文/李瑞峰

终端准入控制是从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过用户端、准入控制组件、网络设备（交换机、路由器、防火墙、无线）以及第三方软件（杀毒软件、补丁服务器）的联动，对接入网络的用户终端强制实施安全策略，严格控制终端用户的网络使用行为，有效加强用户终端的主动防御能力，为网络管理人员提供有效、易用的管理工具和手段。终端准入控制的一个典型特点是它与用户的业务紧密联系，不同的组网、不同的业务，对应的实施方案往往会有较大差别，选择合适的身份认证方案是其中的重要内容。本文以H3C EAD解决方案为例，谈谈在实施过程中对于身份认证方案选择的一些经验。

EAD解决方案支持的身份认证方式有802.1x、Portal、L2TP三种。L2TP多用于终端用户在internet上远程接入用户网络的场景中，在内网中应用较少。802.1x一般用于用户接入层交换机全是H3C交换机的场景中，采用iMC下发两次ACL(隔离ACL、安全ACL)方案。还有一种比较常见的场景是用户的组网中接入层交换机品牌比较杂，这时就要根据用户实际的组网业务需求进行选择。下面主要针对第三种场景提供推荐的实施方案。

Portal认证方案

这种场景下最常用的方式是增加一台Portal认证设备做Portal EAD，如下图所示。

http://www.h3c.com.cn/res/200902/16/20090216_778502_image001_637483_30008_0.jpg

此Portal设备可以侧挂在核心交换机旁，在核心交换机上使用策略路由将需认证的用户流量策略路由到Portal设备上进行EAD认证，不认证的终端用户流量直接发给出口路由器。由于是通过策略路由及采用侧挂的组网，这种方式基本不需要对用户现有网络进行改动，可以很灵活的通过策略路由方式将认证用户的流量发送到Portal设备上来控制需要做EAD认证的用户。

此Portal认证设备还可以放在核心交换机与接入交换机之间来实现EAD（二层Portal，此时终端用户的网关终结在Portal设备上）。这种方式控制点更低，同时由于用户送到Portal设备上的是二层流量，Portal设备可以获得终端用户的MAC、VLAN信息，可以实现MAC、VLAN的绑定策略。不足之处是这种方案需要改动用户现有网络，需要与网络的VLAN、路由进行重新配置，相对来讲更适合于新建网络。

Portal认证的方式基于IP，认证做在Portal设备上，与终端接入设备的型号、版本都没有关系，适合于接入交换机品牌复杂、对802.1x及Radius支持情况不稳定的场景中。

802.1x认证方案

    有些情况下用户的接入层交换机虽然不是H3C品牌，但对802.1x及Radius也有较好的支持。这时除了采用上述的Portal 方案来实现EAD外，身份认证也可以采用802.1x来获得更为严格的身份控制（802.1x可以控制到接入层）。802.1x EAD是通过iMC下发两次ACL到交换机上来实现对终端用户隔离、安全的控制，但第三方厂家的交换机是不支持二次ACL下发的，无法通过这种技术来实现EAD。要解决这个问题，可以通过以下两种方案来实施。

http://www.h3c.com.cn/res/200902/16/20090216_778503_image002_637483_30008_0.jpg

第一种方案是采用下线＋不安全提示阈值的方法。即用户身份认证（802.1x）通过后，在安全检查不合格的情况下，iMC不立即将终端认证用户下线而是等待一个不安全提示阈值之后再让用户下线。用户可以在这个不安全提示阈值内进行防病毒软件版本升级、操作系统补丁修复、可控软件管理等操作。注意，由于没有隔离ACL，安全检查不合格用户获得的访问权限与安全检查合格的用户获得的网络访问限制是一致的。这个不安全提示阈值时间不能设置太长，但也不能设置太短，以防终端用户由于时间不够每次都不能完成修复，造成无法通过安全检查的问题。这种方案技术实现简单、易用、功能稳定，不足之处是终端用户在EAD安全检查不合格时对网络也有短暂的与安全用户一致的访问权限。

第二种方式是采用下线＋guest-VLAN的方式。主要原理为采用guest-VLAN来构造一个隔离区，终端认证用户在认证前属于guest-VLAN（隔离区），身份认证通过后交换机再将用户切换至正常的VLAN。如果终端用户的安全检查不合格，iMC将用户下线，用户下线后又回到guest-VLAN(隔离区)。这种方案可以实现在身份认证设备为第三方厂家交换机的情况下对不安全用户也能“隔离”的效果。但这种方案要求交换机对guest-VLAN有良好的支持，身份认证通过后能够快速将用户从guest-VLAN切换至正常VLAN，下线后快速将用户从正常VLAN切回guest-VLAN。从实际的使用经验上来看，该特性与具体交换机的版本有较大关系，如果使用最好在用户有能力提供第三方厂家交换机技术支持的情况下进行，否则认证不稳定，使用效果会大打折扣；另外这种方案由于用户认证前后会处于不同的VLAN中，要求终端用户的IP地址获取方式必须为DHCP，不能是静态IP地址。

身份认证是EAD解决方案中重要的一部分内容，上述介绍的几种方案应该说各有千秋，需要在实际实施中根据不同的应用场景、不同的用户需求进行合理选择。

附：EAD（End user Admission Domination）是H3C的终端准入控制解决方案，也是H3C iMC智能管理中心的重要组成部分。目前已在政府、金融、电力、教育、制造业等众多行业拥有广泛应用，部署终端突破60万。