EAD快速部署技术白皮书.docx

杭州华三通信技术有限公司
2013-3-26
页
第 1 页, 共 8
内部资料，请勿集中
EAD 快速部署技术白皮书
杭州华PU。用户undo此命令后，即恢复端口为原始状态。
当端口接收到DHCP的discover或ARP报文后，若全局使能了 ，，为了把握用户在未成功认证之前的访问权限，下发具有以下功能的ACL：允许此MAC的HTTP报文、目的地址为受限IP的报文、DHCP报文、 送，拒绝此MAC的全部其它报文。通过下发这些ACL，用户可通过DHCP 动态获得ip，发送HTTP恳求报文，任凭访问受限网段内的资源并在重定向到指定URL后下载认证客户端并 。
当端口收到DHCP的discover或ARP报文后，还需提取用户的源MAC并下发。
假如是动态获得地址，用户通过上述ACL的限制可以获得IP地址。
用户可以访问指定的受限IP。假如用户通过HTTP协议访问的地址非指定地址，将通过TCP仿冒建立一个仿冒连接，连接建立后向用户发送一个HTTP重定向报文，让用户访问指定的地址，借此实现下载客户端的功能。
用户下载客户端后，通过认证，认证成功后，将删除在其次步下发的ACL资源。
用户下线后，用户的MAC删除。

杭州华三通信技术有限公司
2013-3-26
页
第 5 页, 共 8
内部资料，请勿集中
在其次步中，配置了可访问的受限网段命令后，用户的DHCP和ARP报文就可以在已经 配置了dot1x的端口上进行上送或者连续转发，而此功能的实现是依靠底层驱动设置的多个ACL来实现的。假如此时用户发出DHCP或ARP报文后，没有马上下载客户端进行认证，那 么将会始终占用这些ACL，铺张设备的ACL的资源，所以应当定时清理占用时间过长的用户。否则，由于设备总的ACL个数资源有限，而每个待认证用户必需占有多个ACL，此时若大量 用户都处于上面所述的只连接不认证的状态会导致ACL资源不够，其他用户将无法实现受限 访问的功能。
定时清理不认证的用户所占用的ACL是依靠命令行的配置实现，该命令行配置可以设置 定时清理的时间长度，范围大小为1～1440分钟（dot1x timer acl-timeout 100）。当用户配置了ACL定时器配置命令和可访问的受限网段命令后，用户就可以通过IE扫瞄器访问指定的URL地址，从而实现下载客户端并进行认证的功能。假如此时用户始终闲置，不下载客户端， 或者即使下载了客户端也不进行认证，再或者根本不访问任何地址，在上述这些条件下，如 果闲置时间超过了配置的ACL定时器时间，那么此时这些用户所占有的ACL资源将被删除， 这时假如有新的用户接入设备进行访问则可以获得ACL资源，并且能够认证成功。
ACL超时定时器的作用范围是针对用户的。假如同一端口上存在多个用户进行接入，有的没有准时下载客户端进行认证操作，有的则马上下载客户端进行认证，则此种状况下，不论这同一端口上的多个用户是否为同一时间接入，只要该用户接入后所占用的时间超出ACL 定时器的时间，那么这个用户的ACL