北信源桌面终端标准化管理系统基于x协议的准入控制方案

1、北信源桌面端标准化理系统基于802.1x协议的准入控制方案一、802.1x协议认证描述802.1x 协议是基于Client/Server 的访问控制和认证协议。它可以限制未经授权的用户/ 设备通过接入端口访问LAN/MAN在获得交换机或LAN提供的各种业务之前，802.1x对连接到 交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的 扩展认证协议）数据通过设备连接的交换机端口； 认证通过以后，正常的数据可以顺利地通过 以太网端口。网络访问技术的核心部分是 PAE（端口访问实体）。在访问控制流程中，端口访问实体包 含3部分：认证者-对接入的用户/设备进行

2、认证的端口；请求者-被认证的用户/设备；认证 服务器-根据认证者的信息，对请求访问网络资源的用户 /设备进行实际认证功能的设备。二、802.1x认证特点基于以太网端口认证的802.1x协议有如下特点：IEEE802.1x协议为二层协议，不需要到 达三层，对设备的整体性能要求不高，可以有效降低建网成本；借用了在RAS系统中常用的EAP （扩展认证协议），可以提供良好的扩展性和适应性，实现对传统PPP认证架构的兼容；802.1 x的认证体系结构中采用了 "可控端口 "和"不可控端口 ”的逻辑功能，从而可以实现业务 与认证的分离，由RADIUS交换机利用不可控的逻辑端口

3、共同完成对用户的认证与控制，报 文直接承载在正常的二层报文上通过可控端口进行交换，通过认证之后的数据包是无需封装的纯数据包；可以使用现有的后台认证系统降低部署的成本，并有丰富的支持；可以映射不同的用户认证等级到不同的VLAN可以使交换端口和无线LAN具有安全的认证接入功能。三、802.1x应用环境及其配置a. 一台安装IAS或者ACS的RADIU纵证服务器；b. 一台安装VRVED服务器；c. 一个应用可网管交换机的网络环境；1 .RADIUS认证服务器配置如下：进入添加/删除程序中的添加/删除Windows组件，选择网络服务中的Internet验证服务2 .安装IAS后，进入IAS配置界面3

4、 .右键点击RADIUSg户端，选择新建RADIU吩户端。客户端地址为验证交换机的管理地 址，点击下一步。4 .选才? RADIUS Standard,共享机密为交换机中所配置的 key。点击完成。注：1、验证交换机可以填写多个，比如：有100个支持802.1X协议的接入层交换机，就需 要执行100次步骤3与步骤4的动作，把100个交换机的地址与共享密码填写进去。2.此步骤是至关重要的第一步，一定要检查填写的共享密码与交换机的共享密码相同 （这是思科交换机命令输入共享密码的命令：radius-server host 192.168.0.136 key vrv ；192.168.0.136 为r

5、adius所在服务器地址）。5 .右键点击远程访问策略，单击新建远程访问策略。注：1.建立远程访问策略为了使进行跟交换机进行联动，这个策略的建立为以后的用户成功认证打下坚实的基础。2 .这个策略一个公共策略，在一个网络中可能有几百个用户名密码进行认证，这个要按 照步骤进行配置，不要填写用户名匹配，不然会只有一个匹配的用户能够认证通过。3 .公司支持多种加密认证方式，在IAS中我们建议使用MD5ta密算法来进行认证。6 .为策略取一个名字，点击下一步7 .选择以太网，点击下一步8 .选择用户，点击下一步9 .使用MD皈询，点击下一步，并完成。10 .在右面板中右键点击所新建的策略，选择属性。11

6、 .点击添加，选择 Day-And-Time-Restrictions12 .选择添加，选择允许，单击确定。13 .删除NAS-Port-Type匹配" Ethernet ”，并选择授予访问权限14 .右键点击连接请求策略，选择新建连接请求策略。注：1.连接请求策略是与修复 VLAN有关系的配置，如果在实施中没有设置修复VLAN这一步骤可以不进行配置。2. 连接请求策略中添加user-name与用户名匹配，公司客户端软件暂时只支持与repair这个用户名联动。如果不使用repair用户名匹配，客户端没有通过安检时也会跳入 修复VLAN但是在客户端不会提示已经进入修复VLAN3. IA

