北信源桌面终端标准化管理系统基于8021x协议的准入控

1、Evaluation Warning: The document was created with Spire.Doc for .NET.北信源桌面终端端标准化管理系系统基于802.11x协议的准入入控制方案一、802.11x协议认证描描述 8022.1x协议是是基于Clieent/Serrver的访问问控制和认证协协议。它可以限限制未经授权的的用户/设备通通过接入端口访访问LAN/MMAN。在获得得交换机或LAAN提供的各种种业务之前，8802.1x对对连接到交换机机端口上的用户户/设备进行认认证。在认证通通过之前，8002.1x只允允许EAPoLL（基于局域网网的扩展认证协协议）数据通过过

2、设备连接的交交换机端口；认认证通过以后，正正常的数据可以以顺利地通过以以太网端口。 网络访问问技术的核心部部分是PAE（端端口访问实体）。在在访问控制流程程中，端口访问问实体包含3部部分：认证者-对接入的用用户/设备进行行认证的端口；请求者-被被认证的用户/设备；认证服服务器-根据据认证者的信息息，对请求访问问网络资源的用用户/设备进行行实际认证功能能的设备。 二二、802.11x认证特点 基于以以太网端口认证证的802.11x协议有如下下特点：IEEEE802.11x协议为二层层协议，不需要要到达三层，对对设备的整体性性能要求不高，可可以有效降低建建网成本；借用用了在RAS系系统中常用的EE

3、AP（扩展认认证协议），可可以提供良好的的扩展性和适应应性，实现对传传统PPP认证证架构的兼容；802.1xx的认证体系结结构中采用了可控端口和和不可控端口口的逻辑功能能，从而可以实实现业务与认证证的分离，由RRADIUS和和交换机利用不不可控的逻辑端端口共同完成对对用户的认证与与控制，报文直直接承载在正常常的二层报文上上通过可控端口口进行交换，通通过认证之后的的数据包是无需需封装的纯数据据包；可以使用用现有的后台认认证系统降低部部署的成本，并并有丰富的支持持；可以映射不不同的用户认证证等级到不同的的VLAN；可可以使交换端口口和无线LANN具有安全的认认证接入功能。三、802.11x应用环境

4、及及其配置a. 一台安装IAAS或者ACSS的RADIUUS认证服务器器；b. 一台安装装VRVEDPP服务器；c.一个应用可可网管交换机的的网络环境；1.RADIUUS认证服务器器配置如下：进入添加/删除除程序中的添加加/删除Winndows组件件，选择网络服服务中的Intternet验验证服务2.安装IASS后，进入IAAS配置界面3右键点击RRADIUS客客户端，选择新新建RADIUUS客户端。客客户端地址为验验证交换机的管管理地址，点击击下一步。 4.选择RADDIUS Sttandardd，共享机密为为交换机中所配配置的key。点点击完成。注：1、验证交交换机可以填写写多个，比如：有

5、100个支支持802.11X协议的接入入层交换机，就就需要执行1000次步骤3与与步骤4的动作作，把100个个交换机的地址址与共享密码填填写进去。 2.此此步骤是至关重要的第一一步，一定要检检查填写的共享享密码与交换机机的共享密码相相同（这是思科科交换机命令输输入共享密码的的命令：raddius-seerver hhost 1936 key vrrv；36为raadius所在在服务器地址）。5.右键点击远远程访问策略，单单击新建远程访访问策略。注：1.建立远远程访问策略为为了使进行跟交交换机进行联动动，这个策略的的建立为以后的的用户成功认证证打下坚实的

6、基基础。2.这个策略一一个公共策略，在在一个网络中可可能有几百个用用户名密码进行行认证，这个要要按照步骤进行行配置，不要填填写用户名匹配配，不然会只有有一个匹配的用用户能够认证通通过。3.公司支持多多种加密认证方方式，在IASS中我们建议使使用MD5加密密算法来进行认认证。6.为策略取一一个名字，点击击下一步7.选择以太网网，点击下一步步8.选择用户，点点击下一步9.使用MD55质询，点击下下一步，并完成成。10.在右面板板中右键点击所所新建的策略，选选择属性。11.点击添加加，选择Dayy-And-TTime-Reestricttions12.选择添加加，选择允许，单单击确定。13.删除NA

