H3CiMC服务器准入特性说明
1特性介绍
iMC服务器准入操纵功能是EAD解决方案的重要补充。EAD很好解决了 PC终端接入网络的认证 与操纵问题,但是缺乏对服务器与打印机接入网络时造成的安全隐患的有效操纵。服务器与打印机 不宜或者无法安装认证客户端软件,也无法通过需要有人值守的网页方式进行认证。因此服务器与 打印机通常在网络里不进行认证,假如非法终端通过服务器或者打印机所连接交换机的接口接入网 络,将无法对这些非法终端进行有效的操纵,成为用户的内网安全隐患。服务器准入操纵问题由此 也成为EAD产品推广时用户经常关注的问题之一。
iMC新推出的服务器准入操纵特性,能够有效阻止非法终端接入到服务器区域,通过关闭端口,特 殊告警,特殊接入日志审计与历史接入跟踪功能,将服务器接入区域的网络也严格监控起来,很好 的消除了上述服务器接入区域内的安全隐患。
2功能特点
iMC服务器准入操纵具备如下功能特点:
1.无需在服务器或者打印机上部署客户端软件
2.支持自动学习网络中服务器或者打印机的IP/MAC地址信息
3.同意服务器或者打印机在指定的交换机接口上面认证接入网络,在非指定区域无法接入网络
4.非法终端通过服务器或者打印机端口接入网络时,能够根据策略让其接入端口立即关闭或者
延时关闭
5.苏珊米勒2013年4月运势完整版能够设置由于非法终端接入造成关闭的端口定时自动恢复
6.非法终端接入网络时能够发送告警,并记录详尽日志,供以后审计查询
7.从网管的角度,对服务器准入进行管理,不需要对设备进行特殊配置,管理方便、简单。
8.使用公共MlB实现,能够支持第三方设备
3特性配置详解
服务器准入管理是从网管的角度对服务器准入进行安全认证,由服务器准入绑定、交换机准入绑定、 终端特殊处理策略、特殊接入日志、历史接入记录、实时定位等功能构成。
(1)服务器准入绑定
服务器准入绑定方式分为两种,第一种为将终端(服务器)同某个交换机接口绑定,限制终端只能 通过绑定的交换机接口接入网络,第二种为将终端(服务器)配置为免认证,使终端能够通过网络 中的任何位置接入网络。
服务器准入绑定能够通过手工配置、自动扫描两种方式完成。
手工配置:手工设置一个终端与一个交换机接口的绑定关系。
* 资法»终战港人配置 >> 终设徒入绑定»增加终局法人绑定 ❷帮助
确定 取消
如上图,输入终端MAC、终端名称、保护人信息,选择绑定方式是否为免认证,选择设备接口, 完成服务器准入绑定配置。
自动扫描:系统自动查出网络中当前在线的、且未进行服务器准入绑定的接入信息,用户只需从 扫描结果中选择需要绑定的记录即可。
图3-2服务器准入绑定自动扫描
,资源»终端徒人配置»终战徒入绑定»自动扫箱设置 ,帮助
确定 取消
如上图,用户能够选择自动扫描的接入设备,假如不选择任何设备,则扫描所有接入设备。
未辨定终战自动扫猫结果 | |||
共有19条记录,当前第1 - 8,第1/3页. | 1 2 3 ► | ► I | 每页显示:[3] 15 50 100 200 |
■ 终端MAC 终⅛S∣P | 终战名称维护人 免认证 | 设备标签 | 设备IP 接口描述 修改 |
口 aa:bb:cc:dd:ee^T 10.153.89.55 | IMC 否 | h3c | 10.153.89.34 Ethernetl/0/34 国 |
□ 00:24e8:4f:52:26 10.153.89.50 | W009050 否 | h3c | 10.153.89.34 Ethernetl/0/34 国 |
口 00:e0:fc:00:39:62 10.153.89.35 | 否 | h3c | 10.153.89.34 Ethernetl/0/26 国 |
□ 00:e0:fc:12:34:56 | 否 | h3c | 10,153.89.34 Ethernetl/0/25 国 |
□ 00:13:72:f6:b4:a0 10.153.89.48 | W00905F Panzonghui 否 | h3c | 10.153.89.34 Ethernetl/0/40 言 |
□ 00:23:89;27:ad:08 10.153.89.41 | 否 | h3c | 10.153.89.34 Ethernetl/0/43 国 |
□ 00:23:89:27:ad:27 | 否 | h3c | 10.153.89.34 Ethernetl/0/43 国 |
□ 00:0c:29:43:6b:da 10.153.89.57 | 否 | h3c | 10.153.89.34 Ethernetl/0/34 曷 |
1 2 3 ► ►! | |||
W资源»终岗碓入配置»终战准入绑定»未绑定终战自动扫描结果
qq营销绑定 取消
如上图,用户只需选择需要绑定的记录即可。另外,用户能够对扫描结果中终端名称、保护人字段 进行编辑,并能够选择绑定方式是否为免认证。
(2)交换机准入绑定
