1、宝界802.1X 准入解决方案陈涛 扣扣1204673254 0510-81018135一、需求背景1.1、为什么要用 802.1X 准入?在一些军队或保密的企事业, 对接入内网的终端主机非常严格时才要用到 802.1x 准入。1.2、什么样的网络环境需要 802.1X 准入?802.1x 准入控制需要所有交换机支持 802.1x 协议,接入终端都能支持 802.1x,能够真正的做到对网络边界的保护。二、解决方案2.1、802.1X 准入工作原理802.1x 协议是基于 Client/Server 的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问 LAN/WAN。在获得交换
2、机或 LAN 提供的各种业务之前,802.1x 对连接到交换机端口上的用户/ 设备进行认证。在认证通过之前,802.1x 只允许 EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。2.2、802.1X 准入部署拓朴图网络拓朴结构网络拓朴说明:1 设备是接在三层核心交换机上,旁路方式。2 交换机都 要开启 802.1X,下面不允许接入非网管交换机等。2.3、802.1X 准入服务相关设置2.3.1、宝界 802.1X 准入基本参数设置【启用 802.1X 准入】 此复选框勾选,代表与交换机的联动的 802.1X 认证服务启动,终
3、端准入网关做为一个独立的 RADIUS 认证服务器运行。2.3.2、宝界 RADIUS 服务设置在 802.1X 准入环境中,宝界终端准入网关,充当 RADIUS 服务器, ,802.1X 客户端到与宝界终端准入系统中的用户库进行对比与认证。增加、删除监控的交换机交换机 RADIUS 参数设置2.3.3、802.1X 交换机相关设置2.3.3.1 华为交换机 配置管理 VlanIP 地址system-view / 进入软件管理模式interface vlan-interface 1 / 创建并进入管理 VLAN1 接口视图ip address yourip yourmask / 为管理 Vla
4、n 接口指定 IP 地址、子网掩码 配置 Telnet 登录用户system-view / 进入软件管理模式user-interfave vty0 / 进入虚拟连接端口 0 管理set authentication password simple yourpassword / 添加管理 Vlan 密码user privilege level / 提升密码权限 3 最高 保存信息quit / 退出至最低级权限save / 保存配置 配置 802dot1xsystem-view / 进入软件管理模式802dot1x / 开启 802.1x 模式dot1x interface ethernet 0/
5、1 / 开启指定端口 802.1X 认证dot1x authentication-method chap / 指定认证方式 chapdot1x port-control auto / 使配置生效 配置 Radius 服务器system-view / 进入软件管理模式radius scheme 192.168.1.1 / 创建 RADIUS 服务器组并进入其视图primary authentication 192.168.1.1 / 设置主 RADIUS 认证/授权的 IP 地址key authentication BJ-RadiusServer / 设置 RADIUS 认证/授权的加密密钥,B
6、J-RadiusServer 密钥不能随便更改否则导致接入控制认证失败 配置 Domainsystem-view / 进入软件管理模式domain DomainName / 创建 Domain 并进入其视图radius-scheme YourRadiusSchemeName / 使用的 Radius 方案名domain default enable DomainName / 配置为默认的 Domain 调试信息terminal monitorterminal debugging debugging radius packet2.3.3.2 H3C 交换机system-viewSystem Vi
7、ew: return to User View with Ctrl+Z.# (可选)为交换机配置能够与服务器通讯的 IP 地址。H3C interface vlan-interface 1H3C-Vlan-interface1 ip address 192.168.0.253 255.255.255.0# 开启全局 802.1x 特性。H3C dot1x# 开启指定端口 Ethernet 1/0/1 的 802.1x 特性。H3C dot1x interface Ethernet 1/0/1# 设定 eap 认证方式,以便支持 eap-TLS 证书认证机制。H3C dot1x authenti
8、cation-method eap # (可选)设置接入控制方式(macbased 代表基于 MAC 地址认证,适用于一个端口需要接多台主机时对每一台主机都认证;portbased 代表基于端口,多台主机时一台认证通过就全部放开。缺省情况下就是基于 MAC 地址的)。H3C dot1x port-method macbased interface Ethernet 1/0/1# 创建 RADIUS 方案 Radius1 并进入其视图。H3C radius scheme Radius1# 设置主认证 RADIUS 服务器的 IP 地址。H3C-radius-Radius1 primary aut
9、hentication 192.168.0.96 1812# 设置软件与认证 RADIUS 服务器交互报文时的加密密码。H3C -radius-Radius1 key authentication RadiusServer# 设置软件不进行计费。H3C -radius-Radius1 accounting optional# (可选)设置 RADIUS 为标准方式。H3C -radius-Radius1 server-type standard # (可选)设置软件向 RADIUS 服务器重发报文的时间间隔与次数。H3C-radius-Radius1 timer 5H3C-radius-Rad
