802.1x准入控制技术使用手册(北信源)

北信源桌面终端标准化管理系统

准入控制技术

使用手册

2010年5月

目录

一、802.1X认证模块原理（3

1-1.802.1X的工作机制（3

1-2.802.1X的认证过程（4

二、VRVEDP-NAC系统硬件配置及实施方案（5

2-1.VRVEDP-NAC相关系统硬件配置（5

2-2.VRVEDP-NAC实施方案（5

三、802.1X认证应用注册事项（22

四、802.1X认证应急预案（24

4-1.预案流程（24

4・2.应急事件处理方法（24

一、802.1X认证模块原理

1-1.802.1X的工作机制

IEEE802.lx认证系缔IJ用EAP（ExtensibleAuthenticationProtocol,可扩展认证协

议协议，作为在客户端和认证服务器之间交换认证信息的手段。

RadiusServer

Lijxcfco-rputa傀||_

Poricoiuieclu千一

・^Accessblocked

802.1X认证系统的工作机制

在客户端PAE与设备端PAE之间,EAP协议报文使用EAPOL封装格式，直接承载于

LAN环境中。

在设备端PAE与RADIUS服务器之间,EAP协议报文可以使用EAPOR封装格式（EAP

overRADIUS,承载于RADIUS协议中;也可以由设备端PAE进行终结，而在设备端PAE与

RADIUS服务器之间传送PAP办议报文或CHAP协议报文。

当用户通过认证后，认证服务器会把用户的相关信息传递给设备端，设备端PAE根据

RADIUS服务器的指示（Accept或Reject决定受控端口的授权/非授权状态。

1-2.802.1X的认证过程

EAPOL-StflrtEAPOLRADIUS

---------------------------►

彳EAP・Rcqucst/Idcntity

EAP-Response.QdentityRa&gAccess-R£quust

EAP-RccucstRadius-Acccss-Challcngc

4----------：--------------------

E/\PResponse（crcdc啊oRadius-Access-Reqnest

EAP-Success.Radius-Accc”-Accept

802.1X认证系统的认证过程

1.当用户有上网需求时打开80

2.1x客户端，输入已经申请、登记过的用户名和口令,发起连接请求（EAPOL-Sldrt报

文。此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。

2.交换机收到请求认证的数据帧后将发出一个请求帧（EAP-Request/Identity报文

要求用户的客户端程序发送输入的用户名。

3.客户端程序响应交换机发出的请求，将用户名信息通过数据帧（EAP-

Response/Identity报文送给交换机。交换机将客户端送上来的数据帧经过封包处理后

（RADIUSAccess-Request报文送给RADIUS服务器进行处理。

4.RADIUS服务器收到交换机转发的用户名信息后，将该信息与数据库中的用户名表

相比对，找到该用户名对应的口令信息,用随机生成的T加密字对它进行加密处理,同时也

将此加密字通过RADIUSAccess-Challenge报文传送给交换机，由交换机传给客户端程

序。

5.客户端程序收到由交换机传来的加密字（EAP-Request/MD5Challenge报文后，用

该加密字对口令部分进行加密处理（此种加密算法通常是不可逆的，生成EAP-

Response/MD5Challenge报文，并通过交换机传给RADIUS服务器。

6.RADIUS服务器将加密后的口令信息（RADIUSAccess-Requeset报文和自己经过

加密运算后的口令信息进行对比，如果相同很U认为该用户为合法用户,反馈认证通过的消息

（RADIUSAccess-Accept报文和EAP-Success报文。交换机将端口状态改为授权状态,

允许用户通过该端口访问网络。如果用户名和口令不正确，则将该端口状态改为非授权状

态，将将该端口跳转到guest-vlan.

