准入控制技术使用手册北信源

北信源桌面终端原则化管理系统准入控制技术使用手册目录一、802.1x认证模块原理(31-1.802.1x的工作机制(31-2.802.1x的认证过程(4二、VRVEDP-NAC系统硬件配备及实施方案(52-1.VRVEDP-NAC有关系统硬件配备(52-2.VRVEDP-NAC实施方案(5三、802.1x认证应用注册事项(22四、802.1x认证应急预案(244-1.预案流程(244-2.应急事件解决办法(24一、802.1x认证模块原理1-1.802.1x的工作机制IEEE802.1x认证系统运用EAP(ExtensibleAuthenticationProtocol,可扩展认证合同合同,作为在客户端和认证服务器之间交换认证信息的手段。802.1x认证系统的工作机制在客户端PAE与设备端PAE之间,EAP合同报文使用EAPOL封装格式,直接承载于LAN环境中。在设备端PAE与RADIUS服务器之间,EAP合同报文能够使用EAPOR封装格式(EAPoverRADIUS,承载于RADIUS合同中;也能够由设备端PAE进行终止,而在设备端PAE与RADIUS服务器之间传送PAP合同报文或CHAP合同报文。当顾客通过认证后,认证服务器会把顾客的有关信息传递给设备端,设备端PAE根据RADIUS服务器的批示(Accept或Reject决定受控端口的授权/非授权状态。1-2.802.1x的认证过程802.1x认证系统的认证过程1.当顾客有上网需求时打开802.1x客户端,输入已经申请、登记过的顾客名和口令,发起连接请求(EAPOL-Start报文。此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。2.交换机收到请求认证的数据帧后,将发出一种请求帧(EAP-Request/Identity报文规定顾客的客户端程序发送输入的顾客名。3.客户端程序响应交换机发出的请求,将顾客名信息通过数据帧(EAP-Response/Identity报文送给交换机。交换机将客户端送上来的数据帧通过封包解决后(RADIUSAccess-Request报文送给RADIUS服务器进行解决。4.RADIUS服务器收到交换机转发的顾客名信息后,将该信息与数据库中的顾客名表相比对,找到该顾客名对应的口令信息,用随机生成的一种加密字对它进行加密解决,同时也将此加密字通过RADIUSAccess-Challenge报文传送给交换机,由交换机传给客户端程序。5.客户端程序收到由交换机传来的加密字(EAP-Request/MD5Challenge报文后,用该加密字对口令部分进行加密解决(此种加密算法一般是不可逆的,生成EAP-Response/MD5Challenge报文,并通过交换机传给RADIUS服务器。6.RADIUS服务器将加密后的口令信息(RADIUSAccess-Requeset报文和自己通过加密运算后的口令信息进行对比,如果相似,则认为该顾客为正当顾客,反馈认证通过的消息(RADIUSAccess-Accept报文和EAP-Success报文。交换机将端口状态改为授权状态,允许顾客通过该端口访问网络。如果顾客名和口令不对的,则将该端口状态改为非授权状态,将将该端口跳转到guest-vlan.7.客户端也能够发送EAPoL-Logoff报文给交换机,主动终止已认证状态,交换机将端口状态从授权状态变化成未授权状态。二、VRVEDP-NAC系统硬件配备及实施方案2-1.VRVEDP-NAC有关系统硬件配备方略服务器(VRVEDP-SERVER:专用服务器,即安装桌面终端原则化管理系统的服务器。配备规定以下,PentiumⅢ800以上CPU,1G以上内存,硬盘80G,10/100BaseTX网络接口。Windows/server(ServicePack4.0操作系统、IE6.0。Radius认证服务器:微软的IAS,CISCOACS可同方略服务器使用同一台服务器。LINUXFREERADIUS需要单独一台PC计算机:PentiumⅢ800以上CPU,512M以上内存,硬盘20G。同时为确保RADIUS服务器能够同网络中的交换机正常通讯,RADIUS服务器需要启动1812、1813、1645、1646端口。若在本地网络中RADIUS服务器同交换机之间安装网络防火墙,或桌面终端主机同管理服务器之间存在防火墙,请注意注意端口开放问题(管理服务器TCP88、桌面终端TCP22105。2-2.VRVEDP-NAC实施方案在实施VRVEDP-NAC前,首先需要根据本身的网络环境,明确需要实现的准入功效,从而拟定准入控制的实施方案。