7、S中设置修复VLANK置方法有几种，建议使用文档中的操作方式。15 .选择自定义策略，并为该策略取个名字16 .策略状况选择添加Day-And-Time-Restrictions,配置方法同上。17 .删除NAS-Port-Type匹配" Ethernet ”，并选择授予访问权限18 .点击添加，并选择user-name,点击添力口19 .这里repair是指repair子用户名（即需要跳转的子用户名字），点击确定并应用20 .单击编辑配置文件，选择高级添加选择添加64Tunnel-Type : VLAN 65Tunnel-Medium-Type : 80281Tunnel-Pvt-

8、Group-ID : VLAN ID （修复 VLAN白vlan 号）。21 .单击确定22 .添加远程登录用户。在本地用户和组中新建一个用户。注：在建立认证账户之前，首先检查“用可还原的加密来存储密码”是否启用。23 .右键点击新建的用户，进入属性，选择隶属于，删除默认的USERffi24 .点击拨入，设置为允许访问25.IAS配置完成。2.VRVEDPR务器关于802.1x策略的配置及解释：策略中心，接入认证策略->802.1X接入认证认证1、“单用户名密码认证”：所接入的客户端会以该策略中指定的用户名和密码认证，不需要用户手工输入用户名和密码2、“多用户密码认证”：所接入的客户端需

9、要手工输入在 Radius中建立的认证用户名和密 码进行认证3、“域用户名认证”：所接入的客户端如果是域环境，使用此功能可以在用户登陆域时自动 认证。4、认证程序在托盘显示认证状态的图标，绿色为认证成功，黄色为未认证状态，红色则为 认证失败。并可以规定认证失败特定次数后就不再认证，自动进入GUEST VLAN5、密码验证类型：分为 MD5佥证和受保护的EAP（PEA硼种模式。6、安检失败处理方式：配合补丁与杀毒软件策略和进程服务注册表策略使用，当客户端违反以上策略并选择了根据802.1X策略处理时，则可对其执行以下 3种处操作：不处理（即 注销其802.1X认证）；进入正常工作 VLAN进入修

10、复VLAN7、如果客户端环境为DHC初态网络，则勾选DHC初态IP环境认证；并当认证失败后，这 里可以填入另外一个用户名密码再认证一次（配合单用户认证方式使用）；当遇到网络意外断开的情况，勾选网络恢复连接后主动发起认证，客户端在恢复网络时就会主动发起认证； 支持华为认证服务器的IP绑定功能：配合华为公司产品中的IP与端口绑定的功能。8、认证数据包传输模式：分为组播和广播两种模式，默认为组播，在不支持组播的交换上 使用广播模式。9、超级认证帐户：即认证成功后就会进入正常工作 VLAN不受安检策略限制。黑名单认证帐户：即使用这个帐户认证的客户端始终都不能认证通过策略中心，接入认证策略-> 补

11、丁与杀毒软件认证设置说明:杀毒软件安全检测1 .启用“杀毒软件安全检测”：对接入网络的计算机进行杀毒软件的安全检测，检查其健康 度是否符合网络要求标准，检测内容包括计算机是否安装开启了杀毒软件。2 .“未运行杀毒软件时提示”：当检测到计算机没有运行杀毒软件的时候给计算机一个提示 信息。3 .“未运行杀毒软件执行(URLM址)"：当检测到计算机没有运行杀毒软件的时候给计算机 定向到指定的URLM址，例如某个可以下载或者运行杀毒软件的地址。4 .”对上述UR跋行”1) .选择“打开/下载URL地址”：当检测到计算机没有运行杀毒软件的时候直接打开或者下 载上边填写的URLft址。2) .选

12、择“下载URL地址指定文件并安装”：当检测到计算机没有运行杀毒软件的时候下载 URL*址指定文件并安装，一般为杀毒软件。5 .“未运行杀毒软件时”：当检测到计算机没有运行杀毒软件的时候执行以下操作1) . “限制网络访问”：计算机在网内只能与安全服务器列表中的IP地址通讯，禁止与其他计算机通讯。vlan o2) . ”注销802.1认证”：当未运行杀毒软件时，客户端将注销正常登录并进入修复6 .系统补丁安全检测1） .启用“系统补丁安全检测”：对接入网络的计算机进行系统补丁的安全检测，检查其健康 度是否符合网络要求标准，检测内容包括计算机是否安装了指定系统补丁。2） . “漏安装列表中指定的补

