装客户端，让该终端主机再次接入网络时重新认证。

1.2、什么样的网络环境,准入能与北信源桌面管理软件相结合？

1.DHCP网络环境。

2.核心交换机是思科交换机，支持EOU协议。

3.对固定IP地址网络环境，而且核心交换机不支持EOU协议的网络，允许使用ARP重定向技术。

二、解决方案

2.1、方案部署拓朴图

产品部署拓朴结构

网络拓朴说明：

1、终端准入设备是旁路方式接在核心交换机上,由于准入设备是多接口的，对于网段数不多的网络，可以一个接口管理一个VLAN，各网段分别接入准入设备的不同接口，各自进行准入控制。

2、对于多VLAN的，可以采用核心交换机的TRUNK口接准入设备的一个接口，这样可以一个准入接口可以管理多个VLAN。

实现每个VLAN的准入控制。

3、准入与核心交换机通过TELNET/SSH方式联动。

4、汇聚层或接入层交换机启用DHCPSnooping+IPSOURCEGURARD或DAI，DHCPSnooping有效防止网络中的非法DHCP服务。

IPSOURCEGURARD或DAI功能有效解决终端主机私自设置IP，同时解决了内网中固定IP的服务器,直接在交换机上建立合法的绑定表。

2.2采用DHCP准入与北信源结合

宝界终端准入控制系统旁路接在三层核心交换机的一个TRUNK口，原有的三层核心提供的DHCP服务由宝界终端准入控制系统提供，由宝界终端准入控制系统对内网的所有终端做扫描检查，采用DHCP准入控制技术，所有主机先获取到隔离网段的IP地址，只有通过实名/CA认证检查，以及北信源客户端安装检查，通过后才能分配到内网的工作VLAN的IP。

2.3采用IPMAC准入+ARP重定向实现与北信源结合

宝界终端准入控制系统旁路接在三层核心交换机的一个TRUNK口，原有三层核心提供的DHCP服务仍不变，或原有的专门DHCP服务器仍正常提供DHCP服务，由宝界终端准入控制系统与三层核心交换机做联动,对内网的所有终端做扫描检查，可以对现有的合法主机建立白名单体系，针对不同的主机可以做灵活的检查规则，如只需要实名/CA认证检查，或北信源客户端是否安装检查，也可以二者都要求符合才能接入内网。

外来的非法主机，打开IE自动跳转到认证页面,进行实名认证以及北信源客户端安装，符合这二个条件才能接入内网。

针对固定IP的网络环境，由宝界终端准入控制系统与三层核心交换机做联动,对内网的所有终端做扫描检查，可以对现有的合法主机建立白名单体系，准入设备采用IPMAC准入+arp重定向实现,针对不同的主机可以做灵活的检查规则，如只需要实名/CA认证检查，或北信源客户端是否安装检查，也可以二者都要求符合才能接入内网。

外来的非法主机，打开IE自动跳转到认证页面,进行实名认证以及北信源客户端安装，符合这二个条件才能接入内网。

2.4、终端准入与北信源桌管软件结合工作流程

DHCP准入与北信源结合的准入流程

通过宝界终端准入管理系统，与现有的北信源内网管理服务器的有效联动，接入的主机，首先动态分配到宝界指定的隔离网段IP地址，其网关指向到宝界准入设备，打开IE，自动跳转到实名认证、CA证书验证页面，输入网管人员分配的实名帐号或USB接口插上分配的CA证书，认证通过后，如果该主机已安装了北信源客户端，就可以分配到合法的工作网段的IP地址，网关指向到三层交换机VLAN接口地址。

如果该主机没有安装北信源客户端，则跳转到客户端安装页面，安装好后才能分配到工作IP。

1、启用DHCP准入方式

2、设置隔离网段与工作网段，以及检测条件

3、接入主机先分配到宝界准入控制系统指定的隔离网段：

4、打开IE会跳转到实名认证、CA证书验证页面：

如果需要实名认证的，选择实名登录，输入网管分配的实名用户帐号登录

如果需要CA证书验证，选择相应的证书验证菜单选项，USB口插上分配到的CA证书。

如该主机是第一次使用CA，需要安装相应的CA证书驱动，已安装过驱动的主机可以直接验证。

至此，实名认证或CA证书验证通过后，该主机如已安装过北信源客户端，就能分配到工作网段，可以正常访问内网。

如没有安装北信源客户端，会接下面步骤安装北信源客户端。

5、没有安装北信源客户端的自动跳转到提示安装界面

北信源客户端安装注册认证

实名/证书认证通过，北信源客户端安装过的终端主机，至此可以正常分配到工作网段的IP。

IPMAC准入+ARP重定向实现与北信源结合的工作流程：

测试网段用的VLAN46（10.76.46.0255.255.255.128>网段做测试，46网段的网关10.76.46.126,46网段的DHCP服务仍由原来的DHCP服务器提供，准入管理系统eth0.46接口地址设置为10.76.46.119255.255.255.128.

启用IPMAC准入方式

测试过程:

找一台笔记本，网线接到46网段的交换机接口，首先DHCP获取到10.76.46.x地址，此时该主机打开IE，由于内网没有域名解读服务器，只能输入IP，如http:

//1.2.3.1,就会跳出实名/CA认证的网页，要求实名/CA证书认证。

实名/CA认证

输入已设置好的实名用户帐号，或插入CA证书，认证通过后，如这台笔记本已安装北信源客户端，就可以直接访问内网，如没有安装北信源，则再次打开IE，会跳出北信源客户端认证网页。

北信源客户端安装注册认证

至此，实名/CA，以及北信源客户端都认证成功后，该主机就可以正常访问内网的资源。

三、常见问题

3.1没有安装过北信源客户端的主机,直接能接入内网?

没有启用桌管认证,或桌管设置不正确。

本网段没有启用桌管认证，就是说下图中的需要桌管软件的选项前面没有打钩。

3.2安装过北信源客户端的主机,卸载了,大约多久还会提示要重新安装?

桌管客户端卸载后,要下线300s后,准入会判断该主机是限制主机,限制方式为没有安装桌管,打开IE后会提示安装客户端.

3.3接入终端在隔离网段打开浏览器不能弹出北信源认证网页？

检查如下设置

1、DHCP参数中DNS有无配置

2、准入设备的缺省网关有无配置

3、隔离策略，是否允许隔离网段访问浏览器打开的主机对应的IP地址。