802.1x准入控制技术使用手册(北信源).

1、北信源桌面终端标准化管理系统准入控制技术使用手册2010年5月目录一、802.1x认证模块原理（31-1.802.1x的工作机制（31-2. 802.1x的认证过程（4二、VRVEDP-NAC系统硬件配置及实施方案（52-1.VRVEDP-NAC相关系统硬件配置（52-2.VRVEDP-NAC 实施方案（5三、802.1x认证应用注册事项（22四、802.1x认证应急预案（244-1.预案流程（244-2.应急事件处理方法（24一、802.1x认证模块原理1-1.802.1x的工作机制IEEE 802.1x认证系统利用 EAP（Extensible Authentication Protoco

2、l,可扩展认证 协议协议，作为在客户端和认证服务器之间交换认证信息的手段。L 2 OJr puk!iFoil uuiiJiecL4Acctss blocked802.1x认证系统的工作机制在客户端PAE与设备端PAE之间,EAP协议报文使用EAPOL封装格式，直接承 载于LAN环境中。在设备端PAE与RADIUS服务器之间，EAP协议报文可以使用EAPOR封装格 式（EAP over RADIUS,承载于RADIUS协议中 也可以由设备端 PAE进行终结，而在 设备端PAE与RADIUS服务器之间传送PAP协议报文或CHAP协议报文。当用户通过认证后，认证服务器会把用户的相关信息传递给设备端，

3、设备端PAE 根据RADIUS服务器的指示（Accept或Reject决定受控端口的授权/非授权状态。FAPOL-StnnEAPOLEAP-Req 此筑de 口 MyEAP- Respon se4 de mity bEAP-RequestMP R屏洸!吧吧7*EAP-SuccessRADIUSRad： us- A ccew” R 已qiK stRAidius-Acccss-CballctigcRiillius-ALCrrss-RriiiitrstRudi吟 Acces Accept1-2. 802.1x的认证过程802.1x认证系统的认证过程1.当用户有上网需求时打开801 .1x客户端，输入

4、已经申请、登记过的用户名和口令，发起连接请求（EAPOL- Start报文。此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过 程。2 .交换机收到请求认证的数据帧后，将发出一个请求帧（EAP-Request/Identity报 文要求用户的客户端程序发送输入的用户名。3 .客户端程序响应交换机发出的请求，将用户名信息通过数据帧（EAP- Response/Identity报文送给交换机。交换机将客户端送上来的数据帧经过封包处理 后（RADIUS Access-Request报文送给RADIUS服务器进行处理。4 . RADIUS服务器收到交换机转发的用户名信息后，将该信息与数据

5、库中的用 户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加 密处理，同时也将此加密字通过 RADIUS Access-Challenge报文传送给交换机，由交 换机传给客户端程序。5 .客户端程序收到由交换机传来的加密字 （EAP-Request/MD5 Challenge报文后, 用该加密字对口令部分进行加密处理（此种加密算法通常是不可逆的，生成EAP- Response/MD5 Challenge文，并通过交换机传给RADIUS服务器。6 . RADIUS服务器将加密后的口令信息（RADIUS Access-Requeset报文和自己 经过加密运算后的口令信息进行

6、对比，如果相同，则认为该用户为合法用户，反馈认证 通过的消息（RADIUS Access-Accept报文和EAP-Success报文。交换机将端口状态 改为授权状态，允许用户通过该端口访问网络。如果用户名和口令不正确，则将该端口状态改为非授权状态，将将该端口跳转到guest-vlan.7 .客户端也可以发送EAPoL-Logoff报文给交换机，主动终止已认证状态，交换 机将端口状态从授权状态改变成未授权状态。二、VRVEDP-NAC系统硬件配置及实施方案2-1.VRVEDP-NAC相关系统硬件配置策略服务器（VRVEDP-SERVER:专用服务器，即安装桌面终端标准化管理系统 的服务器。配置

7、要求如下 FentiumlH 800以上CPU,1G以上内存,硬盘80G, 10/100BaseTX网络接口。Windows2000/2003 server（ServicePack4.01作系统、 IE6.0。Radius认证服务器：微软的IAS,CISCO ACS可同策略服务器使用同一台服务 器。LINUX FREE RADIUS 需要单独一台 PC计算机Pentiumm800以上CPU, 512M以上内存，硬盘20G。同时为保证RADIUS服务器能够同网络中的交换机正 常通讯,RADIUS服务器需要开启1812、1813、1645、1646端口。若在本地网络中 RADIUS服务器同交换机之

