H3CiMCEAD解决方案(含UAM)介绍题库.ppt

* 此页标题禁止有多级标题，更不要出现所在章节的名称。 此页标题要简练，能直接表达出本页的内容。 内容页可以除标题外的任何版式，如图、表等。 该页在授课和胶片＋注释中都要使用。 * 相关概念解释： Supplicant System——通常为一个用户终端系统，该终端系统通常要安装一个客户端软件(如：H3C802.1X、Wndows XP自带的802.1x客户端)，用户通过启动这个客户端软件发起802.1x协议的认证过程。为支持基于端口的接入控制，客户端系统还需支持EAPOL协议。 Authenticator System——通常为支持802.1x协议的网络设备。该设备对应于不同用户的端口（可以是物理端口，也可以是用户设备的MAC地址、VLAN、IP等），有两种逻辑端口：受控端口和不受控端口。不受控端口始终处于双向连通状态，受控端口可配置为双向受控和仅输入受控两种方式，以适应不同的应用环境。如果用户未通过认证，则受控端口处于未认证状态，则用户无法访问认证系统提供的服务。 Authentication Sever System——通常为RADIUS服务器，该服务器可以存储有关用户的信息，比如用户所属的VLAN、CAR参数、优先级、用户的访问控制列表等等。当用户通过认证后，认证服务器会把用户的相关信息传递给认证系统，由认证系统构建动态的访问控制列表，用户的后续流量就将接受上述参数的监管。认证系统和认证服务器之间通过RADIUS协议进行通信。 * 相关概念解释： Supplicant System——通常为一个用户终端系统，该终端系统通常要安装一个客户端软件(如：H3C802.1X、Wndows XP自带的802.1x客户端)，用户通过启动这个客户端软件发起802.1x协议的认证过程。为支持基于端口的接入控制，客户端系统还需支持EAPOL协议。 Authenticator System——通常为支持802.1x协议的网络设备。该设备对应于不同用户的端口（可以是物理端口，也可以是用户设备的MAC地址、VLAN、IP等），有两种逻辑端口：受控端口和不受控端口。不受控端口始终处于双向连通状态，受控端口可配置为双向受控和仅输入受控两种方式，以适应不同的应用环境。如果用户未通过认证，则受控端口处于未认证状态，则用户无法访问认证系统提供的服务。 Authentication Sever System——通常为RADIUS服务器，该服务器可以存储有关用户的信息，比如用户所属的VLAN、CAR参数、优先级、用户的访问控制列表等等。当用户通过认证后，认证服务器会把用户的相关信息传递给认证系统，由认证系统构建动态的访问控制列表，用户的后续流量就将接受上述参数的监管。认证系统和认证服务器之间通过RADIUS协议进行通信。 * VPN认证前需要先通过真实网卡或其它方式建立网络连接，这与防内网外联的要求是违背的； Portal认证或启用快速部署的802.1x认证在网卡认证前就可能会要求通过DHCP获取IP地址。 * 传统的RADIUS方式下，EAD心跳丢失服务器无法通过RADIUS报文通知第三方设备将用户下线。唯一的可能是直接清除在线表，在支持计费更新的环境下，等待设备下一次计费更新然后返回会话时长为0。但可惜第三方设备不支持会话时长为0的属性，所以即使是在支持计费更新的环境下清除在线表也没有用，清除了反而使得管理员找不到哪些用户出现异常，所以传统的机制是将EAD心跳超时的用户在在线表中置为隔离状态。 * * 有一个“缺省安全策略”即使没有被下发的服务引用，也会下发到下级节点上，其功能后面讲 * 有一个“缺省安全策略”即使没有被下发的服务引用，也会下发到下级节点上，其功能后面讲 * * * * * 资产查询与统计（一） 查询已注册的资产详细信息，包括操作系统信息、硬件信息、屏保信息、分区列表、逻辑磁盘列表、软件列表、补丁列表、进程列表、服务列表以及共享列表。 资产查询与统计（二） 支持按多种分类方式统计资产信息并显示报表 支持统计资产的软件安装情况 资产变更管理 支持软硬件资产信息变更的检查和上报 软件分发（一） 配置软件分发服务器 配置软件分发任务 软件分发（二） iNode客户端下载安装程序完成后弹出软件分发管理的提示窗口，用户也可以手工从客户端上查看 双机软件分发管理中的文件名称开始安装 USB监控 记录使用USB的时间 记录写入USB的文件 外设管理（一） 配置外设管理策略，选择需要禁用的外设 将外设管理策略与资产分组关联 外设管理（二） 手工启用已经被外设管理策略禁用的设备后，将产生外设违规记录 业务参数配置 资产编号方式 资产变更扫描间隔时长 心跳相关参数 资产策略请求间隔时长 桌面资产管理相关参数 “桌面资产业务”?“业务参数配置”可以对桌面资产