北信源桌面终端标准化管理系统基于8021x协议的准入控制方案Word格式文档下载.docx

北信源桌面终端标准化管理系统基于8021x协议的准入控制方案Word格式文档下载.docx

《北信源桌面终端标准化管理系统基于8021x协议的准入控制方案Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《北信源桌面终端标准化管理系统基于8021x协议的准入控制方案Word格式文档下载.docx（33页珍藏版）》请在冰豆网上搜索。

3．右键点击RADIUS客户端，选择新建RADIUS客户端。

客户端地址为验证交换机的管理地址，点击下一步。

4.选择RADIUSStandard，共享机密为交换机中所配置的key。

点击完成。

注：

1、验证交换机可以填写多个，比如：

有100个支持802.1X协议的接入层交换机，就需要执行100次步骤3与步骤4的动作，把100个交换机的地址与共享密码填写进去。

2.此步骤是至关重要的第一步，一定要检查填写的共享密码与交换机的共享密码相同（这是思科交换机命令输入共享密码的命令：

radius-serverhost192.168.0.136keyvrv；

192.168.0.136为radius所在服务器地址）。

5.右键点击远程访问策略，单击新建远程访问策略。

1.建立远程访问策略为了使进行跟交换机进行联动，这个策略的建立为以后的用户成功认证打下坚实的基础。

2.这个策略一个公共策略，在一个网络中可能有几百个用户名密码进行认证，这个要按照步骤进行配置，不要填写用户名匹配，不然会只有一个匹配的用户能够认证通过。

3.公司支持多种加密认证方式，在IAS中我们建议使用MD5加密算法来进行认证。

6.为策略取一个名字，点击下一步

7.选择以太网，点击下一步

8.选择用户，点击下一步

9.使用MD5质询，点击下一步，并完成。

10.在右面板中右键点击所新建的策略，选择属性。

11.点击添加，选择Day-And-Time-Restrictions

12.选择添加，选择允许，单击确定。

13.删除NAS-Port-Type匹配”Ethernet”，并选择授予访问权限

14.右键点击连接请求策略，选择新建连接请求策略。

注：

1.连接请求策略是与修复VLAN有关系的配置，如果在实施中没有设置修复VLAN，这一步骤可以不进行配置。

2.连接请求策略中添加user-name与用户名匹配，公司客户端软件暂时只支持与repair这个用户名联动。

如果不使用repair用户名匹配，客户端没有通过安检时也会跳入修复VLAN，但是在客户端不会提示已经进入修复VLAN。

3.IAS中设置修复VLAN设置方法有几种，建议使用文档中的操作方式。

15.选择自定义策略，并为该策略取个名字

16.策略状况选择添加Day-And-Time-Restrictions,配置方法同上。

17.删除NAS-Port-Type匹配”Ethernet”，并选择授予访问权限

18.点击添加，并选择user-name,点击添加

19.这里repair是指repair子用户名（即需要跳转的子用户名字），点击确定并应用

20.单击编辑配置文件，选择高级-------添加

选择添加

[64]Tunnel-Type：

VLAN

[65]Tunnel-Medium-Type：

802

[81]Tunnel-Pvt-Group-ID：

VLANID（修复VLAN的vlan号）。

21.单击确定

22．添加远程登录用户。

在本地用户和组中新建一个用户。

在建立认证账户之前，首先检查“用可还原的加密来存储密码”是否启用。

23.右键点击新建的用户，进入属性，选择隶属于，删除默认的USERS组

24.点击拨入，设置为允许访问

25.IAS配置完成。

2.VRVEDP服务器关于802.1x策略的配置及解释：

策略中心->

接入认证策略->

802.1X接入认证认证

密码认证方式：

1、“单用户名密码认证”：

所接入的客户端会以该策略中指定的用户名和密码认证，不需要用户手工输入用户名和密码

2、“多用户密码认证”：

所接入的客户端需要手工输入在Radius中建立的认证用户名和密码进行认证

3、“域用户名认证”：

所接入的客户端如果是域环境，使用此功能可以在用户登陆域时自动认证。

4、认证程序在托盘显示认证状态的图标，绿色为认证成功，黄色为未认证状态，红色则为认证失败。

并可以规定认证失败特定次数后就不再认证，自动进入GUESTVLAN

5、密码验证类型：

分为MD5验证和受保护的EAP（PEAP）两种模式。

6、安检失败处理方式：