2-2-1.具休实施方案2-2-1-1.顾客需求顾客在调查过本身网络环境之后,拟定要配备准入功效的交换机位置以及要启动的端口,并且规定实现下列功效:1.准入控制系统只需要一种正常的工作区,注册终端顾客在接入交换机认证端口后能自动进行认证,认证成功后能够访问内网。2.未注册终端接入交换机认证端口后认证失败,不能正常访问内网,安装注册程序后注册成功后,能够自动认证成功并访问内网。2-2-1-2.实现方式从上面的顾客需求来看,顾客的规定重要能够分为注册终端和非注册终端两个方面的需求。对注册终端而言,只规定实现能够自动进行认证。对未注册终端来说,在未安装注册程序成文注册终端之前接入交换机认证端口后,严禁其访问内网使用内网资源。通过移动存储设备拷贝注册程序到未注册终端,未注册终端安装注册程序进行注册,并成为注册终端后也能实现自动认证,认证成功后能正常访问内网,使用内网中的资源。2-2-1-3.配备前的准备要实现上述功效,802.1x认证模块需要以下的硬件环境:一台安装了桌面终端原则化管理系统服务器接在正常的工作区VLAN中,重要负责在配备802.1x认证模块之前向管辖范畴内的终端下发802.1x认证方略,同时也可作为从(备份radius服务器。一台安装了IAS的WIDOWS系统的服务器接在正常工作区VLAN中,作为主radius服务器,在整个认证过程中作为接入认证的服务器,根据定义的规则判断客户端与否准予接入。配备准入模块的交换机支持802.1x认证合同2-2-1-4.配备环节配备802.1x接入认证模块比较复杂,重要涉及到交换机、radius服务器、认证终端、强制注册服务器等设备,大致配备环节以下:第一步:首先在桌面原则化管理系统给需要认证的终端下发802.1x认证方略,配备802.1x认证方略,设立为单顾客认证后下发给需要认证的注册终端。第二步:配备桌面终端管理系统的注册程序,将802.1x认证方略打包进新的注册程序。第三步:配备交换机,拟定工作区VLAN,根据需要启动认证端口。第四步:将radius服务器放置在正常工作区VLAN中,配备radius服务器,根据需要设立接入认证规则。2-2-1-5.具体配备过程802.1x认证方略的下发进入桌面终端原则化管理系统的WEB平台中的方略中心模块的接入认证方略,打开“802.1x认证方略”进入方略配备界面。在“密码认证方式”中选择“单顾客名密码”认证方式,并在其后的顾客名和密码框中输入对应的顾客名和密码,该顾客名和密码就是后来这些终端进行接入认证时需要用到的顾客名和密码,记住该顾客名和密码,由于其后的radius配备中还需用到。配备界面如图:(2保存方略之后,将方略分派给需要认证的设备。交换机配备思科交换机配备通过超级终端,进入思科交换机配备界面,输入以下命令启动端口的802.1x认证。switch#configt;进入全局配备模式Switch(config#aaanew-model//启用aaa认证Switch(config#aaaauthenticationlogindefaultenable//(注意:telnet到交换机需要usename的不用此命令:没有usename,直接输入密码的要加入此命令Switch(config#aaaauthenticationdot1xdefaultgroupradius//配备802.1x认证使用radius服务器数据库Switch(config#aaaauthorizationnetworkdefaultgroupradiusSwitch(config#radius-serverhost10.64.226.20keyld12345//设立主radius服务器地址和口令(地址和口令需要修改Switch(config#radius-serverhost10.64.226.22keyld12345//设立备份radius服务器地址和口令(地址和口令需要修改Switch(config#radius-serverretransmit1//配备Radius服务器的超时定时器,默认值3switch(config#radius-servervsasendauthentication;配备VLAN分派必须使用IETF所规定的VSA值Switch(config#dot1xsystem-auth-control//全局启动dot1x认证以太网接口模式下:Switch(config-if#switchportmodeaccessspanning-treeportfastdot1xport-controlauto//在需要认证的端口下启动dot1x认证最后记住保存.