北信源桌面终端标准化治理系统 基于802.1x协议的准入操纵方案
一、802.1x协议认证描述
802.1x协议是基于Client/Server的访问操纵和认证协议。它能够限制未经授权的用户/设备通过接入端口访问LAN/MAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只同意EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据能够顺利地通过以太网端口。 网络访问技术的核心部分是PAE(端口访问实体)。在访问操纵流程中,端口访问实体包含3部分:认证者--对接入的用户/设备进行认证的端口;请求者--被认证的用户/设备;认证服务器--依照认证者的信息,对请求访问网络资源的用户/设备进行实际认证功能的设备。 二、802.1x认证特点
基于以太网端口认证的802.1x协议有如下特点:IEEE802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,能够有效降低建网成本;借用了在RAS系统中常用的EAP(扩展认证协议),能够提供良好的扩展性和适应性,实现对传统PPP认证
架构的兼容;802.1x的认证体系结构中采纳了\可控端口\和\不可控端口\的逻辑功能,从而能够实现业务与认证的分离,由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与操纵,报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包;能够使用现有的后台认证系统降低部署的成本,并有丰富的支持;能够映射不同的用户认证等级到不同的VLAN;能够使交换端口和无线LAN具有安全的认证接入功能。
三、802.1x应用环境及其配置
a. 一台安装IAS或者ACS的RADIUS认证服务器; b. 一台安装VRVEDP服务器;
c.一个应用可网管交换机的网络环境; 1.RADIUS认证服务器配置如下:
进入添加/删除程序中的添加/删除Windows组件,选择网络服务中的Internet验证服务
2.安装IAS后,进入IAS配置界面
3.右键点击RADIUS客户端,选择新建RADIUS客户端。客户端
地址为验证交换机的治理地址,点击下一步。
4.选择RADIUS Standard,共享机密为交换机中所配置的key。点击完成。
注:1、验证交换机能够填写多个,比如:有100个支持802.1X协议的接入层交换机,就需要执行100次步骤3与步骤4的动作,把100个交换机的地址与共享密码填写到里面去。
2.此步骤是至关重要的第一步,一定要检查填写的共享密码与交换机的共享密码相同(这是思科交换机命令输入共享密码的命令:radius-server host 192.168.0.136 key vrv;192.168.0.136为radius所在服务器地址)。
5.右键点击远程访问策略,单击新建远程访问策略。
注:1.建立远程访问策略为了使进行跟交换机进行联动,那个策略的建立为以后的用户成功认证打下坚实的基础。
2.那个策略一个公共策略,在一个网络中可能有几百个用户名密码进行认证,那个要按照步骤进行配置,不要填写用户名匹配,不然会只有一个匹配的用户能够认证通过。
3.公司支持多种加密认证方式,在IAS中我们建议使用MD5加密算法来进行认证。
相关推荐:
loading