北信源桌面终端标准化管理系统基于8021x协议的准入控制方案.docx

1、北信源桌面终端标准化管理系统基于8021x协议的准入控制方案北信源桌面终端标准化管理系统基于802.1x协议的准入控制方案一、802.1x协议认证描述 802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制XX的用户/设备通过接入端口访问LAN/MAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。 网络访问技术的核心部分是PAE（端口访问实体）。在访问控制流程中，端口访

2、问实体包含3部分：认证者-对接入的用户/设备进行认证的端口；请求者-被认证的用户/设备；认证服务器-根据认证者的信息，对请求访问网络资源的用户/设备进行实际认证功能的设备。 二、802.1x认证特点 基于以太网端口认证的802.1x协议有如下特点：IEEE802.1x协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本；借用了在RAS系统中常用的EAP（扩展认证协议），可以提供良好的扩展性和适应性，实现对传统PPP认证架构的兼容；802.1x的认证体系结构中采用了可控端口和不可控端口的逻辑功能，从而可以实现业务与认证的分离，由RADIUS和交换机利用不可控的逻辑端口共

3、同完成对用户的认证与控制，报文直接承载在正常的二层报文上通过可控端口进行交换，通过认证之后的数据包是无需封装的纯数据包；可以使用现有的后台认证系统降低部署的成本，并有丰富的支持；可以映射不同的用户认证等级到不同的VLAN；可以使交换端口和无线LAN具有安全的认证接入功能。三、802.1x应用环境及其配置a. 一台安装IAS或者ACS的RADIUS认证服务器；b. 一台安装VRVEDP服务器；c.一个应用可网管交换机的网络环境；1.RADIUS认证服务器配置如下：进入添加/删除程序中的添加/删除Windows组件，选择网络服务中的Internet验证服务2.安装IAS后，进入IAS配置界面3右键

4、点击RADIUS客户端，选择新建RADIUS客户端。客户端地址为验证交换机的管理地址，点击下一步。 4.选择RADIUS Standard，共享机密为交换机中所配置的key。点击完成。注：1、验证交换机可以填写多个，比如：有100个支持802.1X协议的接入层交换机，就需要执行100次步骤3与步骤4的动作，把100个交换机的地址与共享密码填写进去。 2.此步骤是至关重要的第一步，一定要检查填写的共享密码与交换机的共享密码相同（这是思科交换机命令输入共享密码的命令：radius-server host 192.168.0.136 key vrv；192.168.0.136为radius所在服务器

5、地址）。5.右键点击远程访问策略，单击新建远程访问策略。注：1.建立远程访问策略为了使进行跟交换机进行联动，这个策略的建立为以后的用户成功认证打下坚实的基础。2.这个策略一个公共策略，在一个网络中可能有几百个用户名密码进行认证，这个要按照步骤进行配置，不要填写用户名匹配，不然会只有一个匹配的用户能够认证通过。3.公司支持多种加密认证方式，在IAS中我们建议使用MD5加密算法来进行认证。6.为策略取一个名字，点击下一步7.选择以太网，点击下一步8.选择用户，点击下一步9.使用MD5质询，点击下一步，并完成。10.在右面板中右键点击所新建的策略，选择属性。11.点击添加，选择Day-And-Tim

6、e-Restrictions12.选择添加，选择允许，单击确定。13.删除NAS-Port-Type匹配”Ethernet”，并选择授予访问权限14.右键点击连接请求策略，选择新建连接请求策略。 注：1.连接请求策略是与修复VLAN有关系的配置，如果在实施中没有设置修复VLAN，这一步骤可以不进行配置。 2.连接请求策略中添加user-name与用户名匹配，公司客户端软件暂时只支持与repair这个用户名联动。如果不使用repair用户名匹配，客户端没有通过安检时也会跳入修复VLAN，但是在客户端不会提示已经进入修复VLAN。 3. IAS中设置修复VLAN设置方法有几种，建议使用文档中的操作