7、AS-Portt-Type匹匹配”Ethernnet”，并选择授予予访问权限14.右键点击击连接请求策略略，选择新建连连接请求策略。 注：1.连接接请求策略是与与修复VLANN有关系的配置置，如果在实施施中没有设置修修复VLAN，这这一步骤可以不不进行配置。 2.连接请求策略略中添加useer-namee与用户名匹配配，公司客户端端软件暂时只支支持与repaair这个用户户名联动。如果果不使用reppair用户名名匹配，客户端端没有通过安检检时也会跳入修修复VLAN，但但是在客户端不不会提示已经进进入修复VLAAN。 3. IAS中设设置修复VLAAN设置方法有有几种，建议使使用文档中的操操作

8、方式。15.选择自定定义策略，并为为该策略取个名名字16.策略状况况选择添加Daay-And-Time-RRestricctions,配置方法同上上。17.删除NAAS-Portt-Type匹匹配”Ethernnet”，并选择授予予访问权限18.点击添加加，并选择usser-namme,点击添加加19.这里reepair 是是指repaiir子用户名（即即需要跳转的子子用户名字），点点击确定并应用用20.单击编辑辑配置文件，选选择高级-添加加选择添加64Tunnnel-Tyype：VLAAN 65Tunnnel-Meedium-TType：800281Tunnnel-Pvvt-Grouup-I

9、D：VVLAN IDD（修复VLAAN的vlann号）。21.单击确定定22添加远程程登录用户。在在本地用户和组组中新建一个用用户。注：在建立认证证账户之前，首首先检查“用可还原的加加密来存储密码码”是否启用。23.右键点击击新建的用户，进进入属性，选择择隶属于，删除除默认的USEERS组24.点击拨入入，设置为允许许访问25.IAS配配置完成。2.VRVEDDP服务器关于于802.1xx策略的配置及及解释：策略中心-接接入认证策略-802.11X接入认证认认证498765321 498765321密码认证方式：“单用户名密码码认证”：所接入的客客户端会以该策策略中指定的用用户名和密码认认证，

10、不需要用用户手工输入用用户名和密码“多用户密码认认证”：所接入的客客户端需要手工工输入在Raddius中建立立的认证用户名名和密码进行认认证“域用户名认证证”：所接入的客客户端如果是域域环境，使用此此功能可以在用用户登陆域时自自动认证。认证程序在托盘盘显示认证状态态的图标，绿色色为认证成功，黄黄色为未认证状状态，红色则为为认证失败。并并可以规定认证证失败特定次数数后就不再认证证，自动进入GGUEST VVLAN密码验证类型：分为MD5验验证和受保护的的EAP(PEEAP)两种模模式。安检失败处理方方式：配合补丁丁与杀毒软件策策略和进程服务务注册表策略使使用，当客户端端违反以上策略略并选择了根据

11、据802.1XX策略处理时，则则可对其执行以以下3种处操作作：不处理（即即注销其8022.1X认证）；进入正常工作作VLAN；进进入修复VLAAN。如果客户端环境境为DHCP动动态网络，则勾勾选DHCP动动态IP环境认认证；并当认证证失败后，这里里可以填入另外外一个用户名密密码再认证一次次（配合单用户户认证方式使用用）；当遇到网网络意外断开的的情况，勾选网网络恢复连接后后主动发起认证证，客户端在恢恢复网络时就会会主动发起认证证；支持华为认认证服务器的IIP绑定功能：配合华为公司司产品中的IPP与端口绑定的的功能。认证数据包传输输模式：分为组组播和广播两种种模式，默认为为组播，在不支支持组播的交