交换机准入绑定通过将交换机接口同某个终端绑定,限制交换机接口只同意绑定的终端接入。交换 机准入绑定能够通过手工配置、自动扫描两种方式完成。
手工配置:手工设置一个交换机接口与一个终端的绑定关系。
确定 取消
图3-4交换机准入绑定手工配置增加终设 | S |
*终端MAC 法院离婚程序终端名称 | O |
维护人 | 确定 确定并新增 取消 |
如上图,选择设备接口,输入终端MAC、终端名称、保护人信息,完成交换机准入绑定配置。
自动扫描:系统自动查出网络中当前在线的、且同交换机准入绑定冲突或者未匹配的接入信息, 用户只需从扫描结果中选择需要绑定的记录即可。
图3-6交换机准入绑定自动扫描
确定 | 取消 |
如上图,用户能够选择自动扫描的接入设备,假如不选择任何设备,则扫描所有接入设备。
寺资源»终炭准人配置»交换机雁入绑定»未绑定接口自动扫描结果
未绑定接口自动扫钻结果
共有19条记录,当前第1 - 8,第1/3页. | 1 2 3 ► M | 每页显示 | [8] 15 50 100 200 | ||||
■ | 接口描迷 | 设备标签 | 设备IP | 终版MAC | 终阖P | 终居名称 | 维护人编辑终版 |
□ | Ethernetl/0/34 | h3c | 10.153.89.34 | 00:0c:29:43:6b:da | 10,153.89.57 | 国 | |
□ | Ethernet!/0/32 | H3C | 10.153.89.2 | 00:0c:29:5f:ad:e3 | 10.153.89.29 | 2003DC- EN | 昼 |
□ | Ethernet!/0/32 | H3C | 10.153.89.2 | 00:0c:297b:fb:47 | 10.153.89.26 | 国 | |
□ | Ethernetl/0/34 | h3c | 10.153.89.34 | 00:0c:29:a3:8c:e2 | 10.153.89.56 | 08ENT- SP1-X64 | 国 |
□ | Ethernetl/0/32 | H3C | 10.153.89.2 | 00:0c:29:a8:46:9e | 10,153.89.17 | ||
□ | Ethernetl/0/32 | H3C | 10.153.89.2 | 00:0c:29:a8:46:a8 | |||
□ | EthernetIZOH 6 | H3C | 10.153.89.2 | 00:0e:7f:fd:ef:33 | 10,153.89.18 | ||
□ | Ethernetl/0/14 | h3c | 10.153.89.34 | 00:0f:cb:60:c6:68 | |||
正月十五可以洗衣服吗 |
1 2 3 ► >1
绑定 | 取消 |
如上图,用户只需选择需要绑定的记录即可。另外,用户能够对扫描结果中终端名称、保护人字段 进行编辑。
(3)终端特殊处理策略
终端特殊处理策略包含三部分:未知接入处理策略、冲突特殊接入处理策略、IP/MAC绑定冲突处 理策略。
厘赛赛»终筑装入配置»终端异常处理策略 却口人收藏❷帮助
终居异常处理策略
冲突异常接入处理策略(当发现了违反准入绑定的接入时,采取的处理策略.)
发送告警 | 92油价今天多少发送 | |
关闭接口 | 有关思念家乡的诗 延时关闭 | ▼ |
*多长时间后关闭接口(5-1800秒) | 180 | |
关闭接口一段时间后,再次打开 | 打开 | |
*关闭接口多长时间后再次打开(5-1800秒) | 180 | |
未知接人处理策略(在没有匹配到任何准人绑定的情况下,对终装接入采取未知接入处理策略.)
未知接入 | 不合法 | 回 |
发送告警 | 发送 | 回 |
关闭接口 | 延时关闭 | 5 |
*多长时间后关闭接口(5-1800杪) | 180 | |
关闭接口一段时间后,再次打开 | 打开 | 回 |
*关闭接口多长时间后再次打开(5-1800秒) | 180 | |
IPMAC绑定冲突处理策略
发送告警
确定 | 取消 |
未知接入处理策略:假如未知接入是否有效选择是,则未知接入合法;假如未知接入是否有效选择 否,则未知接入非法,记录特殊接入日志,并根据未知接入处理策略中的配置发送告警、(延迟) 关闭接口、延迟恢复接口。
冲突特殊接入处理策略:对特殊接入采取的处理策略;特殊接入是指与准入绑定关系冲突的接入信 息;关于特殊接入,首先记录特殊接入日志,然后并根据冲突特殊接入处理策略中的配置发送告警、 (延迟)关闭接口、延迟恢复接口。
IP/MAC绑定冲突处理策略:接入网络的IP/MAC信息同IP/MAC绑定关系冲突时采取的处理策略; 目前只有发送告警一种方式,不可配置。
(4)特殊接入日志
轮询的接入信息不合法时,记录的包含终端MAC、终端IP、终端名称、接入设备IP、接入设备名 称、接入接口描述、冲突类型、发现时间、动作状态等信息的日志。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论