7.客户端也可以发送EAPoL-Logoff报文给交换机，主动终止已认证状态，交换机将端

口状态从授权状态改变成未授权状态。

二、VRVEDP-NAC系统硬件配置及实施方案

2-1.VRVEDP-NAC相关系统硬件配置

策略服务器（VRVEDP-SERVER:专用服务器，即安装桌面终端标准化管理系统的服务

器。配置要求如下尸entiumm800以上CPU,1G以上内存,硬盘80G,10/100BaseTX网

络接口。Windows2000/2003server（ServicePack4.0操作系统、正6.0。

Radius认证服务器:微软的IAS,CISCOACS可同策略服务器使用同一台服务器。

LINUXFREERADIUS需要单独一台PC计算机Pentium!!!800以上CPU,512M以上内

存,硬盘20G。同时为保证RADIUS服务器能够同网络中的交换机正常通讯,RADIUS服务

器需要开启1812、1813.1645、1646端口。若在本地网络中RADIUS服务器同交换机

之间安装网络防火墙，或桌面终端主机同管理服务器之间存在防火墙，请注意注意端口开放

问题（管理服务器TCP88、桌面终端TCP22105。

2-2.VRVEDP-NAC实施方案

在实施VRVEDP-NAC前，首先需要根据自身的网络环境，明确需要实现的准入功能，从

而确定准入控制的实施方案。

2-2-1.具休实施方案

2-2-1T.用户需求

用户在调查过自身网络环境之后，确定要配置准入功能的交换机位置以及要开启的端

口，并且要求实现以下功能:

1.准入控制系统只需要一个正常的工作区，注册终端用户在接入交换机认证端口后能自

动进行认证,认证成功后可以访问内网。

2.未注册终端接入交换机认证端口后认证失败，不能正常访问内网，安装注册程序后注

册成功后，可以自动认证成功并访问内网。

2-2-1-2.实现方式

从上面的用户需求来看，用户的要求主要可以分为注册终端和非注册终端两个方面的

需求。对注册终端而言，只要求实现能够自动进行认证。对未注册终端来说,在未安装注册

程序成文注册终端之前接入交换机认证端口后，禁止其访问内网使用内网资源。通过移动

存储设备拷贝注册程序到未注册终端,未注册终端安装注册程序进行注册，并成为注册终端

后也能实现自动认证，认证成功后能正常访问内网,使用内网中的资源。

2-2-1-3酒己置前的准备

要实现上述功能,802.1x认证模块需要如下的硬件环境：

一台安装了桌面终端标准化管理系统服务器

接在正常的工作区VLAN中，主要负责在配置802.1X认证模块之前向管辖范围内的终

端下发802.1X认证策略同时也可作为从（备份radius服务器。一台安装了IAS的

WIDOWS2003系统的服务器

接在正常工作区VLAN中,作为主radius服务器，在整个认证过程中作为接入认证的服

务器，根据定义的规则判断客户端是否准予接入。

配置准入模块的交换机支持802.1X认证协议

2-2-1-4配置步骤

配置802.1X接入认证模块匕瞰复杂,主要涉及到交换机、radius服务器、认证终端、

强制注册服务器等设备,大体配置步骤如下：

第一步:首先在桌面标准化管理系统给需要认证的终端下发802.1X认证策略，配置

802.1X认证策略，设置为单用户认证后下发给需要认证的注册终端。

第二步:配置桌面终端管理系统的注册程序，将802.1X认证策略打包进新的注法程序。

第三步酒己置交换机，确定工作区VLAN,根据需要开启认证端口。

第四步将radius服务器放置在正常工作区VLAN中酒己置radius服务器，根据需要设

置接入认证规则。

2-2-1-5.详细配置过程

802.1X认证策略的下发

进入桌面终端标准化管理系统的WEB平台中的策略中心模块的接入认证策略，打开

“802.1X认证策略"进入策略配置界面。在"密码认证方式"中选择"单用户名密码”

认证方式,并在其后的用户名和密码框中输入相应的用户名和密码，该用户名和密码就是以

后这些终端进行接入认证时需要用到的用户名和密码,记住该用户名和密码，因为其后的

radius配置中还需用到。配置界面如图：

按入U证常，一加2II#入UiJ黛略右彝：802IX®入5证

旅训技”

书码UGE方式：@单用户型福X证用户名：怔说~[二码:|・・w・・

Of用户名8：码认证停证失败1次盾,停止自动MKE.