12、换换上使用广播模模式。超级认证帐户：即认证成功后后就会进入正常常工作VLANN，不受安检策策略限制。黑名单认证帐户户：即使用这个个帐户认证的客客户端始终都不不能认证通过。策略中心-接接入认证策略-补丁与杀毒毒软件认证1097546823110975468231设置说明：杀毒软件安全检检测1.启用“杀毒毒软件安全检测测”：对接入网络络的计算机进行行杀毒软件的安安全检测，检查查其健康度是否否符合网络要求求标准，检测内内容包括计算机机是否安装开启启了杀毒软件。2.“未运行杀杀毒软件时提示示”：当检测到计计算机没有运行行杀毒软件的时时候给计算机一一个提示信息。3.“未运行杀杀毒软件执行（UURL地址）

13、”：当检测到计计算机没有运行行杀毒软件的时时候给计算机定定向到指定的UURL地址，例例如某个可以下下载或者运行杀杀毒软件的地址址。4.“对上述UURL执行”1).选择“打打开/下载URRL地址”：当检测到计计算机没有运行行杀毒软件的时时候直接打开或或者下载上边填填写的URL地地址。2).选择“下下载URL地址址指定文件并安安装”：当检测到计计算机没有运行行杀毒软件的时时候下载URLL地址指定文件件并安装，一般般为杀毒软件。5.“未运行杀杀毒软件时”：当检测到计计算机没有运行行杀毒软件的时时候执行以下操操作1).“限制网网络访问”：计算机在网网内只能与安全全服务器列表中中的IP地址通通讯，禁止与

14、其其他计算机通讯讯。2).“注销8802.1认证证”：当未运行杀杀毒软件时，客客户端将注销正正常登录并进入入修复vlann。系统补丁安全检检测1).启用“系系统补丁安全检检测”：对接入网络络的计算机进行行系统补丁的安安全检测，检查查其健康度是否否符合网络要求求标准，检测内内容包括计算机机是否安装了指指定系统补丁。2).“漏安装装列表中指定的的补丁时提示”：当检测到计计算机没有安装装列表中指定的的补丁的时候给给计算机一个提提示信息。3).“漏安装装列表中指定的的补丁是打开（UURL地址）”：当检测到计计算机没有安装装列别中指定的的补丁的时候给给计算机定向到到指定的URLL地址，例如某某个可以下载

15、到到指定补丁的地地址。7. “漏安装装列表中补丁时时”：当检测到计计算机没有安装装列表中的补丁丁时执行以下操操作：1). “限制制网络访问”：计算机在网网内只能与安全全服务器列表中中的IP地址通通讯，禁止与其其他计算机通讯讯2).“注销8802.1认证证”：当未安装指指定安全补丁时时，客户端将注注销正常登录并并进入修复vllan。8.“检测补丁丁列表”：通过补丁号号添加补丁检测测列表，当计算算机接入网络的的时候会检测计计算机是否安装装了此列表中列列出的补丁9.“限制网络络访问后，允许许安全服务器连连通列表”：填写EDPPserverr、补丁服务器器等安全服 务务器，当计算机机被限制网络访访问后

16、只能与这这个列表中的IIP地址通讯110. “DHCP与静静态IP切换”： 在安检失败败进入访客隔离离区后，如果当当时的IP为静静态IP, 则则将其转换为DDHCP方式,直到安检成功功后返回正常工工作区时再将DDHCP方式还还原为以前设置置的静态IP (选择了注注销802.11认证后,该该选项才生效)。策略中心-接接入认证策略-进程服务注注册表认证67543216754321添加认证模块(见1.1)“以上列表认证证模块认证失败败时提示”：当接入网络络的计算机在进进行认证时，认认证失败则在计计算机显示此信信息“以上列表认证证模块认证失败败时打开（URRL地址）”：当接入网络络的计算机在进进行认证

17、时，认认证失败则将计计算机定向到此此URL地址“对上述URLL执行”（1）选择“打打开/下载URRL地址”：当检测到计计算机认证失败败的时候直接打打开或者下载上上边填写的URRL地址（2）选择“下下载URL地址址指定文件并安安装”：当检测到计计算机认证失败败的时候下载上上边URL地址址指定文件并安安装“以上列表认证证模块认证失败败时”：当认证失败败时执行以下操操作（1）“限制网网络访问”：计算机在网网内只能与安全全服务器列表中中的IP地址通通讯，禁止与其其他计算机通讯讯（2）“注销8802.1认证证”：注销本次认认证，使计算机机重新进行认证证“DHCP与静静态IP切换”： 在安检失失败进入访客