7、方式。15.选择自定义策略，并为该策略取个名字16.策略状况选择添加Day-And-Time-Restrictions,配置方法同上。17.删除NAS-Port-Type匹配”Ethernet”，并选择授予访问权限18.点击添加，并选择user-name,点击添加19.这里repair 是指repair子用户名（即需要跳转的子用户名字），点击确定并应用20.单击编辑配置文件，选择高级-添加选择添加64Tunnel-Type：VLAN 65Tunnel-Medium-Type：80281Tunnel-Pvt-Group-ID：VLAN ID（修复VLAN的vlan号）。21.单击确定22添加远程

8、登录用户。在本地用户和组中新建一个用户。注：在建立认证账户之前，首先检查“用可还原的加密来存储密码”是否启用。23.右键点击新建的用户，进入属性，选择隶属于，删除默认的USERS组24.点击拨入，设置为允许访问25.IAS配置完成。2.VRVEDP服务器关于802.1x策略的配置及解释：策略中心-接入认证策略-802.1X接入认证认证 密码认证方式：1、“单用户名密码认证”：所接入的客户端会以该策略中指定的用户名和密码认证，不需要用户手工输入用户名和密码2、“多用户密码认证”：所接入的客户端需要手工输入在Radius中建立的认证用户名和密码进行认证3、“域用户名认证”：所接入的客户端如果是域环

9、境，使用此功能可以在用户登陆域时自动认证。4、认证程序在托盘显示认证状态的图标，绿色为认证成功，黄色为未认证状态，红色则为认证失败。并可以规定认证失败特定次数后就不再认证，自动进入GUEST VLAN5、密码验证类型：分为MD5验证和受保护的EAP(PEAP)两种模式。6、安检失败处理方式：配合补丁与杀毒软件策略和进程服务注册表策略使用，当客户端违反以上策略并选择了根据802.1X策略处理时，则可对其执行以下3种处操作：不处理（即注销其802.1X认证）；进入正常工作VLAN；进入修复VLAN。7、如果客户端环境为DHCP动态网络，则勾选DHCP动态IP环境认证；并当认证失败后，这里可以填入另

10、外一个用户名密码再认证一次（配合单用户认证方式使用）；当遇到网络意外断开的情况，勾选网络恢复连接后主动发起认证，客户端在恢复网络时就会主动发起认证；支持华为认证服务器的IP绑定功能：配合华为公司产品中的IP与端口绑定的功能。8、认证数据包传输模式：分为组播和广播两种模式，默认为组播，在不支持组播的交换上使用广播模式。9、超级认证帐户：即认证成功后就会进入正常工作VLAN，不受安检策略限制。黑名单认证帐户：即使用这个帐户认证的客户端始终都不能认证通过。策略中心-接入认证策略-补丁与杀毒软件认证10设置说明：杀毒软件安全检测1.启用“杀毒软件安全检测”：对接入网络的计算机进行杀毒软件的安全检测，检

11、查其健康度是否符合网络要求标准，检测内容包括计算机是否安装开启了杀毒软件。2.“未运行杀毒软件时提示”：当检测到计算机没有运行杀毒软件的时候给计算机一个提示信息。3.“未运行杀毒软件执行（URL地址）”：当检测到计算机没有运行杀毒软件的时候给计算机定向到指定的URL地址，例如某个可以下载或者运行杀毒软件的地址。4.“对上述URL执行”1).选择“打开/下载URL地址”：当检测到计算机没有运行杀毒软件的时候直接打开或者下载上边填写的URL地址。2).选择“下载URL地址指定文件并安装”：当检测到计算机没有运行杀毒软件的时候下载URL地址指定文件并安装，一般为杀毒软件。5.“未运行杀毒软件时”：当

