802.1x准入控制技术使用手册(北信源).doc

北信源桌面终端标准化管理系统准入控制技术使用手册2010年5月目录一、802.1x认证模块原理21-1. 802.1x的工作机制21-2. 802.1x的认证过程3二、VRVEDP-NAC系统硬件配置及实施方案42-1.VRVEDP-NAC相关系统硬件配置42-2.VRVEDP-NAC实施方案4三、802.1x认证应用注册事项23四、802.1x认证应急预案254-1.预案流程254-2.应急事件处理方法25一、802.1x认证模块原理1-1. 802.1x的工作机制IEEE 802.1x认证系统利用EAP（Extensible Authentication Protocol，可扩展认证协议）协议，作为在客户端和认证服务器之间交换认证信息的手段。802.1x认证系统的工作机制在客户端PAE与设备端PAE之间，EAP协议报文使用EAPOL封装格式，直接承载于LAN环境中。l 在设备端PAE与RADIUS服务器之间，EAP协议报文可以使用EAPOR封装格式（EAP over RADIUS），承载于RADIUS协议中；也可以由设备端PAE进行终结，而在设备端PAE与RADIUS服务器之间传送PAP协议报文或CHAP协议报文。l 当用户通过认证后，认证服务器会把用户的相关信息传递给设备端，设备端PAE根据RADIUS服务器的指示（Accept或Reject）决定受控端口的授权/非授权状态。1-2. 802.1x的认证过程802.1x认证系统的认证过程1. 当用户有上网需求时打开802.1x客户端，输入已经申请、登记过的用户名和口令，发起连接请求（EAPOL-Start报文）。此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。2. 交换机收到请求认证的数据帧后，将发出一个请求帧（EAP-Request/Identity报文）要求用户的客户端程序发送输入的用户名。3. 客户端程序响应交换机发出的请求，将用户名信息通过数据帧（EAP-Response/Identity报文）送给交换机。交换机将客户端送上来的数据帧经过封包处理后（RADIUS Access-Request报文）送给RADIUS服务器进行处理。4. RADIUS服务器收到交换机转发的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字通过RADIUS Access-Challenge报文传送给交换机，由交换机传给客户端程序。5. 客户端程序收到由交换机传来的加密字（EAP-Request/MD5 Challenge报文）后，用该加密字对口令部分进行加密处理（此种加密算法通常是不可逆的，生成EAP-Response/MD5 Challenge报文），并通过交换机传给RADIUS服务器。6. RADIUS服务器将加密后的口令信息（RADIUS Access-Requeset报文）和自己经过加密运算后的口令信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息（RADIUS Access-Accept报文和EAP-Success报文）。交换机将端口状态改为授权状态，允许用户通过该端口访问网络。如果用户名和口令不正确，则将该端口状态改为非授权状态，将将该端口跳转到guest-vlan.7. 客户端也可以发送EAPoL-Logoff报文给交换机，主动终止已认证状态，交换机将端口状态从授权状态改变成未授权状态。二、VRVEDP-NAC系统硬件配置及实施方案2-1.VRVEDP-NAC相关系统硬件配置策略服务器（VRVEDP-SERVER）：专用服务器，即安装桌面终端标准化管理系统的服务器。配置要求如下，Pentium 800 以上CPU，1G以上内存, 硬盘80G，10/100BaseTX网络接口。Windows2000/2003 server（ServicePack4.0）操作系统、IE6.0。Radius认证服务器：微软的IAS，CISCO ACS可同策略服务器使用同一台服务器。LINUX FREE RADIUS需要单独一台PC计算机：Pentium 800 以上CPU，512M以上内存, 硬盘20G。同时为保证RADIUS服务器能够同网络中的交换机正常通讯，RADIUS服务器需要开启 1812、1813、1645、1646端口。若在本地网络中RADIUS服务器同交换机之间安装网络防火墙，或桌面终端主机同管理服务器之间存在防火墙，请注意注意端口开放问题（管理服务器TCP 88、桌面终端TCP 22105）。2-2.VRVEDP-NAC实施方案在实施VRVEDP-NAC前，首先需要根据自身的网络环境，明确需要实现的准入功能，从而确定准入控制的实施方案。