10、ius1 retry 5# (可选)设置软件向 RADIUS 服务器发送实时计费报文的时间间隔。H3C-radius-Radius1 timer realtime-accounting 15# 指示软件从用户名中去除用户域名后再将之传给 RADIUS 服务器。H3C-radius-Radius1 user-name-format without-domainH3C-radius-radius1 quit# 创建域 YS 并进入其视图。H3C domain YS# 指定 Radius1 为该域用户的 RADIUS 方案。H3C-isp-YS scheme radius-scheme Radius
11、1H3C-isp-YS quit# 配置域 YS 为缺省用户域。H3C domain default enable YS2.3.3.3 思科交换机使用 CISCO 2950 交换机进行配置,首先用 telnet 连接到交换机,并使用初始密码 cisco 进行登录。然后输入以下命令进行交换机 802.1x 配置:enable输入密码(ciscocisco)config t /*进入配置模式*/aaa new-model /*启用 aaa 认证,启用后交换机将不能通过 telnet 正常登录,需重新配置时只能重启交换机使其恢复初始状态*/aaa authentication login defau
12、lt none /*配置交换机的登录方式不采用 3A 认证,这可以避免 telnet 登录时也需要输入 3A 用户名及密码*/aaa authentication dot1x default group radius /*配置 802.1x 认证使用 radius 服务器数据库*/radius-server host 192.168.0.132 key YS-RadiusServer /*指定radius 服务器地址为 192.168.0.132,通信密钥为 YS-RadiusServer,该密钥为局域网认证软件的通用密钥,端口不用制定,默认 1812 和 1813*/int vlan 1 /
13、*可选。准备配置 IP 地址*/ip add 192.168.0.16 255.255.255.0 /*可选。配置交换机的 ip 地址,这里的 ip 地址用于与 radisu 服务器通讯,若交换机具备的 IP 地址可以与Radius 服务器通讯,则不需重新配置*/no shut int range f0/1 2 /*配置 1 到 2 号端口*/ switchport mode access /*设置端口模式*/dot1x port-control auto /*启用 802.1x*/*上面的设置使 1、2 端口接受 802.1x 认证,其他端口则为完全放开状态*/exit /*退回全局配置模式
14、*/dot1x re-authenticationdot1x system-auth-control /*启用全局 802.1x 认证,3550 必配*/exit至此,交换机完全配置完毕,可以使用配置好的端口进行认证测试,而将安装好的服务器连接到不受控的端口上。如果需要查看当前配置,可以使用 show running-config 命令2.3.4、802.1X 客户端安装与设置2.3.4.1、WINDOWS 自带的 802.1X 客户端我的电脑,右键单击“属性” 。此计算机的 OS 版本是 Windows XP SP 3。Wired Autoconfig 服务是在以太网口上执行 IEEE 80
15、2.1x 身份认证,而ServicePack3 默认将 XP 的 Wired Autoconfig 的启动类型设置为手动,所以需要更改为自动并确保该服务的状态是启动。方法如下:控制面板中选择“管理工具” 。选择“服务” 。启动类型选择“自动” ,点击“启动”按钮。注意:以上问题在 windows xp sp2 上不存在。本地连接属性选择“身份验证”选项卡。网络身份验证方法选择“受保护的 EAP”,点击“设置”按钮。根据用户需要,决定是否勾选“验证服务器证书” ,如果勾选,则“连接到这些服务器”中的内容为空。在“受信任的证书颁发机构”中选择“lan”,这是我们建立的 CA 服务器的名称。在通过身
16、份验证以后,客户端会自动在“连接到这些服务器”填入服务器的名称。在“选择身份验证方法”中选择“安全的密码(EAP-MSCHAP v2) ”,然后点击“配置”勾选“自动使用 Windows 登录名和密码 ”,这样用户在登录的时候只需要输入一次域的用户帐户和密码就可以完成域和 802.1X 的双重认证。回到原对话框,点击“确定”完成身份验证的设置,弹出下面的信息:以上就完成了对客户端的设置。2.3.4.2、宝界专用的 802.1X 客户端做身份认证。802.1X 客户端身份认证802.1X 身份认证客户端参数设置2.4、接入终端入网流程演示802.1X 认证流程1、未注册客户端接入网2、未注册客户
17、端无用户名密码,长时间得不到验证,进入 Guest Vlan.3、在 Guest Vlan 中进行 HTTP 访问被重定向至注册页面4、下载客户端程序5、客户端获得 802.1X 策略,启动认证程序。6、输入用户名和密码7、进入正常网络。三、常见问题1 802.1X 准入的优缺点?答:802.1X 准入的优点是安全级别高。 802.1X 准入方式比较严密,难以破解。用户可采用微软操作系统自带 802.1X 功能进行身份认证。但缺点是 802.1x 准入控制要求, 必须安装 802.1X 客户端;安装配置较复杂。交换机必须支持新的 802.1x 协议。交换机厂家的准入控制通常需要企业更换新的交换
18、机来实现准入控制。但由于这样和那样的原因,企业很难避免在新的交换机下面接入和使用老旧交换机和 Hub。由于交换机在实现 802.1x 协议时,是以交换机端口为基础实现的。当没有完成认证之前,交换机端口是处于关闭状态,或被放在隔离 VLAN 中。只有当认证通过后,交换机端口会打开,并重新将交换机端口重新放在不同的办公 VLAN 中。但当 802.1x 交换机端口下挂 Hub 或二层交换机时,一旦有一台终端通过 802.1x 认证后,端口就会打开,并被设置为新的办公 VLAN。这就造成其他共同接在 Hub 上的其他终端就可以不经过认证,进入到办公内网。2 802.1X 准入实施过程中有那些注意点?答: 交换机必须支持新的802.1x 协议, 接入终端也必须有802.1x 客户端。3 市场上有那些常见的其他 802.1X 准入产品?各自的优缺点?答:IPSCAN,北信源桌管软件。
