Allrightsreserved版权所有,侵权必究第1页,共9页iMC服务器准入管理特性说明1特性介绍iMC服务器准入控制功能是EAD解决方案的重要补充。EAD很好解决了PC终端接入网络的认证和控制问题,但是缺乏对服务器和打印机接入网络时造成的安全隐患的有效控制。服务器和打印机不宜或无法安装认证客户端软件,也无法通过需要有人值守的网页方式进行认证。所以服务器和打印机一般在网络里不进行认证,如果非法终端通过服务器或打印机所连接交换机的接口接入网络,将无法对这些非法终端进行有效的控制,成为用户的内网安全隐患。服务器准入控制问题由此也成为EAD产品推广时用户经常关注的问题之一。iMC新推出的服务器准入控制特性,能够有效阻止非法终端接入到服务器区域,通过关闭端口,异常告警,异常接入日志审计和历史接入跟踪功能,将服务器接入区域的网络也严格监控起来,很好的消除了上述服务器接入区域内的安全隐患。2功能特点iMC服务器准入控制具备如下功能特点:1.无需在服务器或打印机上部署客户端软件2.支持自动学习网络中服务器或打印机的IP/MAC地址信息3.允许服务器或打印机在指定的交换机接口上面认证接入网络,在非指定区域无法接入网络4.非法终端通过服务器或打印机端口接入网络时,可以根据策略让其接入端口立即关闭或延时关闭5.可以设置由于非法终端接入造成关闭的端口定时自动恢复6.非法终端接入网络时可以发送告警,并记录详尽日志,供以后审计查询7.从网管的角度,对服务器准入进行管理,不需要对设备进行特殊配置,管理方便、简单。8.采用公共MIB实现,可以支持第三方设备3特性配置详解服务器准入管理是从网管的角度对服务器准入进行安全认证,由服务器准入绑定、交换机准入绑定、终端异常处理策略、异常接入日志、历史接入记录、实时定位等功能组成。(1)服务器准入绑定服务器准入绑定方式分为两种,第一种为将终端(服务器)同某个交换机接口绑定,限制终端只能通过绑定的交换机接口接入网络,第二种为将终端(服务器)配置为免认证,使终端可以通过网络中的任何位置接入网络。服务器准入绑定可以通过手工配置、自动扫描两种方式完成。手工配置:手工设置一个终端和一个交换机接口的绑定关系。Allrightsreserved版权所有,侵权必究第2页,共9页图3-1服务器准入绑定手工配置如上图,输入终端MAC、终端名称、维护人信息,选择绑定方式是否为免认证,选择设备接口,完成服务器准入绑定配置。自动扫描:系统自动查找出网络中当前在线的、且未进行服务器准入绑定的接入信息,用户只需从扫描结果中选择需要绑定的记录即可。图3-2服务器准入绑定自动扫描如上图,用户可以选择自动扫描的接入设备,如果不选择任何设备,则扫描所有接入设备。Allrightsreserved版权所有,侵权必究第3页,共9页图3-3服务器准入绑定自动扫描结果如上图,用户只需选择需要绑定的记录即可。另外,用户可以对扫描结果中终端名称、维护人字段进行编辑,并可以选择绑定方式是否为免认证。(2)交换机准入绑定交换机准入绑定通过将交换机接口同某个终端绑定,限制交换机接口只允许绑定的终端接入。交换机准入绑定可以通过手工配置、自动扫描两种方式完成。手工配置:手工设置一个交换机接口和一个终端的绑定关系。图3-4交换机准入绑定手工配置Allrightsreserved版权所有,侵权必究第4页,共9页图3-5交换机准入绑定手工配置终端如上图,选择设备接口,输入终端MAC、终端名称、维护人信息,完成交换机准入绑定配置。自动扫描:系统自动查找出网络中当前在线的、且同交换机准入绑定冲突或未匹配的接入信息,用户只需从扫描结果中选择需要绑定的记录即可。图3-6交换机准入绑定自动扫描如上图,用户可以选择自动扫描的接入设备,如果不选择任何设备,则扫描所有接入设备。Allrightsreserved版权所有,侵权必究第5页,共9页图3-7交换机准入绑定自动扫描结果如上图,用户只需选择需要绑定的记录即可。另外,用户可以对扫描结果中终端名称、维护人字段进行编辑。(3)终端异常处理策略终端异常处理策略包括三部分:未知接入处理策略、冲突异常接入处理策略、IP/MAC绑定冲突处理策略。Allrightsreserved版权所有,侵权必究第6页,共9页图3-8终端异常处理策略未知接入处理策略:如果未知接入是否有效选择是,则未知接入合法;如果未知接入是否有效选择否,则未知接入非法,记录异常接入日志,并根据未知接入处理策略中的配置发送告警、(延迟)关闭接口、延迟恢复接口。冲突异常接入处理策略:对异常接入采取的处理策略;异常接入是指和准入绑定关系冲突的接入信息;对于异常接入,首先记录异常接入日志,然后并根据冲突异常接入处理策略中的配置发送告警、(延迟)关闭接口、延迟恢复接口。IP/MAC绑定冲突处理策略:接入网络的IP/MAC信息同IP/MAC绑定关系冲突时采取的处理策略;目前只有发送告警一种方式,不可配置。(4)异常接入日志轮询的接入信息不合法时,记录的包括终端MAC、终端IP、终端名称、接入设备IP、接入设备名称、接入接口描述、冲突类型、发现时间、动作状态等信息的日志。Allrightsreserved版权所有,侵权必究第7页,共9页图3-9异常接入日志冲突类型分为服务器准入绑定冲突、交换机准入绑定冲突、终端和交换机准入绑定同时冲突、未配置准入绑定冲突四种类型。服务器准入绑定冲突:接入信息只同服务器准入绑定关系不一致,按照冲突异常接入处理策略进行处理。交换机准入绑定冲突:接入信息只同交换机准入绑定关系不一致,按照冲突异常接入处理策略进行处理。终端和交换机准入绑定同时冲突:接入信息不仅同服务器准入绑定关系不一致,也同交换机准入绑定关系不一致,按照冲突异常接入处理策略进行处理。未配置准入绑定冲突:接入信息为未知接入且未知接入是否有效标志为否,按照未知接入处理策略进行处理。动作状态表示对非法接入进行的关闭、恢复接口动作的处理状态,包括:无动作:对非法接入不进行关闭、恢复接口动作。正初始化:关闭、恢复接口动作处理前的初始化状态,在初始化状态对执行关闭、恢复接口动作的任务环境进行配置。动作冲突:在接口上已经存在处理动作。等待执行:对于延迟关闭接口,关闭接口前的等待状态。正执行:接口已经关闭,恢复接口前的等待状态。已完成:关闭、恢复接口动作已经完成或已经被取消后的状态。Allrightsreserved版权所有,侵权必究第8页,共9页图3-10异常接入日志详细信息上图为异常接入的详细信息页面,可以通过详细信息查看动作执行情况。图3-11异常接入日志详细信息-动作取消如上图,如果动作尚未执行(动作状态为正初始化或者等待执行),则可以将动作取消掉。(5)历史接入记录通过历史接入记录可以查看终端的所有接入历史信息,接入信息包括:终端MAC、终端名称、终端IP、接入设备名称、接入设备IP、接入接口描述、所在VLAN、上次轮询时间等信息。Allrightsreserved版权所有,侵权必究第9页,共9页图3-12历史接入记录(6)实时定位根据IP地址或者MAC地址实时查找终端的接入位置。图3-13实时定位