北信源桌面终端标准化管理系统基于协议的准入控.docVIP

PAGE 1 {经营管理制度}北信源桌 面终端标准化管理系统基 于契约的准入控 北信源桌面终端标准化管理系统 基于 802.1x 契约的准入控制方案 一、802.1x 契约认证描述 802.1x 契约是基于 Client/Server 的访问控制和认证契约。它可以限制未经授权 的用户/设备通过接入端口访问 LAN/MAN。在获得交换机或 LAN 提供的各种业务之 前,802.1x 对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x 只允许 EAPoL（基于局域网的扩展认证契约）数据通过设备连接的交换机端口；认 证通过以后,正常的数据可以顺利地通过以太网端口。 网络访问技术的核心部分是 PAE（端口访问实体）。在访问控制流程中,端口访问 实体包含 3 部分：认证者--对接入的用户/设备进行认证的端口；请求者--被认证 的用户/设备；认证服务器--根据认证者的信息,对请求访问网络资源的用户/设备 进行实际认证效用的设备。 二、802.1x 认证特点 基于以太网端口认证的 802.1x 契约有如下特点：IEEE802.1x 契约为二层契约,不 需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本；借用了在 RAS 系统中常用的 EAP（扩展认证契约）,可以提供良好的扩展性和适应性,实现对传 统 PPP 认证架构的兼容；802.1x 的认证体系结构中采用了"可控端口"和"不可控端 口"的逻辑效用,从而可以实现业务与认证的分离,由 RADIUS 和交换机利用不可控 的逻辑端口配合完成对用户的认证与控制,报文直接承载在正常的二层报文上通过 可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包；可以使用现有 的后台认证系统降低部署的成本,并有丰富的支持；可以映射不同的用户认证等级 到不同的 VLAN；可以使交换端口和无线 LAN 具有安全的认证接入效用。 三、802.1x 应用环境及其配置 a.一台安装 IAS 或者 ACS 的 RADIUS 认证服务器； b.一台安装 VRVEDP 服务器； c.一个应用可网管交换机的网络环境； 1.RADIUS 认证服务器配置如下： 进入添加/删除程序中的添加/删除 Windows 组件,选择网络服务中的 Internet 验证服务 2.安装 IAS 后,进入 IAS 配置界面 3．右键点击 RADIUS 客户端,选择新建 RADIUS 客户端。客户端地址为验证交换 机的管理地址,点击下一步。 4.选择 RADIUSStandard,共享为交换机中所配置的 key。点击完成。 注：1、验证交换机可以填写多个,比如：有 100 个支持 802.1X 契约的接入层交 换机,就需要执行 100 次步骤 3 与步骤 4 的动作,把 100 个交换机的地址与共享 密码填写进去。 2.此步骤是至关重要的第一步,一定要检查填写的共享密码与交换机的共享密码 相 同 （ 这 是 思 科 交 换 机 命 令 输 入 共 享 密 码 的 命 令 ： radius-serverhost192.168.0.136keyvrv；192.168.0.136 为 radius 所在服务器 地址）。 5.右键点击远程访问策略,单击新建远程访问策略。 注：1.建立远程访问策略为了使进行跟交换机进行联动,这个策略的建立为以后 的用户成功认证打下坚实的基础。 2.这个策略一个大众策略,在一个网络中可能有几百个用户名密码进行认证, 这个要按照步骤进行配置,不要填写用户名匹配,不然会只有一个匹配的用户能 够认证通过。 3.公司支持多种加密认证方式,在 IAS 中我们建议使用 MD5 加密算法来进行 认证。 6.为策略取一个名字,点击下一步 7.选择以太网,点击下一步 8.选择用户,点击下一步 9.使用 MD5 质询,点击下一步,并完成。 10.在右面板中右键点击所新建的策略,选择属性。 11.点击添加,选择 Day-And-Time-Restrictions 12.选择添加,选择允许,单击确定。 13.删除 NAS-Port-Type 匹配”Ethernet”,并选择授予访问权限 14.右键点击连接请求策略,选择新建连接请求策略。 注：1.连接请求策略是与修复 VLAN 有关系的配置,如果在实施中没有设置修复 VLAN,这一步骤可以不进行配置。 2.连接请求策略中添加 user-name 与用户名匹配,公司客户端软件暂时只支持与 repair 这个用户名联动。如果不使用 repair 用户名匹配,客户端没有通过安检 时也会跳入修复 VLAN,但是在客户端不会提示已经进入修复 VLAN。 3.IAS 中设置修复 VLAN 设置方法有几种,建议使用文档中的操作方式。 15.选择自定义策略,并为该策略取个名字 1