终端准入--802.1X准入实施方案

宝界802.1X准入解决方案陈涛扣扣12046732540510-81018135一、需求背景1.1、为什么要用802.1X准入？在一些军队或保密的企事业,对接入内网的终端主机非常严格时才要用到802.1x准入。1.2、什么样的网络环境需要802.1X准入？802.1x准入控制需要所有交换机支持802.1x协议，接入终端都能支持802.1x，能够真正的做到对网络边界的保护。二、解决方案2.1、802.1X准入工作原理802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/WAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。2.2、802.1X准入部署拓朴图网络拓朴结构网络拓朴说明：①设备是接在三层核心交换机上，旁路方式。②交换机都要开启802.1X，下面不允许接入非网管交换机等。2.3、802.1X准入服务相关设置2.3.1、宝界802.1X准入基本参数设置【启用802.1X准入】此复选框勾选，代表与交换机的联动的802.1X认证服务启动，终端准入网关做为一个独立的RADIUS认证服务器运行。2.3.2、宝界RADIUS服务设置在802.1X准入环境中，宝界终端准入网关，充当RADIUS服务器，，802.1X客户端到与宝界终端准入系统中的用户库进行对比与认证。增加、删除监控的交换机交换机RADIUS参数设置2.3.3、802.1X交换机相关设置2.3.3.1华为交换机配置管理VlanIP地址system-view//进入软件管理模式interfacevlan-interface1//创建并进入管理VLAN1接口视图ipaddressyouripyourmask//为管理Vlan接口指定IP地址、子网掩码配置Telnet登录用户system-view//进入软件管理模式user-interfavevty0//进入虚拟连接端口0管理setauthenticationpasswordsimpleyourpassword//添加管理Vlan密码userprivilegelevel0-3//提升密码权限3最高保存信息quit//退出至最低级权限save//保存配置配置802dot1xsystem-view//进入软件管理模式802dot1x//开启802.1x模式dot1xinterfaceethernet0/1//开启指定端口802.1X认证dot1xauthentication-methodchap//指定认证方式chapdot1xport-controlauto//使配置生效配置Radius服务器system-view//进入软件管理模式radiusscheme192.168.1.1//创建RADIUS服务器组并进入其视图primaryauthentication192.168.1.1//设置主RADIUS认证/授权的IP地址keyauthenticationBJ-RadiusServer//设置RADIUS认证/授权的加密密钥，BJ-RadiusServer密钥不能随便更改否则导致接入控制认证失败配置Domainsystem-view//进入软件管理模式domainDomainName//创建Domain并进入其视图radius-schemeYourRadiusSchemeName//使用的Radius方案名domaindefaultenableDomainName//配置为默认的Domain调试信息terminalmonitorterminaldebuggingdebuggingradiuspacket2.3.3.2H3C交换机H3Csystem-viewSystemView:returntoUserViewwithCtrl+Z.#（可选）为交换机配置能够与服务器通讯的IP地址。[H3C]interfacevlan-interface1[H3C-Vlan-interface1]ipaddress192.168.0.253255.255.255.0#开启全局802.1x特性。[H3C]dot1x#开启指定端口Ethernet1/0/1的802.1x特性。[H3C]dot1xinterfaceEthernet1/0/1#设定eap认证方式，以便支持eap-TLS证书认证机制。[H3C]dot1xauthentication-methodeap#（可选）设置接入控制方式（macbased代表基于MAC地址认证，适用于一个端口需要接多台主机时对每一台主机都认证；portbased代表基于端口，多台主机时一台认证通过就全部放开。缺省情况下就是基于MAC地址的）。[H3C]dot1xport-methodmacbasedinterfaceEthernet1/0/1#创建RADIUS方案Radius1并进入其视图。[H3C]radiusschemeRadius1#设置主认证RADIUS服务器的IP地址。[H3C-radius-Radius1]primaryauthentication192.168.0.961812#设置软件与认证RADIUS服务器交互报文时的加密密码。[H3C-radius-Radius1]keyauthenticationRadiusServer#设置软件不进行计费。[H3C-radius-Radius1]accountingoptional#（可选）设置RADIUS为标准方式。[H3C-radius-Radius1]server-typestandard#（可选）设置软件向RADIUS服务器重发报文的时间间隔与次数。[H3C-radius-Radius1]timer5[H3C-radius-Radius1]retry5#（可选）设置软件向RADIUS服务器发送实时计费报文的时间间隔。