Windows域及802.1X协议统一认证解决方案.docx

Windows域与802.1X协议统一认证解决方案本帖最后由网络精灵于 2010-1-3 13:52 编辑Windows域与802.1X协议统一认证解决方案【课程星级】★★★★★【实验名称】Windows域与802.1X协议统一认证解决方案【实验目的】使管理人员了解Windows域与802.1X协议结合进行统一认证的配置方法。【背景描述】随着局域网的迅速发展,办公用户的网络安全问题日益突出。目前,各企业面临的安全威胁之一就是外围设备非法接入到内部网络后的破坏性攻击行为。在许多企业的IT 管理过程中,往往注重对来自因特网的外部威胁防御,忽略了来自内部的非法访问威胁。这种威胁在大中型企业的IT 环境中影响尤其明显。因此,建立内部网络接入防御体系势在必行。很多企事业单位已经建立了基于Windows域的信息管理系统，通过Windows域管理用户访问权限和应用执行权限。然而，基于Windows的权限控制只能作用到应用层，而无法实现对用户的物理访问权限的控制，比如对网络接入权限的控制，非法用户可随意接入用户网络，这就给企业网的网络和应用安全带来很多隐患。为了更加有效地控制和管理网络资源，提高网络接入的安全性，很多政府和企业网络的管理者希望通过802.1x认证实现对接入用户的身份识别和权限控制。通过802.1x 协议和活动目录技术相结合的方案,来实现设备接入的合法验证和管理。只有通过了内部域用户验证的计算机才能正常进行网络通讯,否则其接入端口数据将被阻隔。下面我们就来看一下Windows域与802.1X协议统一认证解决方案的实现过程。【实验拓扑】实验环境说明：本实验需要用到Windows 2003 Server,并且在Windows 2003 Server安装DNS、AD、DHCP、CA、IAS等组件，并且要求交换机支持802.1X协议与Guest VLAN功能。本文详细地记录了配置Windows 2003 Server和交换机每一个步骤的实现过程，并力求层次清晰。但还是希望没有接触过Windows 2003 Server的读者了解Windows 2003 ServerDNS、 AD、DHCP、CA和IAS的相关知识，请参考相关书籍和网站。拓扑说明：Windows 2003 Server IP:54? ?? ?? ?? ?? ?? ?交换机IP：50? ?? ?? ?? ?? ?? ?路由器LAN接口IP:? ?? ?? ?? ?? ?? ?橘红色端口所属的VLAN为Guest VLAN,名称为V10,? ?VID为10? ?? ?? ?? ?? ?? ?蓝色端口所属的VLAN名称为V20, VID为20? ?? ?? ?? ?? ?? ?绿色端口为需要进行802.1X认证的端口? ?? ?? ?? ?? ?? ?测试计算机的IP为从Windows 2003 Server 自动获取根据上面的拓扑环境，测试PC通过了windows域的认证以后，自动在交换机端口上进行802.1X认证，认证通过以后，PC被交换机自动分配到了V20里面，从而可以接入到互联网中。若PC没有通过802.1X认证，则只能访问Guest VLAN里面的资源。【实验设备】Windows 2003 Server 1台，DES-3526 1台，路由器1台，测试PC1台，网线若干。【实验步骤】一．配置Windows 2003 Server1. 安装Windows 2003 Server AD（活动目录）在Windows 2003 Server上，点击“开始”----“运行”，输入“dcpromo”,点“确定”,启动“活动目录安装向导”。如下图：此处选择“新域的域控制器”，使此计算机作为此域的域控制器（DC）。此处选择“在新林中的域”。输入“”作为新建域的域名。设置NetBIOS域名，此处使用默认的“TEST”。设置数据库和日志文件的保存路径，此处选择默认设置。设置共享的系统卷，此处使用默认设置。DNS注册诊断，由于此服务器还没有安装DNS服务器组件，因此显示诊断失败，这里选择“在这台计算机安装并配置DNS服务器，并将这台DNS服务器设为计算机的首选DNS服务器”。设置用户和组对象的默认权限，此处选择默认设置。设置目录还原模式的管理员密码。开始安装和配置活动目录。活动目录安装完毕。点击“立即重新启动”，重启windows 2003 server。2. 安装并配置windows 2003 server DHCP服务器进入控制面板界面。选择“添加或删除程序”。选择“添加/删除windows组件”。选中“网络服务”，点击“详细信息”。选择“动态主机配置协议（DHCP）”。进行DHCP组件的安装。完成安装。在windows 2003 server 管理工具中选择DHCP。这台DHCP服务器