配合补丁与杀毒软件策略和进程服务注册表策略使用，当客户端违反以上策略并选择了根据802.1X策略处理时，则可对其执行以下3种处操作：

不处理（即注销其802.1X认证）；

进入正常工作VLAN；

进入修复VLAN。

7、如果客户端环境为DHCP动态网络，则勾选DHCP动态IP环境认证；

并当认证失败后，这里可以填入另外一个用户名密码再认证一次（配合单用户认证方式使用）；

当遇到网络意外断开的情况，勾选网络恢复连接后主动发起认证，客户端在恢复网络时就会主动发起认证；

支持华为认证服务器的IP绑定功能：

配合华为公司产品中的IP与端口绑定的功能。

8、认证数据包传输模式：

分为组播和广播两种模式，默认为组播，在不支持组播的交换上使用广播模式。

9、超级认证帐户：

即认证成功后就会进入正常工作VLAN，不受安检策略限制。

黑名单认证帐户：

即使用这个帐户认证的客户端始终都不能认证通过。

补丁与杀毒软件认证

10

设置说明：

杀毒软件安全检测

1.启用“杀毒软件安全检测”：

对接入网络的计算机进行杀毒软件的安全检测，检查其健康度是否符合网络要求标准，检测内容包括计算机是否安装开启了杀毒软件。

。

2.“未运行杀毒软件时提示”：

当检测到计算机没有运行杀毒软件的时候给计算机一个提示信息。

3.“未运行杀毒软件执行（URL地址）”：

当检测到计算机没有运行杀毒软件的时候给计算机定向到指定的URL地址，例如某个可以下载或者运行杀毒软件的地址。

4.“对上述URL执行”

1）.选择“打开/下载URL地址”：

当检测到计算机没有运行杀毒软件的时候直接打开或者下载上边填写的URL地址。

2）.选择“下载URL地址指定文件并安装”：

当检测到计算机没有运行杀毒软件的时候下载URL地址指定文件并安装，一般为杀毒软件。

5.“未运行杀毒软件时”：

当检测到计算机没有运行杀毒软件的时候执行以下操作

1）.“限制网络访问”：

计算机在网内只能与安全服务器列表中的IP地址通讯，禁止与其他计算机通讯。

2）.“注销802.1认证”：

当未运行杀毒软件时，客户端将注销正常登录并进入修复vlan。

6.系统补丁安全检测

1）.启用“系统补丁安全检测”：

对接入网络的计算机进行系统补丁的安全检测，检查其健康度是否符合网络要求标准，检测内容包括计算机是否安装了指定系统补丁。

2）.“漏安装列表中指定的补丁时提示”：

当检测到计算机没有安装列表中指定的补丁的时候给计算机一个提示信息。

3）.“漏安装列表中指定的补丁是打开（URL地址）”：

当检测到计算机没有安装列别中指定的补丁的时候给计算机定向到指定的URL地址，例如某个可以下载到指定补丁的地址。

7.“漏安装列表中补丁时”：

当检测到计算机没有安装列表中的补丁时执行以下操作：

1）.“限制网络访问”：

计算机在网内只能与安全服务器列表中的IP地址通讯，禁止与其他计算机通讯

当未安装指定安全补丁时，客户端将注销正常登录并进入修复vlan。

8.“检测补丁列表”：

通过补丁号添加补丁检测列表，当计算机接入网络的时候会检测计算机是否安装了此列表中列出的补丁

9.“限制网络访问后，允许安全服务器连通列表”：

填写EDPserver、补丁服务器等安全服务器，当计算机被限制网络访问后只能与这个列表中的IP地址通讯10.“DHCP与静态IP切换”：

在安检失败进入访客隔离区后，如果当时的IP为静态IP,则将其转换为DHCP方式,直到安检成功后返回正常工作区时再将DHCP方式还原为以前设置的静态IP（选择了"

注销802.1认证"

后,该选项才生效）。

进程服务注册表认证

1、添加认证模块（见1.1）

2、“以上列表认证模块认证失败时提示”：

当接入网络的计算机在进行认证时，认证失败则在计算机显示此信息

3、“以上列表认证模块认证失败时打开（URL地址）”：

当接入网络的计算机在进行认证时，认证失败则将计算机定向到此URL地址

4、“对上述URL执行”

（1）选择“打开/下载URL地址”：

当检测到计算机认证失败的时候直接打开或者下载上边填写的URL地址

（2）选择“下载URL地址指定文件并安装”：

当检测到计算机认证失败的时候下载上边URL地址指定文件并安装

5、“以上列表认证模块认证失败时”：

当认证失败时执行以下操作

（1）“限制网络访问”：

（2）“注销802.1认证”：

注销本次认证，使计算机重新进行认证

6、“DHCP与静态IP切换”：

在安检失败进入访客隔离区后，如果当时的IP为静态IP,则将其转换为DHCP方式,直到安检成功后返回正常工作区时再将DHCP方式还原为静态IP（选择了"

