四、网络准入手册技术802.1x-nacc

1、准入控制技术介绍目录准入控制介绍802.1x准入控制技术NACC准入控制技术准入控制技术什么是网络准入控制？网络准入控制 (NAC) 是一项由思科发起、多家厂商参加的计划，其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC，客户可以只允许合法的、值得信任的终端设备（例如PC、服务器、PDA）接入网络，而不允许其它设备接入。准入控制技术网络准入控制种类802.1x准入控制802.1x的准入控制的优点是在交换机支持802.1x协议的时候，802.1x能够真正做到了对网络边界的保护。缺点是不兼容老旧交换机，必须重新更换新的交换机；同时，交换机下接不启用802.1x功能的交换机时，无法

2、对终端进行准入控制。网关型准入控制网关型准入控制没有对终端接入网络进行控制，流量在经过网关时，被作用到准入控制器，通过准入控制器对流量进行授权或者不授权，实现的准入控制。DNS欺骗型准入控制FakeDNS准入控制是通过DNS欺骗实现的。目录准入控制介绍802.1x准入控制技术NACC准入控制技术802.1x准入控制技术802.1x准入介绍802.1X 协议是一种基于端口的网络接入控制协议(port based network access control protocol)。基于端口的网络接入控制，是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和 控制。连接在端口上的用户设备如果能

3、通过认证,就可以访问局域网中的资源;如果不能通过认证, 则无法访问局域网中的资源。802.1x准入控制技术802.1x体系结构802.1X系统为典型的Client/Server结构，包括三个实体：客户端（Client）、设备端（Device/NAS）和认证服务器（Server）。802.1x准入控制技术802.1X的认证方式802.1X认证系统使用EAP（Extensible Authentication Protocol，可扩展认证协议），来实现客户端、设备端和认证服务器之间认证信息的交换。在客户端与设备端之间，EAP协议报文使用EAPOL封装格式，直接承载于LAN环境中。端口 UDP 21

4、862在设备端与RADIUS服务器之间，可以使用两种方式来交换信息。一种是EAP协议报文由设备端进行中继，使用EAPOR（EAP over RADIUS）封装格式承载于RADIUS协议中；另一种是EAP协议报文由设备端进行终结，采用包含PAP（Password Authentication Protocol，密码验证协议）或CHAP（Challenge Handshake Authentication Protocal，质询握手验证协议）属性的报文与RADIUS服务器进行认证交互。 端口 UDP 1812802.1x准入控制技术802.1X的基本概念受控端口受控端口在授权状态下处于双向连通状态

5、，用于传递业务报文；在非授权状态下禁止从客户端接收任何报文。非授控端口非受控端口始终处于双向连通状态，主要用来传递 EAPOL 协议帧，保证客户端始终能够发出或接受认证。非受控端口只允许 EAPoL 、CDP 、Spanning-tree 协议通过，其它数据协议都不允许通过。受控方向在非授权状态下，受控端口可以被设置成单向受控：实行单向受控时，禁止从客户端接收帧，但允许向客户端发送帧。802.1x准入控制技术802.1X的认证触发方式客户端主动触发方式客户端主动向设备端发送EAPOL-Start报文来触发认证，该报文目的地址为IEEE 802.1X协议分配的一个组播MAC地址：01-80-C2

6、-00-00-03。另外，由于网络中有些设备不支持上述的组播报文，使得认证设备无法收到客户端的认证请求，因此设备端还支持广播触发方式，即，可以接收客户端发送的目的地址为广播MAC地址的EAPOL-Start报文。设备端主动触发方式设备会每隔N秒（缺省为30秒）主动向客户端发送EAP-Request/Identity报文来触发认证，这种触发方式用于支持不能主动发送EAPOL-Start报文的客户端，例如Windows XP自带的802.1X客户端。802.1x准入控制技术802.1X的认证过程(1)当用户有访问网络需求时打开802.1X客户端程序，客户端发起认证；设备端收到请求认证请求，将发出一

7、个请求报文，要求用户的客户端程序发送输入的用户名客户端程序响应设备端发出的请求发送用户名；设备端将客户端的用户名通过Radius报文发往认证服务器；服务端查到对应的用户名后，回复响应报文，并发送加密字；客户端收到加密字后，将用户密码加密后发出服务端收到客户端用户密码后，对比服务端查询到的密码；对比通过后发送认证通过报文给设备端；设备端根据Radius回复的授权消息对端口进行授权802.1x准入控制技术802.1X的控制方式基于端口的接入控制方式基于MAC的接入控制方式802.1x准入控制技术802.1X的定时器用户名请求超时定时器定时器定义了两个时间间隔。其一，当设备端向客户端发送EAP-Re

8、quest/Identity请求报文后，设备端启动该定时器，若在tx-period设置的时间间隔内，设备端没有收到客户端的响应，则设备端将重发认证请求报文；其二，为了兼容不主动发送EAPOL-Start连接请求报文的客户端，设备会定期组播EAP-Request/Identity请求报文来检测客户端。tx-period定义了该组播报文的发送时间间隔。客户端认证超时定时器当设备端向客户端发送了EAP-Request/MD5 Challenge请求报文后，设备端启动此定时器，若在该定时器设置的时长内，设备端没有收到客户端的响应，设备端将重发该报文。802.1x准入控制技术802.1X的定时器认证服务