2-2-1.具休实施方案2-2-1-1用户需求用户在调查过自身网络环境之后，确定要配置准入功能的交换机位置以及要开启的端口，并且要求实现以下功能：1.准入控制系统只需要一个正常的工作区，注册终端用户在接入交换机认证端口后能自动进行认证，认证成功后可以访问内网。2.未注册终端接入交换机认证端口后认证失败，不能正常访问内网，安装注册程序后注册成功后，可以自动认证成功并访问内网。2-2-1-2实现方式从上面的用户需求来看，用户的要求主要可以分为注册终端和非注册终端两个方面的需求。对注册终端而言，只要求实现能够自动进行认证。对未注册终端来说，在未安装注册程序成文注册终端之前接入交换机认证端口后，禁止其访问内网使用内网资源。通过移动存储设备拷贝注册程序到未注册终端，未注册终端安装注册程序进行注册，并成为注册终端后也能实现自动认证，认证成功后能正常访问内网，使用内网中的资源。2-2-1-3配置前的准备要实现上述功能，802.1x认证模块需要如下的硬件环境:一台安装了桌面终端标准化管理系统服务器接在正常的工作区VLAN中，主要负责在配置802.1x认证模块之前向管辖范围内的终端下发802.1x认证策略，同时也可作为从（备份）radius服务器。一台安装了IAS的WIDOWS 2003系统的服务器接在正常工作区VLAN中，作为主radius服务器，在整个认证过程中作为接入认证的服务器，根据定义的规则判断客户端是否准予接入。配置准入模块的交换机支持802.1x认证协议2-2-1-4配置步骤配置802.1x接入认证模块比较复杂，主要涉及到交换机、radius服务器、认证终端、强制注册服务器等设备，大体配置步骤如下：第一步：首先在桌面标准化管理系统给需要认证的终端下发802.1x认证策略，配置802.1x认证策略，设置为单用户认证后下发给需要认证的注册终端。第二步：配置桌面终端管理系统的注册程序，将802.1x认证策略打包进新的注册程序。第三步：配置交换机，确定工作区VLAN，根据需要开启认证端口。第四步：将radius服务器放置在正常工作区VLAN中，配置radius服务器，根据需要设置接入认证规则。2-2-1-5详细配置过程802.1x认证策略的下发进入桌面终端标准化管理系统的WEB平台中的策略中心模块的接入认证策略，打开“802.1x认证策略”进入策略配置界面。在“密码认证方式”中选择“单用户名密码”认证方式，并在其后的用户名和密码框中输入相应的用户名和密码，该用户名和密码就是以后这些终端进行接入认证时需要用到的用户名和密码，记住该用户名和密码，因为其后的radius配置中还需用到。配置界面如图：（2）保存策略之后，将策略分配给需要认证的设备。交换机配置思科交换机配置通过超级终端，进入思科交换机配置界面，输入如下命令开启端口的802.1x认证。switch#config t ；进入全局配置模式Switch(config)# aaa new-model /启用aaa认证Switch(config)# aaa authentication login default enable /(注意：telnet 到交换机需要usename的不用此命令：没有usename，直接输入密码的要加入此命令)Switch(config)# aaa authentication dot1x default group radius/配置802.1x认证使用radius服务器数据库Switch(config)# aaa authorization network default group radius Switch(config)# radius-server host 10.64.226.20 key ld12345 /设置主radius服务器地址和口令（地址和口令需要修改）Switch(config)# radius-server host 10.64.226.22 key ld12345 /设置备份radius服务器地址和口令（地址和口令需要修改）Switch(config)# radius-server retransmit 1 /配置Radius服务器的超时定时器，默认值3switch(config)#radius-server vsa send authentication ；配置VLAN分配必须使用IETF所规定的VSA值Switch(config)#dot1x system-auth-control /全局启动dot1x认证以太网接口模式下：Switch(config-if)#switchport mode access spanning-tree portfast dot1x port-control auto /在需要认证的端口下开启dot1x认证最后记住保存.