OIMFUS在没科玄陆城的修况下使用用户名：匚一；密同：「

0口碰的口证程序在光盘显示M

雷码ij近关生：OWS-质皆@受保护的EATffEAT)

@当安总火MJ,不处理

OiMNMW，送入m工催区.(flLBT工皿信金在右下角fHO

O一直。0»，进乙-1t吁用户名:[-1B：I1

在正H办公环■«呼防盾和人修W

□DHC^J梭咻境U证______________________________

□UifHl后使用用户名：Ilew：[-X«Ui2

□M&SKSW后主动atssH证

□交打*力口证”鸟■箝IM定功It

U证XHK也代1M1或：④祖胃Or»

过期8三方JMSiMI：®不让潴。过境

MaUfiHkP：]以证的婢合通过)

](U证如终不合遇过)

«不修户向偈艮使用分航.)8搐

硝所「谀量说明回本查看-1「保存足

(2保存策略之后，将策略分配给需要认证的设备。

当http〃1921RR125-分配对象

交换机配置

思科交换机配置

通过超级终端，进入思科交换机配置界面，输入如下命令开启端口的802.1X认证。

switch#configt;进入全局配置模式

Switch(config#aaanew-model〃启用aaa认证

Switch(config#aaaauthenticationlogindefaultenable

〃(注意:telnet到交换机需要usename的不用此命令:没有usename,直接输入密码

的要加入此命令

Switch(config#aaaauthenticationdotlxdefaultgroupradius//酉己置802.1x认

证使用radius服务器数据库

Switch(config#aaaauthorizationnetworkdefaultgroupradius

Switch(config#radius-serverhost0keyIdl2345〃设置主radius服

务器地址和口令(地址和口令需要修改

Switch(config#radius-serverhost2keyIdl2345〃设置备份radius

服务器地址和口令(地址和口令需要修改

Switch(config#radius-serverretransmit1〃配置Radius服务器的超时定时器，默

认值3

switch(config#radius-servervsasendauthentication酒己置VLAN分配必

须使用IETF所规定的VSA值

Switch(config#dotlxsystem-auth-control〃全局启动dotlx认证

以太网接口模式下:

Switch(config-if#switchpurtmodeaccess

spanning-treeportfast

dotlxport-controlauto〃在需要认证的端口下开启dotlx认证

最后记住保存.

