基于动态VLAN方式下的8021x域用户认证的设计与开发.docVIP

基于动态VLAN方式下的802.1x域用户认证 基本原理 802.1x认证系统由三个部分组成： 1、Supplicant 客户端，即802.1x客户端软件。Windows XP sp2/sp3,Windows Server 2003均内置。 2、Authenticator即支持802.1x的交换机、AP、RP。 3、认证服务器，接受从交换机/AP/RP转发来的用户认证请求，并确认用户的合法性，下发与用户相关的策略至交换机/AP/RP，打开/关闭相应的物理端口或者接受/拒绝关联，确保用户接入的安全性。 企业网中，在Windows域管理情况下，为了实现单点登录（Single Sign-on）,即域用户认证与802.1x认证统一为同一域用户认证。 在客户端计算机上，域用户认证与802.1x认证并行执行，逻辑上应该为802.1x先认证再作域用户认证便于域登录，然而新用户不完成域用户认证就不能进入客户端桌面启用802.1x认证，为此，先在未启用802.1x的端口/SSID接入客户端计算机，让该计算机注册到相应的域中，再将计算机接入到认证端口/SSID，在认证服务器（IAS）配置计算机认证策略，设置一个特殊的VLAN，在用户未登录时，计算机处于合法认证并可访问域服务器，用户登录后开始开始执行域服务器下发的组策略（GPO），执行RunLogon.vbs脚本，实现与用户相关的802.1x认证和域认证，获得与用户相应的VLAN和IP地址。计算机进入本地用户登录，则开始新的认证50s后失败，交换机关闭端口（AP/RP拒绝认证SSID建立关联），本地用户不能接入到网络。 PC机认证流程图： 二、实验环境 拓扑图 设计VLAN IP分配范围 VLAN ID 说明 VLAN 10 域/IAS/DHCP /DNS服务器所在网段 00～150 VLAN 20 Administration 00～150 VLAN 30 Student 00～150 VLAN 40 域计算机认证的VLAN 服务器 OS:Windows 2003 enterprise 域服务器 procurve1.demo DHCP/IAS/DNS 交换机、AP420、RP230 支持802.1x和动态VLAN下发，并在三层交换机上作DHCP relay 客户机 Windows XP sp2/sp3 三、配置过程 交换机/AP配置 HP5308的配置： ; J4819A Configuration Editor; Created on release #E.10.71 hostname 5308 time timezone 480 module 2 type J4821B module 3 type J4820B module 4 type J4820B module 1 type J9001A module 6 type J8161A interface ADP no lacp exit interface AUP no lacp exit sntp server 0 ip routing timesync sntp sntp unicast logging 0 snmp-server community public Unrestricted vlan 1 name DEFAULT_VLAN untagged B2-B4,C1-C24,D1-D24,F1-F24 ip address tagged AUP no untagged ADP,B1 exit lldp auto-provision radio-ports auto-vlan 2100 auto vlan 2100 name VLAN2100 ip address tagged ADP exit vlan 10 name VLAN10 untagged B1 ip address ip helper-address 0 tagged AUP，B2，C1 exit vlan 20 name VLAN20 ip address ip helper-address 0 tagged AUP，B2，C1 exit vlan 30 name VLAN30 ip address ip helper-address 0 tagged AUP，B2，C1 exit vlan 40 name VLAN40 ip address i