不需要启动认证的命令是:Switch(config-if#nodot1xport-controlauto(哪个端口现在不需要认证了就用这个命令Switch(config#nodot1xsystem-auth-control(全部不启用认证华为交换机配备跟思科交换机同样,通过超级终端进入交换机配备界面,输入以下命令。system-view(进入系统配备模式radiusschemeTEST(新建一种radius方案primaryauthentication10.65.46201812(设定认证服务器IP与端标语primaryaccounting10.65.46.201813(设定计费服务器IP与端标语accountingoptional(设立此方案不计费keyauthenticationnzdcjc12(填写服务器与交换机共享机密keyaccountingnzdcjc12(填写服务器与交换机共享机密secondradauthentication10.64.226.201812(指定备份认证服务器secondradaccounting10.64.226.201813(指定备份计费服务器keyauthenticationnzdcjc12keyaccountingnzdcjc12user-name-formatwithout-domain(将认证帐号去除域名quitdomainvrvtest(新建一种域名radius-schemetest(将RADIUS方略应用到此域(注意:如果无法打出radius-schemetest命令的话,请打下面的命令,功效也是将radius方略应用到vrvtest域authenticationdefaultradius-schemetestauthorizationdefaultradius-schemetestaccountingdefaultradius-schemetestquitdomaindefaultenablevrvtest(将新建的域作为缺省域interfaceEthernet1/0/2(进入需要设定启动802.1x的端标语dot1x(启动2号端口的802.1x功效dot1xport-methodportbased(配备端口上进行接入控制的方式为portbased,MAC模式时不能设立GUESTVLANdot1xport-controlauto(配备端口上进行接入控制的模式为autoquit(退出2号端口模式dot1x(全局配备下启动全局802.1xdot1xauthentication-methodeap(设定802.1x的认证办法为EAP最后记住保存,不需要启动认证的命令是:undodot1x(全局配备下使用radius服务器配备交换机配备结束后哦,我们要对radius服务器进行配备,重要分为配备主radius服务器和在主radius服务器上设立主从radius服务器主Radius服务器配备(1安装RADIUS进入添加/删除程序中的添加/删除Windows组件,选择网络服务中的Internet验证服务(2安装IAS后,进入IAS配备界面(3右键点击RADIUS客户端,选择新建RADIUS客户端。名称可任意填写,客户端地址为验证交换机的管理地址(即全部接入层启用802.1x的交换机的管理IP,有多少个就要建多少个RADIUS客户端,这里只以一种作为例子。,点击下一步。(4选择RADIUSStandard,共享机密为交换机中所配备的key。点击完毕。(5右键点击远程访问方略,单击新建远程访问方略。(6为方略取一种名字,点击下一步(7选择以太网,点击下一步(8选择顾客,点击下一步(9使用MD5质询,点击下一步,并完毕。(10在右面板中右键点击所新建的方略,选择属性。(11点击添加,选择Day-And-Time-Restrictions(12选择添加,选择允许,单击拟定。(13删除NAS-Port-Type匹配”Ethernet”,并选择授予访问权限(14启用本地安全方略——安全设立——账户方略——密码方略——用可还原的加密来储存密码。(注意:这步一定要在新建远程登录顾客前完毕!(15添加远程登录顾客。在本地顾客和组中新建一种顾客,该顾客名和密码要与先前的802.1x认证方略中输入的顾客名和密码对应起来。(注意:添加远程登录顾客时,必须在IAS配备完之后再添加。(16右键点击新建的顾客,进入属性,选择从属于,删除默认的USERS组(17点击拨入,设立为允许访问(18IAS配备完毕,确保InternetAuthenticationService服务处在启动状态。