安全与VPN-Triple认证技术介绍-D

1、，安全与VPN-Triple认证技术介绍技术介绍 安全和 VPN目 录i目 录 HYPERLINK l _bookmark0 Triple认证 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 产生背景 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 认证机制 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark1 扩展功能 HYPERLINK l _bookmark1 2 HYPERLINK l _bookmark1 授权VLAN下发 HYPERLINK l

2、_bookmark1 2 HYPERLINK l _bookmark1 认证失败的VLAN HYPERLINK l _bookmark1 2 HYPERLINK l _bookmark1 在线用户探测功能 HYPERLINK l _bookmark1 2 HYPERLINK l _bookmark2 典型组网应用 HYPERLINK l _bookmark2 3 HYPERLINK l _bookmark2 基本认证功能 HYPERLINK l _bookmark2 3 HYPERLINK l _bookmark2 配合授权VLAN下发及Auth-Fail VLAN功能 HYPERLINK l

3、 _bookmark2 3技术介绍 安全和 VPNTriple 认证 PAGE 4Triple 认证产生背景在客户端形式多样的网络环境中，客户端能适应的接入认证方式也有所不同，如 HYPERLINK l _bookmark0 图 1所示，有的客户端只能进行MAC地址认证（比如打印机终端）；有的主机安装了 802.1X客户端软件，可以进行802.1X认证；有的用户主机未安装 802.1X客户端软件，只能通过Web访问进行Portal认证。为了灵活地适应这种网络环境中的多种认证需求，需要在接入用户的端口上对三种认证方式进行统一部署，使得用户可以选择任何一种适合的认证机制来进行认证，且只需要一次认证

4、成功即可实现接入， 无需多次认证。图 1 Triple 认证典型应用组网图IP networkAAA server802.1X authenticationPortal authenticationMAC authentication802.1X clientPrinterWeb userTriple 认证方案可满足以上需求，通过同时在设备的二层端口上使能 Portal 认证、MAC 地址认证、802.1X 认证，使得客户端可以通过三种认证方式中的任意一种进行认证，且只要客户端通过任何一种认证即可接入网络，而其它认证方式下的认证过程将被中断。认证机制在同时使能了三种认证方式的端口上，三种认证方

5、式的触发机制有所不同：客户端启动时或者客户端网卡接入网络时首先触发 MAC 地址认证，若 MAC 地址认证成功， 则后续无需其它认证；如若 MAC 地址认证失败，则后续可以触发 802.1X 或者 Portal 认证。如果客户端使用系统自带的 802.1X 客户端或者第三方客户端软件发送 EAP 报文，则触发802.1X 认证。如果客户端发送 HTTP 报文，则触发 Portal 认证。在客户端通过一种认证之前，其它同时进行的认证过程都不会被停止，而且某一种认证方式的失败也不会影响同时进行的其它认证过程。客户端通过某一种认证后，后续端口上采用的认证策略如下：同时进行的其它认证立即被中止。客户端

6、通过 802.1X 认证或者 Portal 认证后，不会再触发其它认证。客户端通过 MAC 地址认证后，不会再触发 Portal 认证，但可允许触发 802.1X 认证。后生成的 802.1X 认证用户信息会覆盖已存在的 MAC 地址认证用户信息。扩展功能目前，在同时使能了三种认证方式的端口上，还支持以下扩展功能。授权 VLAN 下发当用户通过认证后，如果授权服务器上配置了下发 VLAN 功能，那么服务器会将授权 VLAN 信息下发给接入设备，由接入设备将认证成功的用户加入对应的授权 VLAN 中。通过支持下发授权 VLAN，可实现对已认证用户可访问网络资源的控制认证失败的 VLANAuth-

7、Fail 功能允许用户在认证失败的情况下，可以访问某一特定 VLAN 中的资源，比如获取客户端软件，升级客户端或执行其他一些用户升级程序。这个 VLAN 称之为 Auth-Fail VLAN。如果接入用户的端口上配置了 Auth-Fail VLAN，则端口上会基于认证失败的 MAC 地址生成相应的MAC VLAN 表项，认证失败的用户将会被加入 Auth-Fail VLAN 中。对于 802.1X 和 Portal 用户，认证失败的 VLAN 为端口上配置 Auth-Fail VLAN。对于 MAC 地址认证用户，认证失败的 VLAN 为端口上配置的 Guest VLAN。在线用户探测功能对于

8、 Portal 用户，通过开启流量探测定时器（默认为 5 分钟）来探测用户是否在线；对于 802.1X 认证用户，通过开启端口上的在线用户握手功能或者重认证功能来探测用户是否在线，探测时间间隔可配置；对于 MAC 认证用户，通过开启下线检测定时器，来探测用户是否在线，检测时间间隔可配置。典型组网应用基本认证功能图 2 Triple 认证基本功能配置组网图客户端静态配置 IP 地址；使用远程 RADIUS 服务器对用户进行认证、授权和计费；在接入设备的二层端口上对所有用户进行统一认证，且只要用户通过 802.1X 认证、Portal 认证、MAC 地址认证中的任何一种认证，即可接入网络。配合授权VLAN 下发及Auth-Fail VLAN 功能图 3 Triple 认证配合授权 VLAN 下发及 Auth-Fail VLAN 功能配置组网图客户端动态获取 IP 地址；（DHCP 服务器可由接入设备充当也可外置，本应用中由接入设备提供 DHCP 服务）使用远程 RADIUS 服务器对用户进行认证、授权和计费；在接入设备