9、器超时定时器当设备端向认证服务器发送了RADIUS Access-Request请求报文后，设备端启动server-timeout定时器，若在该定时器设置的时长内，设备端没有收到认证服务器的响应，设备端将重发认证请求报文。静默定时器对用户认证失败以后，设备端需要静默一段时间（该时间由静默定时器设置），在静默期间，设备端不处理该用户的认证请求。重认证定时器如果端口下开启了周期性重认证功能，设备端以此定时器设置的时间间隔为周期对该端口在线用户发起重认证。 802.1x准入控制技术802.1X高级特性-下发VLAN访客 VLAN认证失败 VLAN不符合绑定规则 VLAN不符合安全检查 VLAN认证通

10、过 VLAN修复区VLAN身份安全状态+硬件ID802.1XVLAN 动态切换EAP over LAN访客区VLAN工作区VLAN802.1x准入控制技术准入案例应用服务器 准入控制服务器(主)合法用户(符合安全要求) 合法用户(不符合安全要求) 准入控制服务器(备)准入控制交换机支持802.1X 非法接入 拒绝访问安全修复服务器受限访问目录准入控制介绍802.1x准入控制技术NACC准入控制技术NACC准入控制技术NACC介绍网络准入控制器（NACC）是联软科技拥有自主知识产权的LeagView NAC Controller硬件网关型准入控制设备，基于EAP over UDP协议技术，专为解

11、决非802.1X网络环境下（接入层交换机不支持802.1X或不支持HUB方式下接入）的网络准入控制问题而设计。NACC准入控制技术NACC工作模式策略路由模式-准旁路模式策略路由是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。应用了策略路由，路由器将通过路由图决定如何对需要路由的数据包进行处理，路由图决定了一个数据包的下一跳转发路由器。端口镜像模式-全旁路模式端口镜像（port Mirroring)把交换机一个或多个端口（VLAN）的数据镜像到一个或多个端口的方法。NACC准入控制技术-策略路由策略路由控制原理客户端访问网络时，数据流量经过网络交换机。流量策略路由作用，流量引向联软准

12、入控制器。联软准入控制器根据客户端认证情况进行网络动态授权。未验证通过，将被拒绝接入网络并且访问网络受到准入控制器限制。验证通过直接允许接入网络，并根据管理员配置权限动态授权。网络交换机网络准入控制器客户端客户端认证通过未认证通过NACC准入控制技术-端口镜像端口镜像（Port Mirroring）端口镜像（port Mirroring)把交换机一个或多个端口（VLAN）的数据镜像到一个或多个端口的方法。源端口目的端口客户端网络交换机网络准入控制器客户端复制流量镜像流量正常流量SwitchNACC准入控制技术-端口镜像镜像准入控制原理 客户端访问网络时，数据流量经过网络交换机，流量被镜像到（U

13、niNAC）联软准入控制器。通过联软准入控制器伪装目标主机发送TCP结束会话字段（RST ACK）或者HTTP重定向报文达到准入控制目的。 TCP会话建立需要三次握手，会话阻断和HTTP重定向实现过程如右图。客户端网络交换机网络准入控制器镜像流量正常网络流量伪装数据流量1234NACC准入控制技术-端口镜像HTTP重定向1、（请求端）客户端向目标网络发送SYN，表明连接目标网络端口；2、UniNAC接收到客户端发送的SYN请求，发现请求端口为WEB监听端口，不做处理；3、UniNAC接收到客户端发送的HTTP GET请求，UniNAC伪装成目标地址发送HTTP重定向回复；4、客户端收到HTTP

14、重定向回复后访问重定向URL，达到WEB访问重定向目的。后面接收到的正确回复将全部丢弃。客户端网络准入控制器SYNSYNSYNSYN ACKHTTP GETHTTP GETHTTP GETHTTP URLHTTP reponses注：实际测试800Mbps流量，阻断效果100%，HTTP重定向100% 压力测试5000用户，准入正常NACC准入控制技术-端口镜像网络阻断1、（请求端）客户端向目标网络发送SYN，表明连接目标网络端口；2、UniNAC接收到客户端发送的SYN请求，发现请求端口非WEB监听端口，伪装目的地址发送RST,ACK字段。3、 客户端接收到RST,ACK字段，达到网络阻断目的。后面接受到的正确的SYN,ACK将全部丢弃；客户端网络准入控制器SYNSYNSYNRST ACKSYN ACKNACC准入控制技术适用环境1、接入层网络环境复杂，HUB设备数量多且不易管理2、网络交换机只支持端口镜像环境3、支持企业VPN接入4、支持无线、有线等复杂网络环境5、支持特殊网络环境：MPLS VPN多域（浙江联通）6、支持一台设备同时支持多个隔离网接入7、支持NAT接入检测NACC准入控制技术应急逃生NACC