8、间安装网络防火墙，或桌面终端主机同管理服务器之间 存在防火墙，请注意注意端口开放问题（管理服务器TCP 88、桌面终端TCP 22105c2-2.VRVEDP-NAC 实施方案在实施VRVEDP-NAC前，首先需要根据自身的网络环境，明确需要实现的准入 功能，从而确定准入控制的实施方案。2-2-1.具休实施方案2-2-1-1.用户需求用户在调查过自身网络环境之后，确定要配置准入功能的交换机位置以及要开 启的端口，并且要求实现以下功能：1 .准入控制系统只需要一个正常的工作区，注册终端用户在接入交换机认证端口 后能自动进行认证，认证成功后可以访问内网。2 .未注册终端接入交换机认证端口后认证失败

9、，不能正常访问内网，安装注册程 序后注册成功后，可以自动认证成功并访问内网。2-2-1-2.实现方式从上面的用户需求来看，用户的要求主要可以分为注册终端和非注册终端两个 方面的需求。对注册终端而言，只要求实现能够自动进行认证。对未注册终端来说 ， 在未安装注册程序成文注册终端之前接入交换机认证端口后，禁止其访问内网使用内网资源。通过移动存储设备拷贝注册程序到未注册终端，未注册终端安装注册程 序进行注册，并成为注册终端后也能实现自动认证，认证成功后能正常访问内网，使用 内网中的资源。2-2-1-3.配置前的准备要实现上述功能，802.1x认证模块需要如下的硬件环境：一台安装了桌面终端标准化管理系

10、统服务器接在正常的工作区VLAN中，主要负责在配置802.1x认证模块之前向管辖范围 内的终端下发802.1x认证策略，同时也可作为从（备份radius服务器。一台安装了 IAS的WIDOWS 2003系统的服务器接在正常工作区VLAN中,作为主radius服务器，在整个认证过程中作为接入认 证的服务器，根据定义的规则判断客户端是否准予接入。配置准入模块的交换机支持802.1x认证协议2-2-1-4.配置步骤配置802.1x接入认证模块比较复杂，主要涉及到交换机、radius服务器、认证 终端、强制注册服务器等设备，大体配置步骤如下：第一步:首先在桌面标准化管理系统给需要认证的终端下发802.

11、1x认证策略，配置802.1x认证策略，设置为单用户认证后下发给需要认证的注册终端。第二步:配置桌面终端管理系统的注册程序，将802.1x认证策略打包进新的注册 程序第三步:配置交换机，确定工作区VLAN,根据需要开启认证端口。第四步:将radius服务器放置在正常工作区 VLAN中，配置radius服务器，根据需 要设置接入认证规则。2-2-1-5.详细配置过程802.1x认证策略的下发进入桌面终端标准化管理系统的 WEB平台中的策略中心模块的接入认证策略 打开“802.1以证策略”进入策略配置界面。在 密码认证方式”中选择 单用户名密 码”认证方式，并在其后的用户名和密码框中输入相应的用户

12、名和密码，该用户名和密 码就是以后这些终端进行接入认证时需要用到的用户名和密码，记住该用户名和密 码，因为其后的radius配置中还需用到。配置界面如图：提hglSJWE 总里.1口8?以LE： 302 nHtAUil杏询认证方式：，福场新笠,1 单用户名生码L1怔用户名二 版七营打工|靠用尸有S：码认证罐澧以证失勤1次启.专小自动UiE.。户认证 在段存量转履的情况下便用 hfs：二眄：IS3砾二华注:机&府通 受保护的e种理*n方安科生股时，1母理宜安桎孙明,选A正常工作区.通外正常工也区后曾在右下龟的府磔示）O *3辎H蛔进A修小3 用F名：|1 CM ： |在正窜为会坏谴二F冲后再造入