13、丁时提示”：当检测到计算机没有安装列表中指定的补丁的时候 给计算机一个提示信息。3） . “漏安装列表中指定的补丁是打开（URL地址）"：当检测到计算机没有安装列别中指定 的补丁的时候给计算机定向到指定的 URLM址，例如某个可以下载到指定补丁的地址。7. “漏安装列表中补丁时”：当检测到计算机没有安装列表中的补丁时执行以下操作：1） . “限制网络访问”：计算机在网内只能与安全服务器列表中的IP地址通讯，禁止与其他 计算机通讯2） . ”注销802.1认证”：当未安装指定安全补丁时，客户端将注销正常登录并进入修复 vlan。 8.“检测补丁列表”：通过补丁号添加补丁检测列表，当计算

14、机接入网络的时候会检测计算 机是否安装了此列表中列出的补丁9.“限制网络访问后，允许安全服务器连通列表”：填写EDPserver、补丁服务器等安全服 务 器,当计算机被限制网络访问后只能与这个列表中的 IP地址通讯10. “DHCPf静态IP切 换”：在安检失败进入访客隔离区后，如果当时的IP为静态IP,则将其转换为DHCm式， 直到安检成功后返回正常工作区时再将 DHC叨式还原为以前设置的静态IP （选择了”注销 802.1认证"后,该选项才生效）。策略中心，接入认证策略，进程服务注册表认证1、添加认证模块（见1.1）2、”以上列表认证模块认证失败时提示”：当接入网络的计算机在进行

15、认证时， 认证失败则在计算机显示此信息3、”以上列表认证模块认证失败时打开(URLM址)"：当接入网络的计算机在进行认证时，认证失败则将计算机定向到此 URLM址4、 ”对上述 URLtT'(1)选择“打开/下载URLM址”：当检测到计算机认证失败的时候直接打开或者下载上边填写的URLft址(2)选择“下载URL地址指定文件并安装”：当检测到计算机认证失败的时候下载上边 URLM址指定文件并安装5、”以上列表认证模块认证失败时”：当认证失败时执行以下操作(1) “限制网络访问”：计算机在网内只能与安全服务器列表中的IP地址通讯，禁止与其 他计算机通讯(2) “注销802.1认

16、证”：注销本次认证，使计算机重新进行认证6、“DHCPf静态IP切换”：在安检失败进入访客隔离区后，如果当时的IP为静态IP,则 将其转换为DHCPf式，直到安检成功后返回正常工作区时再将 DHCPT式还原为静态IP (选 择了 "注销802.1认证"后，该选项才生效)。7、“限制网络访问后，允许安全服务器连通列表”：填写EDPserver、补丁服务器等安全服 务器，当计算机被限制网络访问后只能与这个列表中的IP地址通讯”。2.1、 文件存在认证I将建持相” 靠d也普:c -总hi, t t势在MIMI匿:(1)有:胤IImE臬目华；於 事£ !行并且标 展更上电

17、说III1皿1算六件怔皿I (山上费障的MiERfTHltjt立交伸认IM位I克群存在U证U3)(2)亡认*米0中庄3证攵体甲切噂于小于/于女工警干"蚣倡:。皿的tCm电L 的：q幅.在俄梅TE,时葭中方自开道兄f力号，林品主/产me中季打三格.需我1赧0号庵甲用,也营问弓q 峡区行和il醇,凯划1HMi:MR tr/尺室胫 仁 宏mcr* Fil仃11能向仃w 格式修人口力工挣马棒判*Ml厅直艮工代哀门力4在乘R歌瞅£仙巾上巡图号门1二口景启用工加变量整.优比L *'H司(4)选择”编辑认证模块”进入编辑认证模块页面填写里舄认证模块名字，单击“新建模板”，例如新建

18、认证模块名为“ ceshi(1)在“文件名”处填写要认证的文件名和路径例如：C:vrvclientvrv.exe ,表示当计 算机接入网络后要对此计算机进行安全检测，监测计算机是否存在“文件存在认证列表”中 的文件(2)选择“认证内容”1 ) ”仅认证文件存在"：接入网络的计算机当进行文件存在认证时仅检测计算机是否存 在列表中的文件;(2) “认证文件版本号”：计算机接入网络后对计算机的检测要检测文件的版本号；(3) “认证比较”三种检测比较的方式，指定接入网络的计算机当进行文件存在认证时将 计算机中的文件与列表中的文件检测比较的方式是等于 /小于等于/大于等于，“比较值”指 定标准

