北信源桌面終端原則化管理系統準入控制技術使用手冊目錄一、802.1x認證模塊原理(31-1.802.1x的工作機制(31-2.802.1x的認證過程(4二、VRVEDP-NAC系統硬件配備及實施方案(52-1.VRVEDP-NAC有關系統硬件配備(52-2.VRVEDP-NAC實施方案(5三、802.1x認證應用注冊事項(22四、802.1x認證應急預案(244-1.預案流程(244-2.應急事件解決辦法(24一、802.1x認證模塊原理1-1.802.1x的工作機制IEEE802.1x認證系統運用EAP(ExtensibleAuthenticationProtocol,可擴展認證合同合同,作為在客戶端和認證服務器之間交換認證信息的手段。802.1x認證系統的工作機制在客戶端PAE與設備端PAE之間,EAP合同報文使用EAPOL封裝格式,直接承載于LAN環境中。在設備端PAE與RADIUS服務器之間,EAP合同報文能夠使用EAPOR封裝格式(EAPoverRADIUS,承載于RADIUS合同中;也能夠由設備端PAE進行終止,而在設備端PAE與RADIUS服務器之間傳送PAP合同報文或CHAP合同報文。當顧客通過認證后,認證服務器會把顧客的有關信息傳遞給設備端,設備端PAE根據RADIUS服務器的批示(Accept或Reject決定受控端口的授權/非授權狀態。1-2.802.1x的認證過程802.1x認證系統的認證過程1.當顧客有上網需求時打開802.1x客戶端,輸入已經申請、登記過的顧客名和口令,發起連接請求(EAPOL-Start報文。此時,客戶端程序將發出請求認證的報文給交換機,開始啟動一次認證過程。2.交換機收到請求認證的數據幀后,將發出一種請求幀(EAP-Request/Identity報文規定顧客的客戶端程序發送輸入的顧客名。3.客戶端程序響應交換機發出的請求,將顧客名信息通過數據幀(EAP-Response/Identity報文送給交換機。交換機將客戶端送上來的數據幀通過封包解決后(RADIUSAccess-Request報文送給RADIUS服務器進行解決。4.RADIUS服務器收到交換機轉發的顧客名信息后,將該信息與數據庫中的顧客名表相比對,找到該顧客名對應的口令信息,用隨機生成的一種加密字對它進行加密解決,同時也將此加密字通過RADIUSAccess-Challenge報文傳送給交換機,由交換機傳給客戶端程序。5.客戶端程序收到由交換機傳來的加密字(EAP-Request/MD5Challenge報文后,用該加密字對口令部分進行加密解決(此種加密算法一般是不可逆的,生成EAP-Response/MD5Challenge報文,并通過交換機傳給RADIUS服務器。6.RADIUS服務器將加密后的口令信息(RADIUSAccess-Requeset報文和自己通過加密運算后的口令信息進行對比,如果相似,則認為該顧客為正當顧客,反饋認證通過的消息(RADIUSAccess-Accept報文和EAP-Success報文。交換機將端口狀態改為授權狀態,允許顧客通過該端口訪問網絡。如果顧客名和口令不對的,則將該端口狀態改為非授權狀態,將將該端口跳轉到guest-vlan.7.客戶端也能夠發送EAPoL-Logoff報文給交換機,主動終止已認證狀態,交換機將端口狀態從授權狀態變化成未授權狀態。二、VRVEDP-NAC系統硬件配備及實施方案2-1.VRVEDP-NAC有關系統硬件配備方略服務器(VRVEDP-SERVER:專用服務器,即安裝桌面終端原則化管理系統的服務器。配備規定以下,PentiumⅢ800以上CPU,1G以上內存,硬盤80G,10/100BaseTX網絡接口。Windows/server(ServicePack4.0操作系統、IE6.0。Radius認證服務器:微軟的IAS,CISCOACS可同方略服務器使用同一臺服務器。LINUXFREERADIUS需要單獨一臺PC計算機:PentiumⅢ800以上CPU,512M以上內存,硬盤20G。同時為確保RADIUS服務器能夠同網絡中的交換機正常通訊,RADIUS服務器需要啟動1812、1813、1645、1646端口。若在本地網絡中RADIUS服務器同交換機之間安裝網絡防火墻,或桌面終端主機同管理服務器之間存在防火墻,請注意注意端口開放問題(管理服務器TCP88、桌面終端TCP22105。2-2.VRVEDP-NAC實施方案在實施VRVEDP-NAC前,首先需要根據本身的網絡環境,明確需要實現的準入功效,從而擬定準入控制的實施方案。2-2-1.具休實施方案2-2-1-1.顧客需求顧客在調查過本身網絡環境之后,擬定要配備準入功效的交換機位置以及要啟動的端口,并且規定實現下列功效:1.準入控制系統只需要一種正常的工作區,注冊終端顧客在接入交換機認證端口后能自動進行認證,認證成功后能夠訪問內網。2.