13、桂父13 口忙T动君。环征5证知:后使用用户名士.e：r癌叮sr迷电后主副丰觉口 了口变并学力小江犀鲁制的I?唧定功i靛d证黯事包传协稗式：G唱J#，楷过*m三万拚痣小江：不过浦。融囤酒江幡尸：鬻名皿审（户：多塞尸E荤要隹用出峥时旧福西置一 1窟亘百丁 wiffi-淳存事威（2保存策略之后，将策略分配给需要认证的设备16B. 1.25 - 分配对象 分配对象第一步：选择策喀分配方式按创建区域分配广技工F范围分配按操作系线分配按搜索设备分配技蛆织结构/自定俎分配厂按注册部门分配济轨有设备IIBIIMIBIBp下一步清空对象列表 关闭Internet交换机配置思科交换机配置通过超级终端，进入思科交

14、换机配置界面，输入如下命令开启端口的802.1x认 证。switch#config t ;进入全局配置模式Switch(config# aaa new-model /启用 aaa认证Switch(config# aaa authentication login default enable/（注意:telnet到交换机需要usename勺不用此命令：没有usenamej（接输入密码的要加入此命令Switch(config# aaa authentication dot1x default group radius /己置 802.1x 认证使 用radius服务器数据库Switch(confi

15、g# aaa authorization network default group radiusSwitch(config# radius-server host 10.64.226.20 key ld12345 股置主 radius服务器 地址和口令(地址和口令需要修改Switch(config# radius-server host 10.64.226.22 key ld12345 股置备份 radius服务 器地址和口令(地址和口令需要修改Switch(config# radius-server retransmit 1 /配置 Radius服务器的超时定时器，默认 值3switch(

16、config#radius-server vsa send authenticationW已置 VLAN 分酉己必须使用IETF所规定的VSA值Switch(config#dot1x system-auth-control 标局启动 dotlx 认证以太网接口模式下：Switch(config-if#switchport mode accessspanning-tree portfastdotlx port-control auto /4需要认证的端口下开启 dotlx认证最后记住保存.不需要开启认证的命令是：Switch(config-if# no dotlx port-control au

17、to (哪个端 口现在不需要认证了 就用这 个命令Switch(config# no dotlx system-auth-control 住部不启用认证华为交换机配置跟思科交换机一样，通过超级终端进入交换机配置界面，输入如下命令。systemview （进入系统配置模式radius scheme TEST 新建一个 radius 方案primary authentication 10.65.46 20 1812设定认证服务器 IP与端口号 primary accounting 10.65.46.20 1813设定计费服务器 IP 与端口号 accounting optional 段置 此方案不

18、计费key authentication nzdcjc12旗写服务器与交换机共享机密key accounting nzdcjc12俚写服务器与交换机共享机密secondrad authentication 10.64.226.20 1812（定备份认证月艮务器 secondrad accounting 10.64.226.20 1813指定备份计费服务器key authentication nzdcjc12key accounting nzdcjc12user-name-format without-domain （等认证帐号去除域名quitdomain vrvtest 新建一个域名radiu

19、s-scheme test将RADIUS策略应用到此域（注意:如果无法打出radius-scheme tes命令的话，请打下面的命令，功能也是将 radius策略应用到vrvtest域authentication default radius-scheme testaccounting default radius-scheme testquitdomain default enable vrvtest将新建的域作为缺省域interface Ethernet1/0/2进入需要设定开启 802.1x的端口号dotlx （开启2号端口的802.1x功能dot1x port-method portb

20、ased （已置端口上进行接入控制的方式为 portbased,MAC 模式时不能设置 GUEST VLANdot1x port-control auto （配置端口上进行接入控制的模式为 autoquit （退出2号端口模式dot1x （全局配置下开启全局 802.1xdot1x authentication-method eap设定802.1x的认证方法为EAP最后记住保存，不需要开启认证的命令是：undo dot1x （全局配置下使用radius服务器配置交换机配置结束后哦，我们要对radius服务器进行配置，主要分为配置主radius 服务器和在主radius服务器上设置主从radiu