18、隔隔离区后，如果果当时的IP为为静态IP, 则将其转换为为DHCP方式式,直到安检成成功后返回正常常工作区时再将将DHCP方式式还原为静态IIP (选择了了注销8022.1认证后后,该选项才生生效)。“限制网络访问问后，允许安全全服务器连通列列表”：填写EDPPserverr、补丁服务器器等安全服 务务器，当计算机机被限制网络访访问后只能与这这个列表中的IIP地址通讯”。2.1、文件存存在认证(5)(4)(3)(2)(1)(5)(4)(3)(2)(1) 选择“编辑认证模块块”进入编辑认证证模块页面, 填写一个新的的认证模块名字字，单击“新建模板”，例如新建认认证模块名为“ceshi”。（1）在

19、“文件件名”处填写要认证证的文件名和路路径例如：C:vrvcllientvvrv.exee，表示当计算算机接入网络后后要对此计算机机进行安全检测测，监测计算机机是否存在“文件存在认证证列表”中的文件。（2）选择“认认证内容” 1）“仅认证文件存存在”：接入网络的的计算机当进行行文件存在认证证时仅检测计算算机是否存在列列表中的文件； 2）“认证文文件版本号”：计算机接入入网络后对计算算机的检测要检检测文件的版本本号； 3）“认证比比较”三种检测比较较的方式，指定定接入网络的计计算机当进行文文件存在认证时时将计算机中的的文件与列表中中的文件检测比比较的方式是等等于/小于等于于/大于等于，“比较值”

20、指定标准值。(3)“添加认认证条目”将以上设置好好的文件和文件件的比较内容通通过此按钮添加加到“文件存在认证证列表中”。(4)“删除认认证条目”将“文件存在认证证列表中”不需要的文件件从列表中删除除。(5)“多条文文件认证关系”：当列表中添添加多个认证文文件的时候选择择采取多个文件件判断的关系。 1)、“并且且关系”，需要以上列列表的认证都通通过才算文件认认证通过； 2)、“或关关系”，以上列表中中的认证只要一一条通过就算文文件认证通过。2.2、进程运运行认证(4)(3)(2)(1)(4)(3)(2)(1)(1)在“进程程名”中填写要认证证的进程名字。(2)选择“认认证内容”。 1)“仅认证进

21、程是是否存在”：接入网络的的计算机当进行行进程运行认证证时仅检测计算算机中是否存在在列表中的进程程； 2)“认证进程源文文件名” 接入网络的的计算机当进行行进程运行认证证时要检测计算算机中进程的源源文件；(3)“认证比比较”：指定接入网网络的计算机当当进行进程运行行认证时将计算算机中的进程与与列表中的进程程检测比较的方方式是等于/小小于等于/大于于等于，“比较值”指定标准值。 1）点点击“添加认证条目目”将以上设置好好的进程和进程程的比较内容通通过此按钮添加加到“进程运行认证证列表中”； 2）点点击“删除认证条目目”将“文件存在认证证列表中”不需要的进程程从列表中删除除。(4)“多条进进程认证

22、关系”：当列表中添添加多个认证进进程的时候选择择采取多个进程程判断的关系。 1)“并且关系”，需要以上列列表的进程都通通过才算进程运运行认证通过； 2)“或关系”，以上列表中中的进程只要一一条通过就算进进程运行认证通通过。2.3、注册表表键值认证(5)(4)(3)(2)(1)(5)(4)(3)(2)(1)(1)在“注册册表项路径”中填写要认证证的注册表项路路径，不包含键键名。(2)“键名”：指定上边注注册表项中需要要作为认证的键键名。(3)“认证内内容”： 1)“仅认证键是否否存在”：接入网络的的计算机当进行行注册表键值认认证时仅检测计计算机中是否存存在列表中的注注册表键； 2)“认证键值”