未注冊終端接入交換機認證端口后認證失敗,不能正常訪問內網,安裝注冊程序后注冊成功后,能夠自動認證成功并訪問內網。2-2-1-2.實現方式從上面的顧客需求來看,顧客的規定重要能夠分為注冊終端和非注冊終端兩個方面的需求。對注冊終端而言,只規定實現能夠自動進行認證。對未注冊終端來說,在未安裝注冊程序成文注冊終端之前接入交換機認證端口后,嚴禁其訪問內網使用內網資源。通過移動存儲設備拷貝注冊程序到未注冊終端,未注冊終端安裝注冊程序進行注冊,并成為注冊終端后也能實現自動認證,認證成功后能正常訪問內網,使用內網中的資源。2-2-1-3.配備前的準備要實現上述功效,802.1x認證模塊需要以下的硬件環境:一臺安裝了桌面終端原則化管理系統服務器接在正常的工作區VLAN中,重要負責在配備802.1x認證模塊之前向管轄范疇內的終端下發802.1x認證方略,同時也可作為從(備份radius服務器。一臺安裝了IAS的WIDOWS系統的服務器接在正常工作區VLAN中,作為主radius服務器,在整個認證過程中作為接入認證的服務器,根據定義的規則判斷客戶端與否準予接入。配備準入模塊的交換機支持802.1x認證合同2-2-1-4.配備環節配備802.1x接入認證模塊比較復雜,重要涉及到交換機、radius服務器、認證終端、強制注冊服務器等設備,大致配備環節以下:第一步:首先在桌面原則化管理系統給需要認證的終端下發802.1x認證方略,配備802.1x認證方略,設立為單顧客認證后下發給需要認證的注冊終端。第二步:配備桌面終端管理系統的注冊程序,將802.1x認證方略打包進新的注冊程序。第三步:配備交換機,擬定工作區VLAN,根據需要啟動認證端口。第四步:將radius服務器放置在正常工作區VLAN中,配備radius服務器,根據需要設立接入認證規則。2-2-1-5.具體配備過程802.1x認證方略的下發進入桌面終端原則化管理系統的WEB平臺中的方略中心模塊的接入認證方略,打開“802.1x認證方略”進入方略配備界面。在“密碼認證方式”中選擇“單顧客名密碼”認證方式,并在其后的顧客名和密碼框中輸入對應的顧客名和密碼,該顧客名和密碼就是后來這些終端進行接入認證時需要用到的顧客名和密碼,記住該顧客名和密碼,由于其后的radius配備中還需用到。配備界面如圖:(2保存方略之后,將方略分派給需要認證的設備。交換機配備思科交換機配備通過超級終端,進入思科交換機配備界面,輸入以下命令啟動端口的802.1x認證。switch#configt;進入全局配備模式Switch(config#aaanew-model//啟用aaa認證Switch(config#aaaauthenticationlogindefaultenable//(注意:telnet到交換機需要usename的不用此命令:沒有usename,直接輸入密碼的要加入此命令Switch(config#aaaauthenticationdot1xdefaultgroupradius//配備802.1x認證使用radius服務器數據庫Switch(config#aaaauthorizationnetworkdefaultgroupradiusSwitch(config#radius-serverhost10.64.226.20keyld12345//設立主radius服務器地址和口令(地址和口令需要修改Switch(config#radius-serverhost10.64.226.22keyld12345//設立備份radius服務器地址和口令(地址和口令需要修改Switch(config#radius-serverretransmit1//配備Radius服務器的超時定時器,默認值3switch(config#radius-servervsasendauthentication;配備VLAN分派必須使用IETF所規定的VSA值Switch(config#dot1xsystem-auth-control//全局啟動dot1x認證以太網接口模式下:Switch(config-if#switchportmodeaccessspanning-treeportfastdot1xport-controlauto//在需要認證的端口下啟動dot1x認證最后記住保存.不需要啟動認證的命令是:Switch(config-if#nodot1xport-controlauto(哪個端口現在不需要認證了就用這個命令Switch(config#nodot1xsystem-auth-control(全部不啟用認證華為交換機配備跟思科交換機同樣,通過超級終端進入交換機配備界面,輸入以下命令。