21、s服务器主Radius服务器配置（1 安装 RADIUS进入添加/删除程序中的添加/删除Windows组件，选择网络服务中的Internet验 证服务可里小此区1与VibdT的馅片.，十二r.HU.KT用伴* ii市进剪如逸拒.工型也有亍n总安用鼻的 一家口ESW择的学 ,中=工.子M _力NWW工风:总语窗的刖克伴皿1素引t等爵w品隔之*群需附 网将也姜步子循律0.* r* 3寓谭电，-ni A二IFFmp式与I芯研10抠声1口.云就色死|牛的一4.巳聚期可用融盘交可月会&科书I挪.堡城 把淖ur/hcn 酗 h“3 匐t*信* H渊unr幽iii限上上TW用耳帽WT-3-W史茂/塞为大小大

22、小大小IVi OCHB11HBA.vm*cr”4fl 砺 Strvtr 2CKJ0号M山 n方|45tt I乎，用=?同可用的备空间cjg火小4 !1VM大小大小二,I-F*tiFrihiTT曲I J* 51* J+rt-1 HFIa n 4 ZE Vl 1 2_lf】ihbH“* 口ffir U* E41tlH(2安装IAS后，进入IAS配置界面大小横000lt-l Xfl&(3右键点击RADIUS客户端，选择新建RADIUS客户端。名称可任意填写，客户 端地址为验证交换机的管理地址(即所有接入层启用802.1x的交换机的管理IP,有多 少个就要建多少个RADIUS客户端，这里只以一个作为例

23、子。，点击下一步。(4选才? RADIUS Standard,共享机密为交换机事所配置的 key。点出完成(5右键点击远程访问策略，单击新建远程访问策略(7选择以太网，点击下一步十件，身打卜， “助卜5 -由近I? 1号(8选择用户，点击下?事? MtEU_ar丽干,湎亨 M3审三孑m 匚3Kr4r#LifiF 5&3niirw(g.cs tLxWmhmtri ,帆 m 科目r，.(10在右面板中右键点击所新建的策略，选择属性。工w xn ciMTfcr-.t.i*x#(T=at id 曷唧5 T区而饱匚(11 点击添加,选择 Day-And-Time-Restrictions(12选择添加,

24、选择允许，单击确定rW于5收河整冏吗j(13删除NAS-Port-Type匹配 Ethernet并选择授予访问权限名篇_Dot I xTEtotlxTet电】nt mt痂国名通地J鼠DI1G落尸篇_|丘混访问记录也.考嗯访问策略+i主播谱子处理给定迂圈谓走LF 口肥的用拽予近程谊同双阳位）用可还原（14启用本地安全策略一一安全设置一一账户策略一一密码策略的加密来储存密码。（注意:这步一定要在新建远程登录用户前完成,本地安士谩置文件9 曲作查看过）帮助卿4- -| s ce x eg 暗围回I安全设已禁用0个字苻42天0天0个记住的密风J）安全通置m 8临户策略JJ变蚪策笔* H帐户城定策党,

25、LS本地策略公钥策略* 口献件即1制第喑+ S IF安全策用，在本地计宜机 弱密码长度最小值 幽变轲最长使用期时 融密码最短使用卿 置姿制凿蚂历史门用可卫原的力口 ET,&f三四已日（15添加远程登录用户。在本地用户和组中新建一个用户 ，该用户名和密码要与 先前的802.1x认证策略中输入的用户名和密码对应起来。（注意:添加远程登录用户 时,必须在IAS配置完之后再添加。%本修安至设is(16右键点击新建的用户，进入属性，选择隶属于，删除默认的USERS组远程控制I蟀境1R多配置文件| 擅入常规 隶屉于|配置文件|环境 |会话磁足 眼消应用R(17点击拨入，设置为允许访问(18IAS配置完成，

26、确保Internet Authentication Service服务处于启动状态。(19VRV EDP Agent认证成功。(手工认证的图从radius服务器的配置如果需要从（备份radius服务器的话，还需要在主radius服务器上设置主从 radius服务器，具体配置如下：（1进入主radius服务器的IAS控制台至 St*（E） I*作 步者图 般,美 邕口 qp t励OP,IJ| X如亩田团局省胆名 因便一1茨期3横节点-，-，IuLtrnT 鞋HE1R 鼻 体地 JI* _J LMJIV5 方尸整原学口间记录.-鳖国st5同第隼b遑措酒至分翅学历雄市不朝毕叫鞭,皿心羽革品洱-*歹#