(19VRVEDPAgent认证成功。(手工认证的图从radius服务器的配备如果需要从(备份radius服务器的话,还需要在主radius服务器上设立主从radius服务器,具体配备以下:(1进入主radius服务器的IAS控制台(2新建远程RADIUS服务器组(3指定主服务器与备份服务器IP地址,在主服务器配备即可。注意:从radius服务器其它配备与主radius服务器配备相似。配备完以上各个服务器、交换机和客户端后,802.1x接入认证模块就配备完毕了。三、802.1x认证应用注册事项实施准备阶段需要注意的问题1.根据华能澜沧江水电有限公司内网的网络拓扑构造图,决定radius服务器、以及注册程序下载服务器安放的位置。建议将以上服务器都安装在主交换机上,这样对管辖网络范畴全部终端,都能够根据需要启动对其的802.1x认证,从而方便管理员的管理。2.需要配备备份(从radius服务器,备份radius服务器与主radius服务器配备相似。当主radius服务器出现故障无法正常工作时,终端能够通过备份radius服务器实现正认证功效,避免发生由于主radius服务器发生故障造成网络内终端无法接入认证的状况。3.确保要启动802.1x认证功效的交换机都支持802.1x认证,根据网络拓扑结构,明确管理网络范畴内需要对哪些终端进行802.1x认证,哪些重要服务器及无法进行认证的设备(如网络打印机等不需要进行802.1x,明确这些设备具体接在交换机的哪些端口上,汇总整顿后编写出《需启动认证交换机端口列表》的文档,方便后来的实施工作。实施阶段需要注意的问题1.实施802.1x是一项比较复杂并且工作量较大的工程,在实施前应制订出具体的实施计划,在实施过程中按照实施计划开展实施工作。建议实施计划分为四个环节:第一步,先架设好radius服务器及注册程序下载服务器,然后在小范畴内进行测试;第二步,选定某一楼层,按照之前准备好的《实施终端状况表》在该楼层的某一部门或办公室的接入层交换机上启动802.1x认证,在该部门或办公室实施完毕后进行测试,测试成功后,再在该楼层其它部门或办公室交换机上实施802.1x;第三步,根据第二步实施的环节,按楼层逐步在各部门或办公室的交换机上实施802.1x;第四步,在各楼层实施完毕后,进行大范畴的测试。分环节实施能避免由于实施过程中的错误造成大面积终端无法认证或不能连接内网的状况出现,减少实施的风险,最大程度的减少实施802.1x对正常工作的影响。2.每台交换机的工作区VLAN上要预留一种非认证端口作为该交换机与上层交换机的通信端口,确保每台交换机能与radius服务器正常通信。3.在交换机上配备802.1x之前,最佳先将802.1x认证方略下发下去。4.在配备交换机时,最佳是一种一种的启动端口的802.1x认证功效。5.在实施中,可能会碰到交换机认证端口下接HUB或非认证交换机的状况,当终端接入这类HUB或非认证交换机时,首先要判断终端与否能认证,也就是说认证报文信息与否能穿透这类HUB或非认证交换机。另一方面,如果单个终端能进行认证的话,要根据所接上层启动了认证交换机型号做对应的解决。6.大型网络的环境比较复杂,测试人员在测试过程中可能会出现认证失败,因此,在测试时测试人员要耐心等待,直到终端认证过程结束后再做对应的解决。7.实施完毕后,根据之前的网络拓扑图,将启用和不启用802.1x认证的终端信息整顿成对应的文档,方便后来的维护。日常运行维护阶段要注意的问题1.定时查看radius服务器上的事件查看器,出现认证失败的信息后,能根据事件查看器上的信息判断认证失败的因素。2.当某一交换机发生故障造成某一楼层或部门、办公室内的全部终端无法认证时,通过实施完毕后准备好的文档,能方便鉴定出现故障的设备,及时修复。3.应急修复故障故障交换机时,为了尽快恢复网络连接,能够先停用802.1X认证功效,这样终端就能够访问网络,不影响正常的工作,待下班或放假后再做配备、恢复交换机配备。四、802.1x认证应急预案4-1.预案流程1、对桌面终端原则化管理系统和Radius服务器进行数据备份工作;2、桌面终端原则化管理系统所在服务器出现故障,该系统无法启动等。通过故障检查,确认短时间内无法解决,则启动此预案流程;3、Radius主用服务器出现故障,客户端自动在备用服务器进行认证,管理员不需做操作;4、桌面终端原则化管理系统服务器出现故障,管理员启用备用服务器;5、系统切换完毕后,进行系统功效测试;6、通过系统日志、主机防护系统日志、防火墙日志、入侵检测系统日志等,对事件进行审计,对损失进行评定,追查事件的发生因素;7、消除隐患、调节方略;8、有关部