23、接入网络的的计算机当进行行注册表键值认认证时要检测计计算机中注册表表键的键值的源源文件。(4)“认证比比较”：指定接入网网络的计算机当当进行注册表键键值认证时将计计算机中的进程程与列表中的进进程检测比较的的方式是等于/小于等于/大大于等于，“比较值”指定标准值。 1)点点击“添加认证条目目”将以上设置好好的注册表项和和键名比较内容容通过此按钮添添加到“注册表键值认认证列表中”； 2)点点击“删除认证条目目”将“注册表键值认认证列表中”不需要的条目目从列表中删除除。(5)“多条注注册表认证关系系”：当列表中添添加多个注册表表项的时候选择择采取多个注册册表项判断的关关系。 1)“并且关系”，需要以

24、上列列表的注册表键键值通过才算注注册表键值认证证通过； 2)“或关系”，以上列表中中的注册表键值值只要一条通过过就算注册表键键值认证通过。2.4、服务运运行认证(2)(1)(1)在“服务务名”中填写要认证证的服务名字。(2)(1) 1)点点击“添加认证条目目”将以上填写好好的服务名通过过此按钮添加到到“服务运行认证证列表中； 2)点点击“删除认证条目目”将“服务运行认证证列表中”不需要的服务务名从列表中删删除。(2)“多条服服务认证关系”：当列表中添添加多个认证服服务的时候选择择采取多个服务务判断的关系。 1)“并且关系”，需要以上列列表中的服务名名都通过才算服服务运行认证通通过； 2)“或关

25、系”，以上列表中中的服务名只要要一条通过就算算服务运行认证证通过。编辑完毕点击“保存认证模板板配置”按钮，将上述述配置保存，完完成了“ceshi”认证模块的编编辑3.802.11x描述测试：测试目的测试系统用户是是否可以通过8802.1x认认证方法/步骤配置交换机和RRADUIS服服务器，使交换换机断口需要8802.1x认认证配置策略，让终终端通过8022.1x方式认认证将终端接入到交交换机中，在登登陆框中输入提提前设定好的认认证口令预期目标终端接入到交换换机中，按照相相应的用户名和和口令，进入到到相应的VLAAN中（如GUUEST VLLAN ；REEPAIR VVLAN），如如果输入错误的

26、的用户名和口令令，则认证不成成功。实测结果是 测试目的测试系统用户长长时间不进行8802.1x认认证，是否自动动进入到GUEEST VLAAN中方法/步骤配置交换机和RRADUIS服服务器，使交换换机断口需要8802.1x认认证配置策略，让终终端通过8022.1x方式认认证将终端接入到交交换机中，弹出出认证框之后，不不进行认证预期目标终端接入到交换换机中，长时间间不认证之后，自自动跳转到GUUEST VLLAN中实测结果是 测试目的测试系统用户接接入认证时进行行安全检查，检检查不合格，则则用REPAIIR VLANN的用户名登陆陆跳入到REPPAIR VLLAN中，检查查合格，自动跳跳入到NO

27、RMMAL VLAAN中方法/步骤配置交换机和RRADUIS服服务器，使交换换机断口需要8802.1x认认证配置策略，让终终端通过8022.1x方式认认证配置策略，终端端接入认证时，进进行病毒软件、补补丁、进程、服服务、文件的安安全检查预期目标终端接入到交换换机中，如果符符合服务器的安安全要求，则用用NORMALL VLAN 的用户名登陆陆到NORMAAL VLANN中，如果不符符合安全要求，则则用REPAIIR VLANN的用户名登陆陆到REPAIIR VLANN中。实测结果是 交换机配置如下下：1. Ciscco2950配配置方法Enable /*进入特特权模式*/config t /*进

28、入入全局配置模式式*/aaa neww-modell /*启用aaaa认证*/aaa auuthentiicationn dot1xx defauult grooup raddius /*配置802.1x认证使用用radiuss服务器数据库库*/aaa autthorizaation nnetworkk defauult grooup raddius/*VVLAN分配必必须*/raddius-seerver hhost 1932 key vrrv /*指定定radiuss服务器地址为为192.1668.1.1332，通信密钥钥为vrv，端端口不用制定，默默认1812和和18