不需要开启认证的命令是：

Switch（config-if#nodotlxport-controlauto（哪个端口现在不需要认证了就用这

个命令

Switch（config#nodotlxsystem-auth-control（全部不启用认证

华为交换机配置

跟思科交换机一样,通过超级终端进入交换机配置界面，输入如下命令。system-view

（进入系统配置模式

radiusschemeTEST（新建一个radius方案

primaryauthentication10.65.46201812(设定认证服务器IP与端口号primary

accounting01813(设定计费服务器IP与端口号accountingoptional(ig

置此方案不计费

keyauthenticationnzdcjcl2（填写服务器与交换机共享机密

keyaccountingnzdcjcl2（填写服务器与交换机共享机密

secondradauthentication01812（指定备份认证服务器secondrad

accounting01813（指定备份计费服务器

keyauthenticationnzdcjcl2

keyaccountingnzdcjcl2

user-name-formatwithout-domain（将认证帐号去除域名

quit

domainvrvtest（新建一个域名

radius-schemetest（将RADIUS策略应用到此域

（注意:如果无法打出radius-schemetest命令的话，请打下面的命令，功能也是将

radius策略应用到vrvtest域

dulhenticdtiondefaultrddius-schernetest

authorizationdefaultradius-schemetest

accountingdefaultradius-schemetest

quit

domaindefaultenablevrvtest（将新建的域作为缺省域

interfaceEthernetl/0/2（进入需要设定开启802.1x的端口号

dotlx（开启2号端口的802.1X功能

dotlxport-methodportbased（配置端口上进行接入控制的方式为

portbased,MAC模式时不能设置GUESTVLAN

dotlxport-controlauto（配置端口上进行接入控制的模式为auto

quit（退出2号端口模式

dotlx（全局配置下开启全局802.1X

dotlxauthentication-methodeap（设定802.lx的认证方法为EAP最后记住保存,

不需要开启认证的命令是:undodullx(全局配置下使用

radius服务器配置

交换机配置结束后哦，我们要对radius服务器进行配置，主要分为配置主radius服务

器和在主radius服务器上设置主从radius服务器

主Radius服务器配置

(1安装RADIUS

进入添加/删除程序中的添加/删除Windows组件，选择网络服务中的Internet验证

服务

H血4>233―小间逢3；

可uutmaw的组怦•

便B苫注•三三率健七・A■戋③|

灰色专表初金安接近蛆悻g

弊¥§院勰怒号-IDIKI

组悻©痔停方式0)际三］

£?V9nsitxA,

幼XE的。8文怦科14已Msa

加*引另____________

♦上一清使用日。200T-3-26

更改/Mt|

▼(4H用理

大小

所指190OWB

nTfflBaSW大小90XBB

大小-MM

大小15S1WB

<±-

32，大小470OOflB

Qn«u*G«大小2<»B

"5大小68W

序I-F«xPriat«r

国J*v.2Kw><i»*Iwirond.SEvl42」2大小IXOWB

?；Ii<r«i«ftMfit*Ut«I<i>ti««2003大小IM00»

3aicrosoftSSLSET2000大小612W

(2安装IAS后，进入IAS配置界面

(3右键点击RADIUS客户端，选择新建RADIUS客户端。名称可任意填写，客户端地址

为验证交换机的管理地址(即所有接入层启用802.1X的交换机的管理旧有多少个就要建多

少个RADIUS客户端，这里只以一个作为例子。，点击下一步。

XOOBfcttC«JEiQ)

||MOI

|TT如>]0n1

(4选择RADIUSStandard,共享机密为交换机中所配置的key。点击完成。

(5右键点击远程访问策略，单击新建远程访问策略。

・尊®■♦e

a-应由(34位

(6为策略取一个名字，点击下一步

(7选择以太网，点击下一步

(8选择用户，点击下一步

“一由Bl©电茂

(9使用MD5质询，点击下一步，并完成。

MSXS1•«)ag)

,・E)芭©O0

U<«vrrti

」M。m

,闵tg*・

(10在右面板中右键点击所新建的策略，选择属性。

★Re〉■♦en”

A-应由(34位

X»Q"2

SF

一i与加同E>

7BUtSiiM

一谡HS，・M

(11点击添加，选择Day-And-Time-Restrictions

(12选择添加，选择允许，单击确定。

-MM<n«

」防6*«»

U2SJ

常足年!》^。》通6岳杵.

二

三|岔

r己岳健m

三

「宏夫Sd访河dJ»/)

5jt?利

(13删除NAS-Port-Type匹配"Ethernet",并选择授予访问权限

就证*乌冰地）

,JRADIUS客户端

」运程访问记录

电限8访问第峪

+_j连瘙法求处理

（14启用本地安全策略——安全设置——账户策略——密码策略——用可还原的加

密来储存密码。（注意:这步一定要在新建远程登录用户前完成!