不需要开启认证的命令是：Switch(config-if)# no dot1x port-control auto (哪个端口现在不需要认证了就用这个命令)Switch(config)# no dot1x system-auth-control （全部不启用认证）华为交换机配置跟思科交换机一样，通过超级终端进入交换机配置界面，输入如下命令。system-view （进入系统配置模式）radius scheme TEST (新建一个radius方案)primary authentication 10.65.46 20 1812 （设定认证服务器IP与端口号）primary accounting 10.65.46.20 1813 （设定计费服务器IP与端口号）accounting optional （设置此方案不计费）keyauthentication nzdcjc12 （填写服务器与交换机共享机密）keyaccounting nzdcjc12 （填写服务器与交换机共享机密）secondrad authentication 10.64.226.20 1812 (指定备份认证服务器)secondrad accounting 10.64.226.20 1813(指定备份计费服务器)key authentication nzdcjc12key accounting nzdcjc12user-name-format without-domain （将认证帐号去除域名）quitdomain vrvtest (新建一个域名)radius-scheme test (将RADIUS策略应用到此域)（注意：如果无法打出radius-scheme test命令的话，请打下面的命令，功能也是将radius策略应用到vrvtest域authentication default radius-scheme testauthorization default radius-scheme testaccounting default radius-scheme test）quitdomain default enable vrvtest (将新建的域作为缺省域)interface Ethernet1/0/2 (进入需要设定开启802.1x的端口号)dot1x （开启2号端口的802.1x功能）dot1x port-method portbased （配置端口上进行接入控制的方式为portbased，MAC模式时不能设置GUEST VLAN）dot1x port-control auto （配置端口上进行接入控制的模式为auto）quit (退出2号端口模式)dot1x （全局配置下开启全局802.1x）dot1x authentication-method eap （设定802.1x的认证方法为EAP）最后记住保存，不需要开启认证的命令是：undo dot1x (全局配置下使用)radius服务器配置交换机配置结束后哦，我们要对radius服务器进行配置，主要分为配置主radius服务器和在主radius服务器上设置主从radius服务器主Radius服务器配置（1）安装RADIUS进入添加/删除程序中的添加/删除Windows组件，选择网络服务中的Internet验证服务（2）安装IAS后，进入IAS配置界面（3）右键点击RADIUS客户端，选择新建RADIUS客户端。名称可任意填写，客户端地址为验证交换机的管理地址（即所有接入层启用802.1x的交换机的管理IP，有多少个就要建多少个RADIUS客户端，这里只以一个作为例子。），点击下一步。（4）选择RADIUS Standard，共享机密为交换机中所配置的key。点击完成。（5）右键点击远程访问策略，单击新建远程访问策略。（6）为策略取一个名字，点击下一步（7）选择以太网，点击下一步（8）选择用户，点击下一步（9）使用MD5质询，点击下一步，并完成。（10）在右面板中右键点击所新建的策略，选择属性。（11）点击添加，选择Day-And-Time-Restrictions（12）选择添加，选择允许，单击确定。（13）删除NAS-Port-Type匹配”Ethernet”，并选择授予访问权限（14）启用本地安全策略安全设置账户策略密码策略用可还原的加密来储存密码。（注意：这步一定要在新建远程登录用户前完成！）（15） 添加远程登录用户。在本地用户和组中新建一个用户，该用户名和密码要与先前的802.1x认证策略中输入的用户名和密码对应起来。（注意：添加远程登录用户时，必须在IAS配置完之后再添加。）（16）右键点击新建的用户，进入属性，选择隶属于，删除默认的USERS组（17）点击拨入，设置为允许访问（18）IAS配置完成，确保Internet Authentication Service服务处于启动状态。