12、检测到计算机没有运行杀毒软件的时候执行以下操作1).“限制网络访问”：计算机在网内只能与安全服务器列表中的IP地址通讯，禁止与其他计算机通讯。2).“注销802.1认证”：当未运行杀毒软件时，客户端将注销正常登录并进入修复vlan。6.系统补丁安全检测1).启用“系统补丁安全检测”：对接入网络的计算机进行系统补丁的安全检测，检查其健康度是否符合网络要求标准，检测内容包括计算机是否安装了指定系统补丁。2).“漏安装列表中指定的补丁时提示”：当检测到计算机没有安装列表中指定的补丁的时候给计算机一个提示信息。3).“漏安装列表中指定的补丁是打开（URL地址）”：当检测到计算机没有安装列别中指定的补丁

13、的时候给计算机定向到指定的URL地址，例如某个可以下载到指定补丁的地址。7. “漏安装列表中补丁时”：当检测到计算机没有安装列表中的补丁时执行以下操作：1). “限制网络访问”：计算机在网内只能与安全服务器列表中的IP地址通讯，禁止与其他计算机通讯2).“注销802.1认证”：当未安装指定安全补丁时，客户端将注销正常登录并进入修复vlan。8.“检测补丁列表”：通过补丁号添加补丁检测列表，当计算机接入网络的时候会检测计算机是否安装了此列表中列出的补丁9.“限制网络访问后，允许安全服务器连通列表”：填写EDPserver、补丁服务器等安全服 务器，当计算机被限制网络访问后只能与这个列表中的IP地

14、址通讯10. “DHCP与静态IP切换”： 在安检失败进入访客隔离区后，如果当时的IP为静态IP, 则将其转换为DHCP方式,直到安检成功后返回正常工作区时再将DHCP方式还原为以前设置的静态IP (选择了注销802.1认证后,该选项才生效)。策略中心-接入认证策略-进程服务注册表认证1、添加认证模块(见1.1)2、“以上列表认证模块认证失败时提示”：当接入网络的计算机在进行认证时，认证失败则在计算机显示此信息3、“以上列表认证模块认证失败时打开（URL地址）”：当接入网络的计算机在进行认证时，认证失败则将计算机定向到此URL地址4、“对上述URL执行”（1）选择“打开/下载URL地址”：当检

15、测到计算机认证失败的时候直接打开或者下载上边填写的URL地址（2）选择“下载URL地址指定文件并安装”：当检测到计算机认证失败的时候下载上边URL地址指定文件并安装5、“以上列表认证模块认证失败时”：当认证失败时执行以下操作（1）“限制网络访问”：计算机在网内只能与安全服务器列表中的IP地址通讯，禁止与其他计算机通讯（2）“注销802.1认证”：注销本次认证，使计算机重新进行认证6、“DHCP与静态IP切换”： 在安检失败进入访客隔离区后，如果当时的IP为静态IP, 则将其转换为DHCP方式,直到安检成功后返回正常工作区时再将DHCP方式还原为静态IP (选择了注销802.1认证后,该选项才生

16、效)。7、“限制网络访问后，允许安全服务器连通列表”：填写EDPserver、补丁服务器等安全服 务器，当计算机被限制网络访问后只能与这个列表中的IP地址通讯”。2.1、文件存在认证 选择“编辑认证模块”进入编辑认证模块页面, 填写一个新的认证模块名字，单击“新建模板”，例如新建认证模块名为“ceshi”。（1）在“文件名”处填写要认证的文件名和路径例如：C:vrvclientvrv.exe，表示当计算机接入网络后要对此计算机进行安全检测，监测计算机是否存在“文件存在认证列表”中的文件。（2）选择“认证内容” 1）“仅认证文件存在”：接入网络的计算机当进行文件存在认证时仅检测计算机是否存在列表

17、中的文件； 2）“认证文件版本号”：计算机接入网络后对计算机的检测要检测文件的版本号； 3）“认证比较”三种检测比较的方式，指定接入网络的计算机当进行文件存在认证时将计算机中的文件与列表中的文件检测比较的方式是等于/小于等于/大于等于，“比较值”指定标准值。(3)“添加认证条目”将以上设置好的文件和文件的比较内容通过此按钮添加到“文件存在认证列表中”。(4)“删除认证条目”将“文件存在认证列表中”不需要的文件从列表中删除。(5)“多条文件认证关系”：当列表中添加多个认证文件的时候选择采取多个文件判断的关系。 1)、“并且关系”，需要以上列表的认证都通过才算文件认证通过； 2)、“或关系”，以上

