北信源桌面终端标准化管理系统基于802.1x协议的准入控制方案一、802.1x协议认证描述802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/MAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。网络访问技术的核心部分是PAE(端口访问实体)。在访问控制流程中,端口访问实体包含3部分:认证者--对接入的用户/设备进行认证的端口;请求者--被认证的用户/设备;认证服务器--根据认证者的信息,对请求访问网络资源的用户/设备进行实际认证功能的设备。二、802.1x认证特点基于以太网端口认证的802.1x协议有如下特点:IEEE802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本;借用了在RAS系统中常用的EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容;802.1x的认证体系结构中采用了可控端口和不可控端口的逻辑功能,从而可以实现业务与认证的分离,由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制,报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包;可以使用现有的后台认证系统降低部署的成本,并有丰富的支持;可以映射不同的用户认证等级到不同的VLAN;可以使交换端口和无线LAN具有安全的认证接入功能。三、802.1x应用环境及其配置a.一台安装IAS或者ACS的RADIUS认证服务器;b.一台安装VRVEDP服务器;c.一个应用可网管交换机的网络环境;1.RADIUS认证服务器配置如下:进入添加/删除程序中的添加/删除Windows组件,选择网络服务中的Internet验证服务2.安装IAS后,进入IAS配置界面3.右键点击RADIUS客户端,选择新建RADIUS客户端。客户端地址为验证交换机的管理地址,点击下一步。4.选择RADIUSStandard,共享机密为交换机中所配置的key。点击完成。注:1、验证交换机可以填写多个,比如:有100个支持802.1X协议的接入层交换机,就需要执行100次步骤3与步骤4的动作,把100个交换机的地址与共享密码填写进去。2.此步骤是至关重要的第一步,一定要检查填写的共享密码与交换机的共享密码相同(这是思科交换机命令输入共享密码的命令:radius-serverhost192.168.0.136keyvrv;192.168.0.136为radius所在服务器地址)。5.右键点击远程访问策略,单击新建远程访问策略。注:1.建立远程访问策略为了使进行跟交换机进行联动,这个策略的建立为以后的用户成功认证打下坚实的基础。2.这个策略一个公共策略,在一个网络中可能有几百个用户名密码进行认证,这个要按照步骤进行配置,不要填写用户名匹配,不然会只有一个匹配的用户能够认证通过。3.公司支持多种加密认证方式,在IAS中我们建议使用MD5加密算法来进行认证。6.为策略取一个名字,点击下一步7.选择以太网,点击下一步8.选择用户,点击下一步9.使用MD5质询,点击下一步,并完成。10.在右面板中右键点击所新建的策略,选择属性。11.点击添加,选择Day-And-Time-Restrictions12.选择添加,选择允许,单击确定。13.删除NAS-Port-Type匹配”Ethernet”,并选择授予访问权限14.右键点击连接请求策略,选择新建连接请求策略。注:1.连接请求策略是与修复VLAN有关系的配置,如果在实施中没有设置修复VLAN,这一步骤可以不进行配置。2.连接请求策略中添加user-name与用户名匹配,公司客户端软件暂时只支持与repair这个用户名联动。如果不使用repair用户名匹配,客户端没有通过安检时也会跳入修复VLAN,但是在客户端不会提示已经进入修复VLAN。3.IAS中设置修复VLAN设置方法有几种,建议使用文档中的操作方式。15.选择自定义策略,并为该策略取个名字16.策略状况选择添加Day-And-Time-Restrictions,配置方法同上。17.删除NAS-Port-Type匹配”Ethernet”,并选择授予访问权限18.点击添加,并选择user-name,点击添加19.这里repair是指repair子用户名(即需要跳转的子用户名字),点击确定并应用20.单击编辑配置文件,选择高级-------添加选择添加[64]Tunnel-Type:VLAN[65]Tunnel-Medium-Type:802[81]Tunnel-Pvt-Group-ID:VLANID(修复VLAN的vlan号)。21.单击确定22.添加远程登录用户。在本地用户和组中新建一个用户。注:在建立认证账户之前,首先检查“用可还原的加密来存储密码”是否启用。23.右键点击新建的用户,进入属性,选择隶属于,删除默认的USERS组24.点击拨入,设置为允许访问25.IAS配置完成。2.VRVEDP服务器关于802.1x策略的配置及解释:策略中心-接入认证策略-802.1X接入认证认证密码认证方式:1、“单用户名密码认证”:所接入的客户端会以该策略中指定的用户名和密码认证,不需要用户手工输入用户名和密码2、“多用户密码认证”:所接入的客户端需要手工输入在Radius中建立的认证用户名和密码进行认证3、“域用户名认证”:所接入的客户端如果是域环境,使用此功能可以在用户登陆域时自动认证。4、认证程序在托盘显示认证状态的图标,绿色为认证成功,黄色为未认证状态,红色则为认证失败。并可以规定认证失败特定次数后就不再认证,自动进入GUESTVLAN5、密码验证类型:分为MD5验证和受保护的EAP(PEAP)两种模式。