（19）VRV EDP Agent认证成功。（手工认证的图）从radius服务器的配置如果需要从（备份）radius服务器的话，还需要在主radius服务器上设置主从radius服务器，具体配置如下：（1）进入主radius服务器的IAS控制台（2）新建远程RADIUS服务器组（3）指定主服务器与备份服务器IP地址，在主服务器配置即可。注意：从radius服务器其他配置与主radius服务器配置相同。配置完以上各个服务器、交换机和客户端后，802.1x接入认证模块就配置完毕了。三、802.1x认证应用注册事项实施准备阶段需要注意的问题1. 根据华能澜沧江水电有限公司内网的网络拓扑结构图，决定radius服务器、以及注册程序下载服务器安放的位置。建议将以上服务器都安装在主交换机上，这样对管辖网络范围所有终端，都可以根据需要开启对其的802.1x认证，从而方便管理员的管理。2. 需要配备备份（从）radius服务器，备份radius服务器与主radius服务器配置相同。当主radius服务器出现故障无法正常工作时，终端可以通过备份radius服务器实现正认证功能，避免发生由于主radius服务器发生故障导致网络内终端无法接入认证的情况。3. 确保要开启802.1x认证功能的交换机都支持802.1x认证，根据网络拓扑结构，明确管理网络范围内需要对哪些终端进行802.1x 认证，哪些重要服务器及无法进行认证的设备（如网络打印机等）不需要进行802.1x，明确这些设备具体接在交换机的哪些端口上，汇总整理后编写出需开启认证交换机端口列表的文档，方便日后的实施工作。实施阶段需要注意的问题1. 实施802.1x是一项比较复杂而且工作量较大的工程，在实施前应制定出详细的实施计划，在实施过程中按照实施计划开展实施工作。建议实施计划分为四个步骤：第一步，先架设好radius服务器及注册程序下载服务器，然后在小范围内进行测试；第二步，选定某一楼层，按照之前准备好的实施终端情况表在该楼层的某一部门或办公室的接入层交换机上开启802.1x认证，在该部门或办公室实施完毕后进行测试，测试成功后，再在该楼层其他部门或办公室交换机上实施802.1x；第三步，根据第二步实施的步骤，按楼层逐步在各部门或办公室的交换机上实施802.1x；第四步，在各楼层实施完毕后，进行大范围的测试。 分步骤实施能避免由于实施过程中的错误造成大面积终端无法认证或不能连接内网的情况出现，降低实施的风险，最大限度的减少实施802.1x对正常工作的影响。2. 每台交换机的工作区VLAN上要预留一个非认证端口作为该交换机与上层交换机的通信端口，保证每台交换机能与radius服务器正常通信。3. 在交换机上配置802.1x之前，最好先将802.1x认证策略下发下去。4. 在配置交换机时，最好是一个一个的开启端口的802.1x认证功能。5. 在实施中，可能会遇到交换机认证端口下接HUB或非认证交换机的情况，当终端接入这类HUB或非认证交换机时，首先要判断终端是否能认证，也就是说认证报文信息是否能穿透这类HUB或非认证交换机。其次，如果单个终端能进行认证的话，要根据所接上层开启了认证交换机型号做相应的处理。6. 大型网络的环境比较复杂，测试人员在测试过程中可能会出现认证失败，因此，在测试时测试人员要耐心等待，直到终端认证过程结束后再做相应的处理。7. 实施完毕后，根据之前的网络拓扑图，将启用和不启用802.1x认证的终端信息整理成相应的文档，方便日后的维护。日常运行维护阶段要注意的问题1. 定期查看radius服务器上的事件查看器，出现认证失败的信息后，能根据事件查看器上的信息判断认证失败的原因。2. 当某一交换机发生故障导致某一楼层或部门、办公室内的所有终端无法认证时，通过实施完毕后准备好的文档，能方便判定出现故障的设备，及时修复。3. 应急修复故障故障交换机时，为了尽快恢复网络连接，可以先停用802.1X认证功能，这样终端就可以访问网络，不影响正常的工作，待下班或放假后再做配置、恢复交换机配置。四、802.1x认证应急预案4-1.预案流程1、对桌面终端标准化管理系统和Radius服务器进行数据备份工作；2、桌面终端标准化管理系统所在服务器出现故障，该系统无法启动等。通过故障检验，确认短时间内无法解决，则启动此预案流程；3、Radius主用服务器出现故障，客户端自动在备用服务器进行认证，管理员不需做操作；4、桌面终端标准化管理系统服务器出现故障，管理员启用备用服务器；5、系统切换完毕后，进行系统功能测试；6、通过系统日志、主机防护系统日志、防火墙日志、入侵检测系统日志等，对事件进行审计，对损失进行评估，追查事件的发生原因；7、消除隐患、调整策略；8、相关部门进行