27、他用尸卷通手的j+哆事寻住地】-&慢能日壬下:等声-XII*恃空毛质I本地1H台胡三安里性司累城（2新建远程RADIUS服务器组(3指定主服务器与备份服务器IP地址,在主服务器配置即可注意:从radius服务器其他配置与主radius服务器配置相同。配置完以上各个服务器、交换机和客户端后，802.1x接入认证模块就配置完毕了。三、802.1x认证应用注册事项实施准备阶段需要注意的问题1 .根据华能澜沧江水电有限公司内网的网络拓扑结构图，决定radius服务器、以及注册程序下载服务器安放的位置。建议将以上服务器都安装在主交换机上 这样对管辖网络范围所有终端，都可以根据需要开启对其的802.1x认

28、证，从而方便管 理员的管理。2 .需要配备备份（从radius服务器，备份radius服务器与主radius服务器配置相同。当主radius服务器出现故障无法正常工作时，终端可以通过备份 radius服务器实现正认证功能，避免发生由于主radius服务器发生故障导致网络内终 端无法接入认证的情况。3 .确保要开启802.1x认证功能的交换机都支持802.1x认证，根据网络拓扑结构,明确管理网络范围内需要对哪些终端进行 802.1x认证,哪些重要服务器及无 法进行认证的设备（如网络打印机等不需要进行802.1x,明确这些设备具体接在交换 机的哪些端口上，汇总整理后编写出需开启认证交换机端口列表的

29、文档 ，方便日 后的实施工作。实施阶段需要注意的问题1 .实施801.1 x是一项比较复杂而且工作量较大的工程，在实施前应制定出详细的实施计划，在实施过程中按照实施计划开展实施工作。建议实施计划分为四 个步骤：第一步，先架设好radius服务器及注册程序下载服务器，然后在小范围内进行测 试；第二步，选定某一楼层，按照之前准备好的实施终端情况表在该楼层的某一 部门或办公室的接入层交换机上开启 802.1x认证，在该部门或办公室实施完毕后进 行测试，测试成功后，再在该楼层其他部门或办公室交换机上实施802.1x;第三步，根据第二步实施的步骤，按楼层逐步在各部门或办公室的交换机上实施 802.1x;

30、第四步，在各楼层实施完毕后，进行大范围的测试。分步骤实施能避免由于实施过程中的错误造成大面积终端无法认证或不能连接内网的情况出现，降低实施的风险，最大限度的减少实施802.1x对正常工 作的影响。2 .每台交换机的工作区VLAN上要预留一个非认证端口作为该交换机与上层交换机的通信端口，保证每台交换机能与radius服务器正常通信。3 .在交换机上配置802.1x之前，最好先将802.1x认证策略下发下去。4 .在配置交换机时，最好是一个一个的开启端口的 802.1x认证功能。5 .在实施中，可能会遇到交换机认证端口下接 HUB或非认证交换机的情况，当终端接入这类HUB或非认证交换机时，首先要判

31、断终端是否能认证，也就是说 认证报文信息是否能穿透这类 HUB或非认证交换机。其次，如果单个终端能进行认 证的话，要根据所接上层开启了认证交换机型号做相应的处理。6.大型网络的环境比较复杂，测试人员在测试过程中可能会出现认证失败，因此，在测试时测试人员要耐心等待，直到终端认证过程结束后再做相应的处理。7.实施完毕后，根据之前的网络拓扑图，将启用和不启用802.1x认证的终端信息整理成相应的文档，方便日后的维护。日常运行维护阶段要注意的问题1 .定期查看radius服务器上的事件查看器，出现认证失败的信息后，能根据事件查看器上的信息判断认证失败的原因。2 .当某一交换机发生故障导致某一楼层或部门、办公室内的所有终端无法认证时，通过实施完毕后准备好的文档，能方便判定出现故障的设备，及时修复。3 .应急修复故障故障交换机时，为了尽快恢复网络连接，可以先停用802.1X认证功能，这样终端就可以访问网络，不影响正常的工作，待下班或放假后再做配 置、恢复交换机配置。四、802.1x认证应急预案4-1.预案流程1、对桌面终端标准化管理系统和 Radius服务器进行数据备份工作；2、桌面终端标准化管理系统所在服务器出现故障，该系统无法启动等。通过故 障检验，确认短时间内无法解决，则启动此预案流程；3、R