19、值。(4) “添加认证条目”将以上设置好的文件和文件的比较内容通过此按钮添加到“文件存在 认证列表中”。(5) “删除认证条目”将“文件存在认证列表中”不需要的文件从列表中删除(6) ”多条文件认证关系”：当列表中添加多个认证文件的时候选择采取多个文件判断的关系1)、“并且关系”，需要以上列表的认证都通过才算文件认证通过;2)、“或关系”，以上列表中的认证只要一条通过就算文件认证通过2.2、 进程运行认证(2)年4(«你1而U书府并驻孟加：内古：忖正理口音存在工正避把以£华志UELi:：宿码:j C 4-?*:*十寻？巴朝注;81%匍多口>(4)(1)在“进程名”中填

20、写要认证的进程名字。选择“认证内容”1) “仅认证进程是否存在"：接入网络的计算机当进行进程运行认证时仅检测计算机中 是否存在列表中的进程;2) “认证进程源文件名”接入网络的计算机当进行进程运行认证时要检测计算机中进程的源文件；(3) “认证比较”：指定接入网络的计算机当进行进程运行认证时将计算机中的进程与列表中的进程检测比较的方式是等于/小于等于/大于等于，“比较值”指定标准值。1 )点击“添加认证条目”将以上设置好的进程和进程的比较内容通过此按钮添加到“进程运行认证列表中”；2 )点击“删除认证条目”将“文件存在认证列表中”不需要的进程从列表中删除。(4) ”多条进程认证关系”

21、：当列表中添加多个认证进程的时候选择采取多个进程判断的关系。1) “并且关系”，需要以上列表的进程都通过才算进程运行认证通过；2) “或关系”，以上列表中的进程只要一条通过就算进程运行认证通过。2.3、 注册表键值认证1) “仅认证键是否存在"：接入网络的计算机当进行注册表键值认证时仅检测计算机中 是否存在列表中的注册表键；2) “认证键值” 接入网络的计算机当进行注册表键值认证时要检测计算机中注册表键 的键值的源文件。(4) “认证比较”：指定接入网络的计算机当进行注册表键值认证时将计算机中的进程与列表 中的进程检测比较的方式是等于/小于等于/大于等于，“比较值”指定标准值。1)点

22、击“添加认证条目”将以上设置好的注册表项和键名比较内容通过此按钮添加到“注册表键值认证列表中”；2)点击“删除认证条目”将“注册表键值认证列表中”不需要的条目从列表中删除。(5) ”多条注册表认证关系”：当列表中添加多个注册表项的时候选择采取多个注册表项判断 的关系。1) “并且关系”，需要以上列表的注册表键值通过才算注册表键值认证通过；2) “或关系”，以上列表中的注册表键值只要一条通过就算注册表键值认证通过。2.4、服务运行认证1)点击“添加认证条目”将以上填写好的服务名通过此按钮添加到“服务运行认证列表 中；2)点击“删除认证条目”将“服务运行认证列表中”不需要的服务名从列表中删除“多条

23、服务认证关系”：当列表中添加多个认证服务的时候选择采取多个服务判断的关系1) “并且关系”，需要以上列表中的服务名都通过才算服务运行认证通过；2) “或关系”，以上列表中的服务名只要一条通过就算服务运行认证通过。编辑完毕点击“保存认证模板配置”按钮，将上述配置保存，完成了 “ ceshi ”认证模块的编辑3.802.1x描述测试：测试目的测试系统用户是否可以通过 802.1X认证4.父换机配置如1、配置交换机和RADU艮务器，使交换机断口需要 802.1x认证下：方法/步骤2、配置策略，让终端通过 802.1x方式认证1.Cisco29503、将终端接入到交换机中，在登陆框中输入提前设定好的认

24、证口令配置方法终端接入到交换机中，按照相应的用户名和口令，进入到相应的Enable预期目标VLAN中(如GUESVLAN ; REPAIRVLAN ,如果输入错误的用户/*进入特名和口令，则认证/、成功。权,取/实测结果是config t/*进入全测试目的测试系统用户长时间不进行802.1X认证，是否自动进入到GUESVLAN 中-局配置模 式*/aaa new-model1、配置交换机和RADUISR务器，使交换机断口需要 802.1x认 证2、配置策略，让终端通过 802.1x方式认证方法/步骤/*启用aaa 认证*/aaa authentication3、将终端接入到交换机中，弹出认证框