18、列表中的认证只要一条通过就算文件认证通过。2.2、进程运行认证(1)在“进程名”中填写要认证的进程名字。(2)选择“认证内容”。 1)“仅认证进程是否存在”：接入网络的计算机当进行进程运行认证时仅检测计算机中是否存在列表中的进程； 2)“认证进程源文件名” 接入网络的计算机当进行进程运行认证时要检测计算机中进程的源文件；(3)“认证比较”：指定接入网络的计算机当进行进程运行认证时将计算机中的进程与列表中的进程检测比较的方式是等于/小于等于/大于等于，“比较值”指定标准值。 1）点击“添加认证条目”将以上设置好的进程和进程的比较内容通过此按钮添加到“进程运行认证列表中”； 2）点击“删除认证条目

19、”将“文件存在认证列表中”不需要的进程从列表中删除。(4)“多条进程认证关系”：当列表中添加多个认证进程的时候选择采取多个进程判断的关系。 1)“并且关系”，需要以上列表的进程都通过才算进程运行认证通过； 2)“或关系”，以上列表中的进程只要一条通过就算进程运行认证通过。2.3、注册表键值认证(1)在“注册表项路径”中填写要认证的注册表项路径，不包含键名。(2)“键名”：指定上边注册表项中需要作为认证的键名。(3)“认证内容”： 1)“仅认证键是否存在”：接入网络的计算机当进行注册表键值认证时仅检测计算机中是否存在列表中的注册表键； 2)“认证键值” 接入网络的计算机当进行注册表键值认证时要检

20、测计算机中注册表键的键值的源文件。(4)“认证比较”：指定接入网络的计算机当进行注册表键值认证时将计算机中的进程与列表中的进程检测比较的方式是等于/小于等于/大于等于，“比较值”指定标准值。 1)点击“添加认证条目”将以上设置好的注册表项和键名比较内容通过此按钮添加到“注册表键值认证列表中”； 2)点击“删除认证条目”将“注册表键值认证列表中”不需要的条目从列表中删除。(5)“多条注册表认证关系”：当列表中添加多个注册表项的时候选择采取多个注册表项判断的关系。 1)“并且关系”，需要以上列表的注册表键值通过才算注册表键值认证通过； 2)“或关系”，以上列表中的注册表键值只要一条通过就算注册表键

21、值认证通过。2.4、服务运行认证(1)在“服务名”中填写要认证的服务名字。 1)点击“添加认证条目”将以上填写好的服务名通过此按钮添加到“服务运行认证列表中； 2)点击“删除认证条目”将“服务运行认证列表中”不需要的服务名从列表中删除。(2)“多条服务认证关系”：当列表中添加多个认证服务的时候选择采取多个服务判断的关系。 1)“并且关系”，需要以上列表中的服务名都通过才算服务运行认证通过； 2)“或关系”，以上列表中的服务名只要一条通过就算服务运行认证通过。编辑完毕点击“保存认证模板配置”按钮，将上述配置保存，完成了“ceshi”认证模块的编辑3.802.1x描述测试：测试目的测试系统用户是否

22、可以通过802.1x认证方法/步骤1、配置交换机和RADUIS服务器，使交换机断口需要802.1x认证2、配置策略，让终端通过802.1x方式认证3、将终端接入到交换机中，在登陆框中输入提前设定好的认证口令预期目标终端接入到交换机中，按照相应的用户名和口令，进入到相应的VLAN中（如GUEST VLAN ；REPAIR VLAN），如果输入错误的用户名和口令，则认证不成功。实测结果是 测试目的测试系统用户长时间不进行802.1x认证，是否自动进入到GUEST VLAN中方法/步骤1、配置交换机和RADUIS服务器，使交换机断口需要802.1x认证2、配置策略，让终端通过802.1x方式认证3、

