使用集中式802.1X构建校园网认证系统.ppt.ppt

使用集中式802.1X构建校园网认证系统 柳 斌 华中科技大学网络与计算中心运行部 2014.8 802.1X认证体系结构 * 客户端系统： 终端系统通常要安装一个客户端软件，用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。客户端系统需支持EAPOL（Extensible Authentication Protocol Over LAN）协议。 认证系统： 通常为支持IEEE 802.1x协议的网络设备，它为客户端提供接入局域网的端口，该端口可以是物理端口，也可以是用户设备的MAC地址、VLAN、IP等逻辑端口。 认证服务器 通常为RADIUS服务器，该服务器可以存储有关用户的信息，比如用户所属的VLAN、CAR参数、优先级、用户的访问控制列表等等。 802.1X认证部署方式-分布式部署 * 可以对用户进行精细化的管理和控制。 大量的接入层设备给网络管理和认证管理带来不便。 接入交换机作为NAS设备与后台的认证系统联系比较密切，这导致数量众多的接入交换机在购置，更新选型时受制于认证系统。 802.1X认证部署方式-集中式部署 * NAS设备数少，这有利于管理。 集中式部署无法对用户终端进行物理的定位, 所有认证用户都从一个NAS IP（一台汇聚或核心交换机），一个NAS port（一个端口）上来. 解决集中式802.1X模式下终端定位问题 Port+Vlan的方式进行用户终端位置的标识。 （port，vlan）二元组表示用户位置 Super Vlan 每个SubVLAN与普通VLAN具有相同的功能，不同的Sub VLAN属于不同的广播域，二层相互隔离无法互访； 当Sub VLAN需要三层通讯时，依靠SuperVLAN的虚拟接口的IP地址作为网关地址进行寻址转发； SubVLAN间需要互访时，需要通过SuperVLAN下的ARP代理与ND代理来实现互通。 基于Port+Vlan的IP地址管理 IP地址段的管理 （port1，vlan1），（port2，vlan1） * 集中式802.1X在校园网中的部署 * 接入设备部署 有线部分： 每个与终端相连的端口都配置成Access口，并且每个端口都属于一个VLAN，上联汇聚的端口配置成属于这些VLAN的Trunk口。 无线部分： 每个AP或者同一区域的多个AP都属于一个VLAN。AP内要求STA之间通信隔离。AC上配置不允许同一个VLAN的AP之间通信。 * 核心设备部署 通过Super Vlan作为网关，Super Vlan配置多个IP网段，每个接入的终端属于一个SubVlan，核心不同端口下的终端允许在同一个SubVlan内，这样每个端口都要配置成属于所有SubVlan的trunk口，为了确保这些终端之间二层通信隔离，开启这些端口的二层端口保护功能。 * 汇聚设备部署 和核心相连的上链口配置成属于所有Sub VLAN的trunk口，而下联接入的端口也配置成Trunk口，并根据接入设备所分配的VLAN范围进行裁剪 * Super Vlan基本配置 Super Vlan配置 Vlan 161 Super Vlan SubVlan 561,661 ； interface VLAN 161 ip address 10.12.113.254 255.255.254.0 ； * IP地址管理配置 Ruijie(config)# address-manage Ruijie(config-address-manage)# match ip 10.1.5.0 255.255.255.0 Gi5/3 Vlan 1005 来自Gi5/3 且Vlan 号为1005分配10.1.5.0这段地址。 * 802.1X认证配置 aaa new-model aaa accounting network default start-stop group radius aaa authentication web-auth default group radius interface xxx dot1x port-control auto * 免认证 方法1：安全通道 N18K配置安全通道，基于ACL的方式放行需要免认证的设备。 方法2：MAC认证 * 运行情况 * 上网用户数 * 设备信息： * 结论 随着核心设备性能的不断提高，集中式认证将是校园网接入认证发展的趋势。接入设备不再是NAS。 NAS设备与后台计费能充分融合。 同时支持多种认证方式。 解决了用户终端定位问题，集中式的802.1X也是准入认证的一种选择。 *