7、“限制网络访问后，允许安全服务器连通列表”：

填写EDPserver、补丁服务器等安全服务器，当计算机被限制网络访问后只能与这个列表中的IP地址通讯”。

2.1、文件存在认证

选择“编辑认证模块”进入编辑认证模块页面,填写一个新的认证模块名字，单击“新建模板”，例如新建认证模块名为“ceshi”。

（1）在“文件名”处填写要认证的文件名和路径例如：

C:

\vrvclient\vrv.exe，表示当计算机接入网络后要对此计算机进行安全检测，监测计算机是否存在“文件存在认证列表”中的文件。

（2）选择“认证内容”

1）“仅认证文件存在”：

接入网络的计算机当进行文件存在认证时仅检测计算机是否存在列表中的文件；

2）“认证文件版本号”：

计算机接入网络后对计算机的检测要检测文件的版本号；

3）“认证比较”三种检测比较的方式，指定接入网络的计算机当进行文件存在认证时将计算机中的文件与列表中的文件检测比较的方式是等于/小于等于/大于等于，“比较值”指定标准值。

（3）“添加认证条目”将以上设置好的文件和文件的比较内容通过此按钮添加到“文件存在认证列表中”。

（4）“删除认证条目”将“文件存在认证列表中”不需要的文件从列表中删除。

（5）“多条文件认证关系”：

当列表中添加多个认证文件的时候选择采取多个文件判断的关系。

1）、“并且关系”，需要以上列表的认证都通过才算文件认证通过；

2）、“或关系”，以上列表中的认证只要一条通过就算文件认证通过。

2.2、进程运行认证

（1）在“进程名”中填写要认证的进程名字。

（2）选择“认证内容”。

1）“仅认证进程是否存在”：

接入网络的计算机当进行进程运行认证时仅检测计算机中是否存在列表中的进程；

2）“认证进程源文件名”接入网络的计算机当进行进程运行认证时要检测计算机中进程的源文件；

（3）“认证比较”：

指定接入网络的计算机当进行进程运行认证时将计算机中的进程与列表中的进程检测比较的方式是等于/小于等于/大于等于，“比较值”指定标准值。

1）点击“添加认证条目”将以上设置好的进程和进程的比较内容通过此按钮添加到“进程运行认证列表中”；

2）点击“删除认证条目”将“文件存在认证列表中”不需要的进程从列表中删除。

（4）“多条进程认证关系”：

当列表中添加多个认证进程的时候选择采取多个进程判断的关系。

1）“并且关系”，需要以上列表的进程都通过才算进程运行认证通过；

2）“或关系”，以上列表中的进程只要一条通过就算进程运行认证通过。

2.3、注册表键值认证

（1）在“注册表项路径”中填写要认证的注册表项路径，不包含键名。

（2）“键名”：

指定上边注册表项中需要作为认证的键名。

（3）“认证内容”：

1）“仅认证键是否存在”：

接入网络的计算机当进行注册表键值认证时仅检测计算机中是否存在列表中的注册表键；

2）“认证键值”接入网络的计算机当进行注册表键值认证时要检测计算机中注册表键的键值的源文件。

（4）“认证比较”：

指定接入网络的计算机当进行注册表键值认证时将计算机中的进程与列表中的进程检测比较的方式是等于/小于等于/大于等于，“比较值”指定标准值。

1）点击“添加认证条目”将以上设置好的注册表项和键名比较内容通过此按钮添加到“注册表键值认证列表中”；

2）点击“删除认证条目”将“注册表键值认证列表中”不需要的条目从列表中删除。

（5）“多条注册表认证关系”：

当列表中添加多个注册表项的时候选择采取多个注册表项判断的关系。

1）“并且关系”，需要以上列表的注册表键值通过才算注册表键值认证通过；

2）“或关系”，以上列表中的注册表键值只要一条通过就算注册表键值认证通过。

2.4、服务运行认证

（1）在“服务名”中填写要认证的服务名字。

1）点击“添加认证条目”将以上填写好的服务名通过此按钮添加到“服务运行认证列表中；

2）点击“删除认证条目”将“服务运行认证列表中”不需要的服务名从列表中删除。

（2）“多条服务认证关系”：

当列表中添加多个认证服务的时候选择采取多个服务判断的关系。

1）“并且关系”，需要以上列表中的服务名都通过才算服务运行认证通过；

2）“或关系”，以上列表中的服务名只要一条通过就算服务运行认证通过。

编辑完毕点击“保存认证模板配置”按钮，将上述配置保存，完成了“ceshi”认证模块的编辑

3.802.1x描述测试：

测试目的

测试系统用户是否可以通过802.1x认证

方法/步骤

1、配置交换机和RADUIS服务器，使交换机断口需要802.1x认证

2、配置策略，让终端通过802.1x方式认证

3、将终端接入到交换机中，在登陆框中输入提前设定好的认证口令

预期目标

终端接入到交换机中，按照相应的用户名和口令，进入到相应的VLAN中（如GUESTVLAN；

REPAIRVLAN），如果输入错误的用户名和口令，则认证不成功。

实测结果

是

测试系统用户长时间不进行802.1x认证，是否自动进入到GUESTVLAN中

3、将终端接入到交换机中，弹出认证框之后，不进行认证

终端接入到交换机中，长时间不认证之后，自动跳转到GUESTVLAN中

测试系统用户接入认证时进行安全检查，检查不合格，则用REPAIRVLAN的用户名登陆跳入到REPAIRVLAN中，检查合格，自动跳入到NORMALVLAN中