6、安检失败处理方式:配合补丁与杀毒软件策略和进程服务注册表策略使用,当客户端违反以上策略并选择了根据802.1X策略处理时,则可对其执行以下3种处操作:不处理(即注销其802.1X认证);进入正常工作VLAN;进入修复VLAN。7、如果客户端环境为DHCP动态网络,则勾选DHCP动态IP环境认证;并当认证123456789失败后,这里可以填入另外一个用户名密码再认证一次(配合单用户认证方式使用);当遇到网络意外断开的情况,勾选网络恢复连接后主动发起认证,客户端在恢复网络时就会主动发起认证;支持华为认证服务器的IP绑定功能:配合华为公司产品中的IP与端口绑定的功能。8、认证数据包传输模式:分为组播和广播两种模式,默认为组播,在不支持组播的交换上使用广播模式。9、超级认证帐户:即认证成功后就会进入正常工作VLAN,不受安检策略限制。黑名单认证帐户:即使用这个帐户认证的客户端始终都不能认证通过。策略中心-接入认证策略-补丁与杀毒软件认证设置说明:杀毒软件安全检测1.启用“杀毒软件安全检测”:对接入网络的计算机进行杀毒软件的安全检测,检查其健康度是否符合网络要求标准,检测内容包括计算机是否安装开启了杀毒软件。。2.“未运行杀毒软件时提示”:当检测到计算机没有运行杀毒软件的时候给计算12345678910机一个提示信息。3.“未运行杀毒软件执行(URL地址)”:当检测到计算机没有运行杀毒软件的时候给计算机定向到指定的URL地址,例如某个可以下载或者运行杀毒软件的地址。4.“对上述URL执行”1).选择“打开/下载URL地址”:当检测到计算机没有运行杀毒软件的时候直接打开或者下载上边填写的URL地址。2).选择“下载URL地址指定文件并安装”:当检测到计算机没有运行杀毒软件的时候下载URL地址指定文件并安装,一般为杀毒软件。5.“未运行杀毒软件时”:当检测到计算机没有运行杀毒软件的时候执行以下操作1).“限制网络访问”:计算机在网内只能与安全服务器列表中的IP地址通讯,禁止与其他计算机通讯。2).“注销802.1认证”:当未运行杀毒软件时,客户端将注销正常登录并进入修复vlan。6.系统补丁安全检测1).启用“系统补丁安全检测”:对接入网络的计算机进行系统补丁的安全检测,检查其健康度是否符合网络要求标准,检测内容包括计算机是否安装了指定系统补丁。2).“漏安装列表中指定的补丁时提示”:当检测到计算机没有安装列表中指定的补丁的时候给计算机一个提示信息。3).“漏安装列表中指定的补丁是打开(URL地址)”:当检测到计算机没有安装列别中指定的补丁的时候给计算机定向到指定的URL地址,例如某个可以下载到指定补丁的地址。7.“漏安装列表中补丁时”:当检测到计算机没有安装列表中的补丁时执行以下操作:1).“限制网络访问”:计算机在网内只能与安全服务器列表中的IP地址通讯,禁止与其他计算机通讯2).“注销802.1认证”:当未安装指定安全补丁时,客户端将注销正常登录并进入修复vlan。8.“检测补丁列表”:通过补丁号添加补丁检测列表,当计算机接入网络的时候会检测计算机是否安装了此列表中列出的补丁9.“限制网络访问后,允许安全服务器连通列表”:填写EDPserver、补丁服务器等安全服务器,当计算机被限制网络访问后只能与这个列表中的IP地址通讯10.“DHCP与静态IP切换”:在安检失败进入访客隔离区后,如果当时的IP为静态IP,则将其转换为DHCP方式,直到安检成功后返回正常工作区时再将DHCP方式还原为以前设置的静态IP(选择了注销802.1认证后,该选项才生效)。策略中心-接入认证策略-进程服务注册表认证1、添加认证模块(见1.1)2、“以上列表认证模块认证失败时提示”:当接入网络的计算机在进行认证时,认证失败则在计算机显示此信息3、“以上列表认证模块认证失败时打开(URL地址)”:当接入网络的计算机在进行认证时,认证失败则将计算机定向到此URL地址4、“对上述URL执行”(1)选择“打开/下载URL地址”:当检测到计算机认证失败的时候直接打开或者下载上边填写的URL地址1235647(2)选择“下载URL地址指定文件并安装”:当检测到计算机认证失败的时候下载上边URL地址指定文件并安装5、“以上列表认证模块认证失败时”:当认证失败时执行以下操作(1)“限制网络访问”:计算机在网内只能与安全服务器列表中的IP地址通讯,禁止与其他计算机通讯(2)“注销802.1认证”:注销本次认证,使计算机重新进行认证6、“DHCP与静态IP切换”:在安检失败进入访客隔离区后,如果当时的IP为静态IP,则将其转换为DHCP方式,直到安检成功后返回正常工作区时再将DHCP方式还原为静态IP(选择了注销802.1认证后,该选项才生效)。7、“限制网络访问后,允许安全服务器连通列表”:填写EDPserver、补丁服务器等安全服务器,当计算机被限制网络访问后只能与这个列表中的IP地址通讯”。2.1、文件存在认证选择“编辑认证模块”进入编辑认证模块页面,填写一个新的认证模块名字,单击“新建模板”,例如新建认证模块名为“ceshi”。(1)在“文件名”处填写要认证的文件名和路径例如:C:\vrvclient\vrv.exe,表示当计算机接入网络后要对此计算机进行安全检测,监测计算机是否存在“文件存在认证列表”中的文件。(2)选择“认证内容”1)“仅认证文件存在”:接入网络的计算机当进行文件存在认证时仅检测计算机是否存在列表中的文件;(1)(2)(3)(4)(5)2)“认证文件版本号”:计算机接入网络后对计算机的检测要检测文件的版本号;3)“认证比较”三种检测比较的方式,指定接入网络的计算机当进行文件存在认证时将计算机中的文件与列表中的文件检测比较的方式是等于/小于等于/大于等于,“比较值”指定标准值。(3)“添加认证条目”将以上设置好的文件和文件的比较内容通过此按钮添加到“文件存在认证列表中”。(4)“删除认证条目”将“文件存在认证列表中”