29、13*/radius-serverr vsa ssend auuthentiicationn /*配置VVLAN分配必必须使用IETTF所规定的VVSA值*/iint vlaan 1 ipp add 1192.1688.1.1333 255.2255.2555.0 no shut/*为交换机配置置管理地址，以以便和radiius服务器通通信*/intt rangee f0/1 - 11doot1x poort-conntrol aauto swwitchpoort modde acceess /*为为1到11端口口配置dot11x，12端口口不配*/dot1x gguest-vvlan IDD

30、 （VLANN跳转命令）eexit/*退退回全局配置模模式*/dott1x sysstem-auuth-conntrol/*全局启动doot1x*/22950交换机机上VLAN的的配置vlan daatabaseevlan IDDenableconfig tint rannge f0/1 20switchpport acccess vvlan IDDswitchpport moode acccessspanninng-treee portffast华为3COM 3628配置置dis cu # sysnamme H3C # domainn defauult enaable teest # dot

31、1x dot1x timer tx-perriod 100 dot1x retry 4 # radius schemee systeem radius schemee test serverr-type standaard primarry authhenticaation 554.1.444.55 primarry accoountingg 5 key auuthentiicationn vrv key acccountiing vrvv user-nname-foormat wwithoutt-domaiin # domain systemm domain test sc

32、hemee radiuus-scheeme tesst vlan-aassignmment-moode strring # vlan 1 # vlan 466 # vlan 6000 descriiption guest # vlan 6001 to 6602 # interfaace Vlaan-inteerface446 ip adddress 554.1.466.250 2255.2555.255.00 # interfaace Auxx1/0/0 # interfaace Ethhernet11/0/1 port aaccess vlan 6600 dot1x port-mmethod

33、 portbaased dot1x guest-vlan 6601 dot1x # interfaace Ethhernet11/0/2 # interfaace Ethhernet11/0/3 # interfaace Ethhernet11/0/4 # interfaace Ethhernet11/0/5 # interfaace Ethhernet11/0/6 # interfaace Ethhernet11/0/7 # interfaace Ethhernet11/0/8 # interfaace Ethhernet11/0/9 # interfaace Ethhernet11/0/1

34、0 # interfaace Ethhernet11/0/11 # interfaace Ethhernet11/0/12 # interfaace Ethhernet11/0/13 # interfaace Ethhernet11/0/14 # interfaace Ethhernet11/0/15 # interfaace Ethhernet11/0/16 # interfaace Ethhernet11/0/17 # interfaace Ethhernet11/0/18 # interfaace Ethhernet11/0/19 # interfaace Ethhernet11/0/2

35、0 # interfaace Ethhernet11/0/21 # interfaace Ethhernet11/0/22 port aaccess vlan 6601 # interfaace Ethhernet11/0/23 # interfaace Ethhernet11/0/24 # interfaace GiggabitEtthernett1/1/1 # interfaace GiggabitEtthernett1/1/2 # interfaace GiggabitEtthernett1/1/3 # interfaace GiggabitEtthernett1/1/4 port ll

36、ink-tyype truunk port ttrunk ppermit vlan 11 46 6000 to 6602 # undo iirf-fabbric auuthentiicationn-mode # interfaace NULLL0 # voice vlan mmac-adddress 00001-e3300-00000 maskk ffff-ff00-00000 # ip rouute-staatic preferrence 660 # user-innterfacce aux 0 7 user-innterfacce vt

37、y 0 4 # return 3锐捷RGSS21配置hostnamme Swittchvlan 1!vlan 6000 name 6600 /要跳跳转的VLANN必须以VLAAN号来命名!ip acceess-lisst exteended UUNAUTH/安全通道的AACL permiit ip aany hoost 56 /未未认证之前开放放服务器!radius-serverr host 54.1.444.55 /指定raddius服务器器的地址aaa autthenticcation dot1x /开启启认证aaa acccountinng servver