MAC地址认证实施方案

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

1MAC地址认证实施方案2目录1MAC地址认证概述..................................................................................................................-1-2实施规划.....................................................................................................................................-3-2.1准备阶段.............................................................................................................................-3-2.1.1MAC地址统计...........................................................................................................-3-2.1.2服务器准备................................................................................................................-3-2.1.3接入交换机准备........................................................................................................-4-2.1.4备份准备....................................................................................................................-4-2.2测试阶段.............................................................................................................................-4-2.3实施阶段.............................................................................................................................-5-2.4应急回退方法.....................................................................................................................-6--1-1MAC地址认证概述MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码。若该用户认证成功,则允许其通过端口访问网络资源,否则该用户的MAC地址就被添加为静默MAC。在静默时间内(可通过静默定时器配置),来自此MAC地址的用户报文到达时,设备直接做丢弃处理,以防止非法MAC短时间内的重复认证。为了将受限的网络资源与用户隔离,通常将受限的网络资源和用户划分到不同的VLAN。当用户通过身份认证后,受限的网络资源所在的VLAN会作为授权VLAN从授权服务器上下发。同时用户所在的端口被加入到此授权VLAN中,用户可以访问这些受限的网络资源。要实现MAC地址认证,需要提供以下功能组件:具有MAC地址认证功能的交换机为了能够对接入终端进行MAC地址认证,需要接入交换机拥有MAC认证功能,能够直接对接入终端进行地址认证。Radius服务器一般情况下,接入交换机无法判断终端的MAC地址是否合法,需要将终端的MAC提交给Radius服务器进行验证,在Windowsserver2003中,WindowsIAS服务能够提供标准的Radius服务,但IAS无法建立MAC帐户,利用Windows的ActiveDirectory(AD;活动目录)服务与IAS服务结合,就可以实现认证和管理MAC帐户的功能。具体认证过如图所示:-2-1.客户端接上网线,接入办公网络。2.接入交换机学习到客户端的MAC地址,但不会开启接入端口,而是以客户端的MAC地址作为用户名和密码,向Radius服务器发起认证请求。3.Radius服务器收到接入交换机的查询请求后,立即向DC发出查询请求。4.DC查询自身的AD,看是否有该用户,是否到期,能否接入等信息,如果所需信息是肯定的,则认证成功,若其中一项是否定的,则认证失败。5.DC完成AD查询,回复Radius服务器。6.收到DC的回复后,Radius服务器立即回复接入交换机。7.接入交换机收到Radius服务器的回复后,根据回复的结果,确定是否开启客户端所连接的端口,如果是“肯定”回复,则开启端口,并将客户端的MAC地址以静态方式加入自身MAC地址表,不会老化;如果是“否定”回复,则交换机会拒绝该客户端接入,并在一个静默周期内不允许该客端重新认证。不过,还有一种处理失败认证的方法,交换机可以将未通过认证的终端端口加入一个GuestVLAN,在这个VLAN中可以访问有限资源的网络,但不能访问办公网络。-3-2实施规划2.1准备阶段2.1.1MAC地址统计在整个MAC地址认证实施过程中,MAC地址统计是最慢长的过程,这个过程需要统计所有电脑的网卡、无线网卡,所有网络打印机的MAC地址,其他接入终端的MAC地址等。可以采用如下格式表格进行统计:序号姓名部门设备类型所在位置MAC地址1Tom财务台式机网卡0011023a3d2c2.1.2服务器准备目前,办公网络中已经有两台域控制器,可以直接利用这两台域控制器作为认证服务器,但需完成以下准备工作:1.安装IAS服务。2.在活动目录(AD)中建立一个组织单元(OU),用来存放MAC地址帐户。3.改变域或组织单元对应的密码策略,因为MAC地址帐户的帐户名和密码-4-都是MAC地址,不能满足缺省域安全策略当中的密码策略,建议为存放MAC地址帐户的组织单元建立独立的组策略,禁用该策略中的密码策略,并阻止上层组策略继承到当前组织单元上。2.1.3接入交换机准备接入交换机是MAC地址认证的主体,由它收集MAC地址,并产生MAC地址帐户,也是由它向认证服务器发起认证,响应认证结果。所以,接入交换机必须能够与认证服务器通信,要满足这一点,接入交换机必须可网管,拥有管理接口和管理地址,并且能够ping通认证服务器。准备如下一份表格:序号交换机名称管理地址所在位置登录方式登录用户名及密码2.1.4备份准备为了保证办公网络的正常运行,有必要在实施MAC地址认证前对域控制器、所有接入交换机的配置进行备份,确保所有设备可回退到实施前的状态。2.2测试阶段为了能够保证全网MAC地址认证实施的顺利进行,有必要在小范围内进行MAC地址认证测试,测试环境如下。1.认证服务器一台,可利用现有域控制器。2.可网管接入交换机一台,可利用当前接入交换机。-5-3.电脑若干台。为了不影响办公网络正常使用,测试前需对域控制器和接入交换机配置进行备份,确保可回退到原有状态。测试过程中只对指定交换机以太口进行认证,其他端口不开启认证,这样可将测试影响降到最小。测试过程如下:1.配置IAS服务,添加测试交换机,开启Radius服务。2.为测试接入电脑建立MAC帐户,帐户名和密码都是其MAC地址,并允许拔入。3.配置接入交换机,全局开启MAC地址认证,并进入测试电脑所连接的以太口,开启该端口的MAC地址认证,其他端口不开启MAC地址认证。4.接入测试电脑,开启一个ping测试,看其能否ping通域控制器。5.在域控制器中打开“事件查看器”,在“系统”中查看是否有IAS成功事件,如果有表示测试成功。6.接入一台未添MAC地址帐户的电脑,利用ping测试是否能访问其他地址,结果应当是不能访问其他地址;修改IP,测试其能否与其他电脑地址冲突,结果应当是不能产生地址冲突;检查域控制器“事件查看器”的“系统”事件,是否有IAS未成功认证事件,结果应当是有多个未成功认证事件。2.3实施阶段测试成功后,说明服务器和交换机配置都正确,可进入到实施阶段。具体实施过程如下:1.建立全网MAC地址帐户这个过程需要向AD中添加所有合法的MAC地址帐户,包括合法台式电脑、笔记本电脑的MAC地址,网络打印机的MAC地址,其他类型终端的MAC地址等,并指定这些帐户永久有效,不能更改密码,全天能够登录,允许拔入等信息。2.配置IAS服务测试阶段已经配置好了IAS服务,实施阶段只需向IAS中添加所有要开-6-启MAC地址认证的接入交换机管理地址。3.配置接入交换机按照测试阶段接入交换机的配置,配置其他需开启MAC地址认证的交换机,并将这些交换机接入端口开启MAC认证。注意,不能开启上连端口的MAC地址认证功能。2.4应急回退方法一般情况下,在经过测试的情况下,MAC地址认证功能不会有什么问题。但认证服务器失效,或很多MAC地址帐户不正确,会造成大面积断网,此时有必要进行应急回退,恢复到未开启MAC地址认证状态。回退的方法很简单,只需进入接入交换机,全局关闭交换机MAC地址认证功能即可,不需进入所有以太口关闭MAC地址认证。由于实施阶段只是向接入交换机添加MAC地址认证功能,没有改动原有配置,保持了原有网络结构,所以,关闭MAC地址认证功能之后,就恢复到原有网络状态。

1 / 8
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功