准入控制8021x用户配置手册.docx
- 文档编号:2179951
- 上传时间:2022-10-27
- 格式:DOCX
- 页数:19
- 大小:503.52KB
准入控制8021x用户配置手册.docx
《准入控制8021x用户配置手册.docx》由会员分享,可在线阅读,更多相关《准入控制8021x用户配置手册.docx(19页珍藏版)》请在冰豆网上搜索。
准入控制8021x用户配置手册
802.1x用户配置手册
802.1x用户配置手册1
1实现功能2
2总体流程2
2.1802.1X原理分析2
2.2802.1X认证流程3
2.3802.1X配置流程4
3具体实现4
3.1准备环境4
3.2管理平台配置4
3.2.1建立策略4
3.2.2策略说明5
3.2.3策略下发6
3.3Radius服务器配置7
3.4交换机配置16
各厂商交换机配置16
1.Cisco2950配置方法16
2.华为3COM3628配置17
1实现功能
随着以太网建设规模的迅速扩大,网络上原有的认证系统已经不能很好的适应用户数量急剧增加和宽带业务多样性的要求,造成网络终端接入管理混乱,大量被植入木马、病毒的机器随便接入网络,给网络内部资料的保密,和终端安全的管理带来极大考验。
在此前提下IEEE推出802.1x协议它是目前业界最新的标准认证协议。
802.1X的出现结束了非法用户XX进入内部网络,为企业内部安全架起一道强有力的基础安全保障。
2总体流程
我们首先先了解下,802.1X协议的原来与认证过程,在与内网安全管理程序的结合中,如何设置802.1X协议,并方便了终端用户在接入方面的配置。
2.1802.1X原理分析
802.1x协议起源于802.11协议,后者是IEEE的无线局域网协议,制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。
IEEE802LAN协议定义的局域网并不提供接入认证,只要用户能接入局域网控制设备(如LANSwitch),就可以访问局域网中的设备或资源。
这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。
但是随着移动办公及驻地网运营等应用的大规模发展,服务提供者需要对用户的接入进行控制和配置。
尤其是WLAN的应用和LAN接入在电信网上大规模开展,有必要对端口加以控制以实现用户级的接入控制,802.lx就是IEEE为了解决基于端口的接入控制(Port-BasedNetworkAccessContro1)而定义的一个标准。
IEEE802.1X是根据用户ID或设备,对网络客户端(或端口)进行鉴权的标准。
该流程被称为“端口级别的鉴权”。
它采用RADIUS(远程认证拨号用户服务)方法,并将其划分为三个不同小组:
请求方、认证方和授权服务器。
820.1X标准应用于试图连接到端口或其它设备(如CiscoCatalyst交换机或CiscoAironet系列接入点)(认证方)的终端设备和用户(请求方)。
认证和授权都通过鉴权服务器(如CiscoSecureACS)后端通信实现。
IEEE802.1X提供自动用户身份识别,集中进行鉴权、密钥管理和LAN连接配置。
如上所属,整个802.1x的实现设计三个部分,请求者系统、认证系统和认证服务器系统。
一下分别介绍三者的具体内容:
●请求者系统
请求者是位于局域网链路一端的实体,由连接到该链路另一端的认证系统对其进行认证。
请求者通常是支持802.1x认证的用户终端设备,用户通过启动客户端软件发起802.lx认证,后文的认证请求者和客户端二者表达相同含义。
●认证系统
认证系统对连接到链路对端的认证请求者进行认证。
认证系统通常为支持802.Lx协议的网络设备,它为请求者提供服务端口,该端口可以是物理端口也可以是逻辑端口,一般在用户接入设备(如LANSwitch和AP)上实现802.1x认证。
倎文的认证系统、认证点和接入设备三者表达相同含义。
●认证服务器系统
认证服务器是为认证系统提供认证服务的实体,建议使用RADIUS服务器来实现认证服务器的认证和授权功能。
请求者和认证系统之间运行802.1x定义的EAPO(ExtensibleAuthenticationProtocoloverLAN)协议。
当认证系统工作于中继方式时,认证系统与认证服务器之间也运行EAP协议,EAP帧中封装认证数据,将该协议承载在其它高层次协议中(如RADIUS),以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时,认证系统终结EAPoL消息,并转换为其它认证协议(如RADIUS),传递用户认证信息给认证服务器系统。
认证系统每个物理端口内部包含有受控端口和非受控端口。
非受控端口始终处于双向连通状态,主要用来传递EAPoL协议帧,可随时保证接收认证请求者发出的EAPoL认证报文;受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。
2.2802.1X认证流程
整个802.1x的认证过程可以描述如下
(1)客户端向接入设备发送一个EAPoL-Start报文,开始802.1x认证接入;
(2)接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;
(3)客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名;
(4)接入设备将EAP-Response/Identity报文封装到RADIUSAccess-Request报文中,发送给认证服务器;
(5)认证服务器产生一个Challenge,通过接入设备将RADIUSAccess-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge;
(6)接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证