[H3C-radius-Radius1]timerrealtime-accounting15#指示软件从用户名中去除用户域名后再将之传给RADIUS服务器。[H3C-radius-Radius1]user-name-formatwithout-domain[H3C-radius-radius1]quit#创建域YS并进入其视图。[H3C]domainYS#指定Radius1为该域用户的RADIUS方案。[H3C-isp-YS]schemeradius-schemeRadius1[H3C-isp-YS]quit#配置域YS为缺省用户域。[H3C]domaindefaultenableYS2.3.3.3思科交换机使用CISCO2950交换机进行配置，首先用telnet连接到交换机，并使用初始密码cisco进行登录。然后输入以下命令进行交换机802.1x配置：enable输入密码（ciscocisco）configt/*进入配置模式*/aaanew-model/*启用aaa认证，启用后交换机将不能通过telnet正常登录，需重新配置时只能重启交换机使其恢复初始状态*/aaaauthenticationlogindefaultnone/*配置交换机的登录方式不采用3A认证，这可以避免telnet登录时也需要输入3A用户名及密码*/aaaauthenticationdot1xdefaultgroupradius/*配置802.1x认证使用radius服务器数据库*/radius-serverhost192.168.0.132keyYS-RadiusServer/*指定radius服务器地址为192.168.0.132，通信密钥为YS-RadiusServer，该密钥为局域网认证软件的通用密钥，端口不用制定，默认1812和1813*/intvlan1/*可选。准备配置IP地址*/ipadd192.168.0.16255.255.255.0/*可选。配置交换机的ip地址，这里的ip地址用于与radisu服务器通讯，若交换机具备的IP地址可以与Radius服务器通讯，则不需重新配置*/noshutintrangef0/1–2/*配置1到2号端口*/switchportmodeaccess/*设置端口模式*/dot1xport-controlauto/*启用802.1x*//*上面的设置使1、2端口接受802.1x认证，其他端口则为完全放开状态*/exit/*退回全局配置模式*/dot1xre-authenticationdot1xsystem-auth-control/*启用全局802.1x认证，3550必配*/exit至此，交换机完全配置完毕，可以使用配置好的端口进行认证测试，而将安装好的服务器连接到不受控的端口上。如果需要查看当前配置，可以使用showrunning-config命令2.3.4、802.1X客户端安装与设置2.3.4.1、WINDOWS自带的802.1X客户端我的电脑，右键单击“属性”。此计算机的OS版本是WindowsXPSP3。WiredAutoconfig服务是在以太网口上执行IEEE802.1x身份认证，而ServicePack3默认将XP的WiredAutoconfig的启动类型设置为手动，所以需要更改为自动并确保该服务的状态是启动。方法如下：控制面板中选择“管理工具”。选择“服务”。启动类型选择“自动”，点击“启动”按钮。注意：以上问题在windowsxpsp2上不存在。本地连接属性选择“身份验证”选项卡。网络身份验证方法选择“受保护的EAP”，点击“设置”按钮。根据用户需要，决定是否勾选“验证服务器证书”，如果勾选，则“连接到这些服务器”中的内容为空。在“受信任的证书颁发机构”中选择“lan”,这是我们建立的CA服务器的名称。在通过身份验证以后，客户端会自动在“连接到这些服务器”填入服务器的名称。在“选择身份验证方法”中选择“安全的密码（EAP-MSCHAPv2）”,然后点击“配置”勾选“自动使用Windows登录名和密码”，这样用户在登录的时候只需要输入一次域的用户帐户和密码就可以完成域和802.1X的双重认证。回到原对话框，点击“确定”完成身份验证的设置，弹出下面的信息：以上就完成了对客户端的设置。2.3.4.2、宝界专用的802.1X客户端做身份认证。802.1X客户端身份认证802.1X身份认证客户端参数设置2.4、接入终端入网流程演示802.1X认证流程1、未注册客户端接入网2、未注册客户端无用户名密码，长时间得不到验证，进入GuestVlan.3、在GuestVlan中进行HTTP访问被重定向至注册页面4、下载客户端程序5、客户端获得802.1X策略，启动认证程序。6、输入用户名和密码7、进入正常网络。三、常见问题①802.1X准入的优缺点？答：802.1X准入的优点是安全级别高。802.1X准入方式比较严密，难以破解。用户可采用微软操作系统自带802.1X功能进行身份认证。但缺点是802.1x准入控制要求,必须安装802.1X客户端；安装配置较复杂。交换机必须支持新的802.1x协议。交换机厂家的准入控制通常需要企业更换新的交换机来实现准入控制。但由于这样和那样的原因，企业很难避免在新的交换机下面接入和使用老旧交换机和Hub。由于交换机在实现802.1x协议时，是以交换机端口为基础实现的。当没有完成认证之前，交换机端口是处于关闭状态，或被放在隔离VLAN中。只有当认证通过后，交换机端口会打开，并重新将交换机端口重新放在不同的办公VLAN中。但当802.1x交换机端口下挂Hub或二层交换机时，一旦有一台终端通过802.1x认证后，端口就会打开，并被设置为新的办公VLAN。这就造成其他共同接在Hub上的其他终端就可以不经过认证，进入到办公内网。②802.1X准入实施过程中有那些注意点？答：交换机必须支持新的8