3、配置策略，终端接入认证时，进行病毒软件、补丁、进程、服务、文件的安全检查

终端接入到交换机中，如果符合服务器的安全要求，则用NORMALVLAN的用户名登陆到NORMALVLAN中，如果不符合安全要求，则用REPAIRVLAN的用户名登陆到REPAIRVLAN中。

4.交换机配置如下：

1.Cisco2950配置方法

Enable/*进入特权模式*/

configt/*进入全局配置模式*/

aaanew-model/*启用aaa认证*/

aaaauthenticationdot1xdefaultgroupradius/*配置802.1x认证使用radius服务器数据库*/

aaaauthorizationnetworkdefaultgroupradius/*VLAN分配必须*/

radius-serverhost192.168.1.132keyvrv/*指定radius服务器地址为192.168.1.132，通信密钥为vrv，端口不用制定，默认1812和1813*/

radius-servervsasendauthentication/*配置VLAN分配必须使用IETF所规定的VSA值*/

intvlan1

ipadd192.168.1.133255.255.255.0

noshut

/*为交换机配置管理地址，以便和radius服务器通信*/

intrangef0/1-11

dot1xport-controlauto

switchportmodeaccess

/*为1到11端口配置dot1x，12端口不配*/

dot1xguest-vlanID（VLAN跳转命令）

exit

/*退回全局配置模式*/

dot1xsystem-auth-control

/*全局启动dot1x*/

2950交换机上VLAN的配置

vlandatabase

vlanID

enable

configt

intrangef0/1–20

switchportaccessvlanID

switchportmodeaccess

spanning-treeportfast

2.华为3COM3628配置

discu

#

sysnameH3C

domaindefaultenabletest

dot1x

dot1xtimertx-period10

dot1xretry4

radiusschemesystem

radiusschemetest

server-typestandard

primaryauthentication54.1.44.55

primaryaccounting54.1.44.55

keyauthenticationvrv

keyaccountingvrv

user-name-formatwithout-domain

domainsystem

domaintest

schemeradius-schemetest

vlan-assignment-modestring

vlan1

vlan46

vlan600

descriptionguest

vlan601to602

interfaceVlan-interface46

ipaddress54.1.46.250255.255.255.0

interfaceAux1/0/0

interfaceEthernet1/0/1

portaccessvlan600

dot1xport-methodportbased

dot1xguest-vlan601

interfaceEthernet1/0/2

interfaceEthernet1/0/3

interfaceEthernet1/0/4

interfaceEthernet1/0/5

interfaceEthernet1/0/6

interfaceEthernet1/0/7

interfaceEthernet1/0/8

interfaceEthernet1/0/9

interfaceEthernet1/0/10

interfaceEthernet1/0/11

interfaceEthernet1/0/12

interfaceEthernet1/0/13

interfaceEthernet1/0/14

interfaceEthernet1/0/15

interfaceEthernet1/0/16

interfaceEthernet1/0/17

interfaceEthernet1/0/18

interfaceEthernet1/0/19

interfaceEthernet1/0/20

interfaceEthernet1/0/21

interfaceEthernet1/0/22

portaccessvlan601

interfaceEthernet1/0/23

interfaceEthernet1/0/24

interfaceGigabitEthernet1/1/1

interfaceGigabitEthernet1/1/2

interfaceGigabitEthernet1/1/3

interfaceGigabitEthernet1/1/4

portlink-ty