北信源桌面终端标准化管理系统浅析802.1x协议的准入控制方案.doc

北信源桌面终端标准化管理系统 基于802.1x协议的准入控制方案 一、802.1x协议认证描述 802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/MAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。  网络访问技术的核心部分是PAE（端口访问实体）。在访问控制流程中，端口访问实体包含3部分：认证者--对接入的用户/设备进行认证的端口；请求者--被认证的用户/设备；认证服务器--根据认证者的信息，对请求访问网络资源的用户/设备进行实际认证功能的设备。 二、802.1x认证特点  基于以太网端口认证的802.1x协议有如下特点：IEEE802.1x协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本；借用了在RAS系统中常用的EAP（扩展认证协议），可以提供良好的扩展性和适应性，实现对传统PPP认证架构的兼容；802.1x的认证体系结构中采用了可控端口和不可控端口的逻辑功能，从而可以实现业务与认证的分离，由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制，报文直接承载在正常的二层报文上通过可控端口进行交换，通过认证之后的数据包是无需封装的纯数据包；可以使用现有的后台认证系统降低部署的成本，并有丰富的支持；可以映射不同的用户认证等级到不同的VLAN；可以使交换端口和无线LAN具有安全的认证接入功能。 三、802.1x应用环境及其配置a. 一台安装IAS或者ACS的RADIUS认证服务器； b. 一台安装VRVEDP服务器； c.一个应用可网管交换机的网络环境； 1.RADIUS认证服务器配置如下： 进入添加/删除程序中的添加/删除Windows组件，选择网络服务中的Internet验证服务 2.安装IAS后，进入IAS配置界面 3．右键点击RADIUS客户端，选择新建RADIUS客户端。客户端地址为验证交换机的管理地址，点击下一步。 4.选择RADIUS Standard，共享机密为交换机中所配置的key。点击完成。 注：1、验证交换机可以填写多个，比如：有100个支持802.1X协议的接入层交换机，就需要执行100次步骤3与步骤4的动作，把100个交换机的地址与共享密码填写进去。 2.此步骤是至关重要的第一步，一定要检查填写的共享密码与交换机的共享密码相同（这是思科交换机命令输入共享密码的命令：radius-server host 192.168.0.136 key vrv；192.168.0.136为radius所在服务器地址）。 5.右键点击远程访问策略，单击新建远程访问策略。 注：1.建立远程访问策略为了使进行跟交换机进行联动，这个策略的建立为以后的用户成功认证打下坚实的基础。 2.这个策略一个公共策略，在一个网络中可能有几百个用户名密码进行认证，这个要按照步骤进行配置，不要填写用户名匹配，不然会只有一个匹配的用户能够认证通过。 3.公司支持多种加密认证方式，在IAS中我们建议使用MD5加密算法来进行认证。 6.为策略取一个名字，点击下一步 7.选择以太网，点击下一步 8.选择用户，点击下一步 9.使用MD5质询，点击下一步，并完成。 10.在右面板中右键点击所新建的策略，选择属性。 11.点击添加，选择Day-And-Time-Restrictions 12.选择添加，选择允许，单击确定。 13.删除NAS-Port-Type匹配”Ethernet”，并选择授予访问权限 14.右键点击连接请求策略，选择新建连接请求策略。 注：1.连接请求策略是与修复VLAN有关系的配置，如果在实施中没有设置修复VLAN，这一步骤可以不进行配置。 2.连接请求策略中添加user-name与用户名匹配，公司客户端软件暂时只支持与repair这个用户名联动。如果不使用repair用户名匹配，客户端没有通过安检时也会跳入修复VLAN，但是在客户端不会提示已经进入修复VLAN。 3. IAS中设置修复VLAN设置方法有几种，建议使用文档中的操作方式。 15.选择自定义策略，并为该策略取个名字 16.策略状况选择添加Day-And-Time-Restrictions,配置方法同上。 17.删除NAS-Port-Type匹配”Ethernet”，并选择授予访问权限 18.点击添加，并选择user-name,点击添加 19.这里repair 是指repair子用户名（即需要跳转的