7本，安金谀置

文件更）愫作Q）查看W）帮助QP

a■»囱的x囱曲（§m

》安全设置

53幡户策略蜀密妈必须符合复杂性要求已禁用

_3密码策略翎笠码长度量小值0个字符

♦:_3帐户领定策略题空码最长使用期限42天

♦3本地策略镯密码最短使用期限0天

土,j公朝策略翎强制密码历史__________0个记住的密码

□软件跟制策略

V用可还原的加史来it存笠吗巳月用

王尊"安全策略，在本地计宜机

（15添加远程登录用户。在本地用户和组中新建一个用户,该用户名和密码要与先前的

802.1X认证策略中输入的用户名和密码对应起来。（注意:添加远程登录用户时，必2页在IAS

配置完之后再添加。

三本地安全看置

文件9条作®查看9帮助卸

8T卤囿>卤自傍回

)安全设置策昵/।安全设置

E_a快尸策阻翎密码必筑衿合复汆性要求已禁用

_3密吗策略阈史码长度最小僮0个字符

+n俅户被定集”明生地最快使用卿<2天

>a本地策略翎更码最是使用期跟0天

♦□公忸策略匐修利空码历史0个记住的密码

♦_j软件限制策喑

♦<口安全策略，在本储】十苴林

(16右键点击新建的用户，进入属性，选择隶属于，删除默认的USERS组

患在

远程控制I续陶R球置文件|拨入

常现求展于|配・文件|环境|合法

忝加/)...[二：¥。)|

确定|取一|应用Q)

(17点击拨入，设置为允许访问

(18IAS配置完成，确保InternetAuthenticationService服务处于启动状态。

(19VRVEDPAgent认趣功。(手工认证的图

从radius服务器的配置

如果需要从(备份radius服务器的活，还需要在主radius服务器上设置主从radius服

务器，具体配置如下:

(1进入主radius服务器的IAS控制台

--uam■**■)>Exl

Qfl*®vai>♦tiqp▲1CJEJ

a，由面QEid

(2新建远程RADIUS服务器组

(3指定主服务器与备份服务器IP地址，在土服务器配置即可。

注意:从radius服务器其他配置与主radius服务器配置相同。

配置完以上各个服务器、交换机和客户端后,802.1x接入认证模块就配置

完毕了。

三、802.1X认证应用注册事项

实施准备阶段需要注意的问题

1.根据华能澜沧江水电有限公司内网的网络拓扑结构图，决定radius服务器、

以及注册程序下载服务器安放的位置。建议将以上服务器都安装在主交换机上，这样

对管辖网络范围所有终端,都可以根据需要开启对其的802.1X认证,从而方便管理员的管

理。

2.需要配备备份（从radius服务器，备份radius服务器与主radius服务器

配置相同。当主radius服务器出现故障无法正常工作时，终端可以通过备份radius服

务器实现正认证功能，避免发生由于主radius服务器发生故障导致网络内终端无法接入认

证的情况。

3.确保要开启802.1X认证功能的交换机都支持802.1X认证，根据网络拓扑结

构,明确管理网络范围内需要对哪些终端进行802.1X认证,哪些重要服务器及无法进行

认证的设备（如网络打印机等不需要进行802.1X,明确这些设备具体接在交换机的哪些端口

上，汇总整理后编写出《需开启认证交换机端口列表》的文档，方便日后的实施工作。

实施阶段需要注意的问题

1.实施80

2.1X是一项比较复杂而且工作量较大的工程，在实施前应制定出详细

的实施计划，在实施过程中按照实施计划开展实施工作。建议实施计划分为四个步骤：

第一步，先架设好radius服务器及注册程序下载服务器,然后在小范围内进行测试;

第二步，选定某一楼层，按照之前准备好的《实施终端情况表》在该楼层的某一部门或

办公室的接入层交换机上开启802.1X认证，在该部门或办公室实施完毕后进行测试测试成

功后，再在该楼层其他部门或办公室交换机上实施802.1X；

第三步，根据第二步实施的步骤，按楼层逐步在各部门或办公室的交换机上实施802.1X；

第四步，在各楼层实施完毕后,进行大范围的测试。

分步骤实施能避免由于实施过程中的错误造成大面积终端无法认证或不

能连接内网的情况出现降低实施的风险,最大限度的减少实施802.1X对正常工作的影

响。

2.每台交换机的工作区VLAN上要预留一个非认证端口作为该交换机与上层交

换机的通信端口,保证每台交换机能与radius服务器正常通信。

3在交换机上配置802.1X之前，最好先将802.1X认证策略下发下去。

4.在配置交换机时，最好是一个一个的开启端口的802.1X认证功能。

5.在实