(7)客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备
(8)接入设备将Challenge,ChallengedPassword和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证
(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。
如果成功,携带协商参数,以及用户的相关业务属性给用户授权。
如果认证失败,则流程到此结束;
(10)如果认证通过,用户通过标准的DHCP协议(可以是DHCPRelay),通过接入设备获取规划的IP地址;
(11)如果认证通过,接入设备发起计费开始请求给RADIUS用户认证服务器;
(12)RADIUS用户认证服务器回应计费开始请求报文。
用户上线完毕。
2.3802.1X配置流程
1.配置内网管理平台。
2.Radius服务器配置。
3.在控制台上建立策略。
4.将策略下发到客户端。
5.交换机的802.1x认证进行配置。
6.配置结束。
3具体实现
3.1准备环境
●服务器环境:
RadiusServer:
WINDOW2003IAS
终端与内网安全管理服务器端
●客户端环境:
带802.1X功能的内网安全客户端
●网络设备环境:
带802.1X认证功能的交换机
3.2管理平台配置
3.2.1建立策略
登陆内网安全管理平台,在管理台上选择“策略配置新建策略802.1x”,选择后显示如下图所示的界面:
以上策略可以对所支持的交换机的型号、用户名、口令、检测连接间隔、是否认证失败后的提示,以及重复认证的次数、重复认证间隔、是否本地认证。
小提示:
本地认证和Radius认证的区别:
本地认证是客户端主动向交换机发起802.1X的认证请求。
而Radius认证是交换机向客户端发送认证请求。
本地认证是在下发策略后就开始向交换机发起认证请求,发完请求后就会在那里等待交换机的回应包,如果交换机还没有配置802.1x,不会向用户发送应答包,造成这次认证是失败的,用户可以考虑重起一下客户端,要不就得等到超时后进行第二次认证。
在Radius认证它是被动的等待交换机发起认证,不会存在这个问题。
不勾选“是否本地认证”就是默认等待Radius认证,用户等待的时间可能会较长些,我们建议不要勾选“是否本地认证”。
3.2.2策略说明
1、交换机型号:
请选择你的交换机型号。
现在支持的交换机的型号有:
H3C3600、
CISCO2900、CISCO2950、CISCO3500、CISCO3550等,或咨询技术人员
2、用户名:
交换机里配置验证的用户名。
3、口令:
交换机里配置验证的密码。
4、检测连接间隔:
在交换机里配置有握手时间,当验证成功后交换机会定时的向客户端发送在线请求,用于探测客户端是否在线,所以在程序里会定时的捕获交换机发的请求包,但是在捕获的时候会加一个超时判断,如果超过了规定的时间还没有捕获交换机的请求包,表明客户端现在是离线状态,就会重新发起认证。
检测连接间隔的时间一定要比在交换机配置的握手时间长几秒。
以免发生误认为交换机已和客户端失去连接。
5、认证失败后提示:
如果选择了这一项,认证超过规定的重复认证次数时就会发一条报警日志。
提示用户是否策略发送错误或是交换机并没
开启802.1x认证。
6、重复认证次数:
设置当认证失败后,重复认证的次数。
7、重复认证间隔:
当用户连接超时后多长时间重复认证。
8、是否为本地认证:
交换机的认证分为本地认证和Radius认证,要是本
认证就打勾,要是Radius就把这个勾去掉。
策略内容输入完后在选择属性页配置策略名称:
如下图:
在属性页中输入策略名称等信息后,选择保存。
3.2.3策略下发
在管理平台选择“策略配置策略管理”,如图:
找到刚才建立的策略名对应的策略,点击分发,会进入到分发策略的界面,如下图:
选择要下发的客户端,点击提交,策略下发就完成了。
3.3Radius服务器配置
1.安装RADIUS
进入添加/删除程序中的添加/删除Windows组件,选择网络服务中的Internet验证服务
2.安装IAS后,进入IAS配置界面
3.右键点击RADIUS客户端,选择新建RADIUS客户端。
客户端地址为验证交换机的管理地址,点击下一步。
4.选择RADIUSStandard,共享机密为交换机中所配置的key。
点击完成。
5.右键点击远程访问策略,单击新建远程访问策略。
6.为策略取一个名字,点击下一步
7.选择以太网,点击下一步
8.选择用户,点击下一步
1.使用MD5质询,点击下一步,并完成。
2.在右面板中右键点击所新建的策略,选择属性,选择“授予远程访问权限”。
3.右键点击连接请求策略,选择新建连接请求策略
4.选择自定义策略,并为该策略取个名字,点击下一步直至完成。
20.添加远程登录用户。
在本地用户和组中新建一个用户。
5.右键点击新建的用户,进入属性,选择隶属于,删除默认的USERS组
21.点击拨入,设置为允许访问
22.组策略配置,启用可还原密码加密
6.重启IAS,配置完成。
3.4交换机配置
各厂商交换机配置
1.Cisco2950配置方法
Enable/*进入特权模式*/
configt/*进入全局配置模式*/
aaanew-model/*启用aaa认证*/
aaaauthenticationdot1xdefaultgroupradius/*配置802.1x认证使用radius服务器数据库*/
aaaauthorizationnetworkdefaultgroupradius/*VLAN分配必须*/
radius-serverhost192.168.1.132key123/*指定r
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 准入 控制 8021 用户 配置 手册