25、之后，不进行认证预期目标终端接入到交换机中，长时间/、认证之后，自动跳转到GUESTVLAN 中实测结果是dot1x default测试系统用户接入认证时进行安全检查，检查不合格，则用group测试目的REPAIR VLAN勺用户名登陆跳入到 REPAIR VLAW,检查合格，radius /*自动跳入至U NORMAL VLAN配置802.1x 认证使用1、配置交换机和RADUISR务器，使交换机断口需要 802.1x认 证方法/步骤2、配置策略，让终端通过 802.1x方式认证3、配置策略，终端接入认证时，进行病毒软件、补丁、进程、radius 服务器数据库*/服务、文件的安全检查aaa终

26、端接入到交换机中，如果符合服务器的安全要求，则用NORMAL authoriza预期目标VLAN的用户名登陆到NORMAL VLAN,如果不符合安全要求，tion贝U用REPAIR VLAN勺用户名登陆至I REPAIR VLAN。network实测结果是default groupradius/*VLAN 分配必须 */radius-server host 192.168.1.132 key vrv /* 指定 radius 服务器地址为 192.168.1.132 , 通信密钥为vrv ,端口不用制定，默认1812和1813*/radius-server vsa send authentic

27、ation /*配置 VLANb配必须使用 IETF 所规定的 VSAfi*/ int vlan 1ip add 192.168.1.133 255.255.255.0 no shut/*为交换机配置管理地址，以便和 radius服务器通信*/int range f0/1 - 11dot1x port-control autoswitchport mode access/*为1到11端口配置dot1x , 12端口不配*/dot1x guest-vlan ID（VLANft 转命令）exit/*退回全局配置模式*/dot1x system-auth-control/*全局启动dot1x*/29

28、50交换机上VLAN的配置vlan databasevlan IDenableconfig tint range f0/1- 20switchport access vlan IDswitchport mode accessspanning-tree portfast2.华为 3COM 3628E置 dis cu#sysname H3C #domain default enable test#dot1xdot1x timer tx-period 10dot1x retry 4 #radius scheme systemradius scheme testserver-type standard

29、primary authentication 54.1.44.55primary accounting 54.1.44.55key authentication vrvkey accounting vrvuser-name-format without-domain #domain systemdomain testscheme radius-scheme testvlan-assignment-mode string#vlan 1#vlan 46#vlan 600description guest#vlan 601 to 602#interface Vlan-interface46ip ad

30、dress 54.1.46.250 255.255.255.0 #interface Aux1/0/0#interface Ethernet1/0/1port access vlan 600dot1x port-method portbaseddot1x guest-vlan 601dot1x#interface Ethernet1/0/2#interface Ethernet1/0/3#interface Ethernet1/0/4#interface Ethernet1/0/5#interface Ethernet1/0/6#interface Ethernet1/0/7#interfac

31、e Ethernet1/0/8#interface Ethernet1/0/9#interface Ethernet1/0/10#interface Ethernet1/0/11#interface Ethernet1/0/12#interface Ethernet1/0/13#interface Ethernet1/0/14#interface Ethernet1/0/15#interface Ethernet1/0/16 #interface Ethernet1/0/17#interface Ethernet1/0/18#interface Ethernet1/0/19# interfac

32、e Ethernet1/0/20#interface Ethernet1/0/21#interface Ethernet1/0/22port access vlan 601#interface Ethernet1/0/23#interface Ethernet1/0/24 #interface GigabitEthernet1/1/1#interface GigabitEthernet1/1/2 #interface GigabitEthernet1/1/3 #interface GigabitEthernet1/1/4port link-type trunkport trunk permit

33、 vlan 1 46 600 to 602#undo irf-fabric authentication-mode#interface NULL0#voice vlan mac-address 0001-e300-0000 mask ffff-ff00-0000 #ip route-static 0.0.0.0 0.0.0.0 54.1.46.1 preference 60 # user-interface aux 0 7 user-interface vty 0 4 # return <H3C> <H3C> <H3C>3.锐捷RGS2配置 hostname Switch vlan 1 vlan 600name 600 /要跳转的VLAN、须以VLAW来命名ip access-list extended UNAUTH permit ip any host 54.1.44.56!radius-server host 54.1.44.55aaa authentication dot1xaaa accounting server 54.1.44.55 aaa accounting/安全通道的ACL/未认证之前开放服务器/指定ra