23、将终端接入到交换机中，弹出认证框之后，不进行认证预期目标终端接入到交换机中，长时间不认证之后，自动跳转到GUEST VLAN中实测结果是 测试目的测试系统用户接入认证时进行安全检查，检查不合格，则用REPAIR VLAN的用户名登陆跳入到REPAIR VLAN中，检查合格，自动跳入到NORMAL VLAN中方法/步骤1、配置交换机和RADUIS服务器，使交换机断口需要802.1x认证2、配置策略，让终端通过802.1x方式认证3、配置策略，终端接入认证时，进行病毒软件、补丁、进程、服务、文件的安全检查预期目标终端接入到交换机中，如果符合服务器的安全要求，则用NORMAL VLAN 的用户名登陆

24、到NORMAL VLAN中，如果不符合安全要求，则用REPAIR VLAN的用户名登陆到REPAIR VLAN中。实测结果是 4.交换机配置如下：1. Cisco2950配置方法Enable /*进入特权模式*/config t /*进入全局配置模式*/aaa new-model /*启用aaa认证*/aaa authentication dot1x default group radius /*配置802.1x认证使用radius服务器数据库*/aaa authorization network default group radius/*VLAN分配必须*/radius-server ho

25、st 192.168.1.132 key vrv /*指定radius服务器地址为192.168.1.132，通信密钥为vrv，端口不用制定，默认1812和1813*/radius-server vsa send authentication /*配置VLAN分配必须使用IETF所规定的VSA值*/int vlan 1 ip add 192.168.1.133 255.255.255.0 no shut/*为交换机配置管理地址，以便和radius服务器通信*/int range f0/1 - 11dot1x port-control auto switchport mode access /*

26、为1到11端口配置dot1x，12端口不配*/dot1x guest-vlan ID （VLAN跳转命令）exit/*退回全局配置模式*/dot1x system-auth-control/*全局启动dot1x*/2950交换机上VLAN的配置vlan databasevlan IDenableconfig tint range f0/1 20switchport access vlan IDswitchport mode accessspanning-tree portfast2.华为3COM 3628配置dis cu # sysname H3C # domain default enabl

27、e test # dot1x dot1x timer tx-period 10 dot1x retry 4 # radius scheme system radius scheme test server-type standard primary authentication 54.1.44.55 primary accounting 54.1.44.55 key authentication vrv key accounting vrv user-name-format without-domain # domain system domain test scheme radius-sch

28、eme test vlan-assignment-mode string # vlan 1 # vlan 46 # vlan 600 description guest # vlan 601 to 602 # interface Vlan-interface46 ip address 54.1.46.250 255.255.255.0 # interface Aux1/0/0 # interface Ethernet1/0/1 port access vlan 600 dot1x port-method portbased dot1x guest-vlan 601 dot1x # interf

29、ace Ethernet1/0/2 # interface Ethernet1/0/3 # interface Ethernet1/0/4 # interface Ethernet1/0/5 # interface Ethernet1/0/6 # interface Ethernet1/0/7 # interface Ethernet1/0/8 # interface Ethernet1/0/9 # interface Ethernet1/0/10 # interface Ethernet1/0/11 # interface Ethernet1/0/12 # interface Etherne

30、t1/0/13 # interface Ethernet1/0/14 # interface Ethernet1/0/15 # interface Ethernet1/0/16 # interface Ethernet1/0/17 # interface Ethernet1/0/18 # interface Ethernet1/0/19 # interface Ethernet1/0/20 # interface Ethernet1/0/21 # interface Ethernet1/0/22 port access vlan 601 # interface Ethernet1/0/23 # interface Ethernet1/0/24 # interface GigabitEthernet1/1/1 # interface GigabitEthernet1/1/2 # interface GigabitEthernet1/1/3 # interface GigabitEthernet1/1/4 po