system-view(進入系統配備模式radiusschemeTEST(新建一種radius方案primaryauthentication10.65.46201812(設定認證服務器IP與端標語primaryaccounting10.65.46.201813(設定計費服務器IP與端標語accountingoptional(設立此方案不計費keyauthenticationnzdcjc12(填寫服務器與交換機共享機密keyaccountingnzdcjc12(填寫服務器與交換機共享機密secondradauthentication10.64.226.201812(指定備份認證服務器secondradaccounting10.64.226.201813(指定備份計費服務器keyauthenticationnzdcjc12keyaccountingnzdcjc12user-name-formatwithout-domain(將認證帳號去除域名quitdomainvrvtest(新建一種域名radius-schemetest(將RADIUS方略應用到此域(注意:如果無法打出radius-schemetest命令的話,請打下面的命令,功效也是將radius方略應用到vrvtest域authenticationdefaultradius-schemetestauthorizationdefaultradius-schemetestaccountingdefaultradius-schemetestquitdomaindefaultenablevrvtest(將新建的域作為缺省域interfaceEthernet1/0/2(進入需要設定啟動802.1x的端標語dot1x(啟動2號端口的802.1x功效dot1xport-methodportbased(配備端口上進行接入控制的方式為portbased,MAC模式時不能設立GUESTVLANdot1xport-controlauto(配備端口上進行接入控制的模式為autoquit(退出2號端口模式dot1x(全局配備下啟動全局802.1xdot1xauthentication-methodeap(設定802.1x的認證辦法為EAP最后記住保存,不需要啟動認證的命令是:undodot1x(全局配備下使用radius服務器配備交換機配備結束后哦,我們要對radius服務器進行配備,重要分為配備主radius服務器和在主radius服務器上設立主從radius服務器主Radius服務器配備(1安裝RADIUS進入添加/刪除程序中的添加/刪除Windows組件,選擇網絡服務中的Internet驗證服務(2安裝IAS后,進入IAS配備界面(3右鍵點擊RADIUS客戶端,選擇新建RADIUS客戶端。名稱可任意填寫,客戶端地址為驗證交換機的管理地址(即全部接入層啟用802.1x的交換機的管理IP,有多少個就要建多少個RADIUS客戶端,這里只以一種作為例子。,點擊下一步。(4選擇RADIUSStandard,共享機密為交換機中所配備的key。點擊完畢。(5右鍵點擊遠程訪問方略,單擊新建遠程訪問方略。(6為方略取一種名字,點擊下一步(7選擇以太網,點擊下一步(8選擇顧客,點擊下一步(9使用MD5質詢,點擊下一步,并完畢。(10在右面板中右鍵點擊所新建的方略,選擇屬性。(11點擊添加,選擇Day-And-Time-Restrictions(12選擇添加,選擇允許,單擊擬定。(13刪除NAS-Port-Type匹配”Ethernet”,并選擇授予訪問權限(14啟用本地安全方略——安全設立——賬戶方略——密碼方略——用可還原的加密來儲存密碼。(注意:這步一定要在新建遠程登錄顧客前完畢!(15添加遠程登錄顧客。在本地顧客和組中新建一種顧客,該顧客名和密碼要與先前的802.1x認證方略中輸入的顧客名和密碼對應起來。(注意:添加遠程登錄顧客時,必須在IAS配備完之后再添加。(16右鍵點擊新建的顧客,進入屬性,選擇從屬于,刪除默認的USERS組(17點擊撥入,設立為允許訪問(18IAS配備完畢,確保InternetAuthenticationService服務處在啟動狀態。(19VRVEDPAgent認證成功。(手工認證的圖從radius服務器的配備如果需要從(備份radius服務器的話,還需要在主radius服務器上設立主從radius服務器,具體配備以下:(1進入主radius服務器的IAS控制臺(2新建遠程RADIUS服務器組(3指定主服務器與備份服務器IP地址,在主服務器配備即可。注意:從radius服務器其它配備與主radius服務器配備相似。配備完以上各個服務器、交換機和客戶端后,802.1x接入認證模塊就配備完畢了。三、802.1x認證應用注冊事項實施準備階段需要注意的問題1.根據華能瀾滄江水電有限公司內網的網絡拓撲構造圖,決定radius服務器、以及注冊程序下載服務器安放的位置。建議將以上服務器都安裝在主交換機上,這樣對管轄網絡范疇全部終端,都能夠根據需要啟動對其的802.1x認證,從而方便管理員的管理。2.需要配備備份(從radius服務器,備份radius服務器與主radius服務器配備相似。當主radius服務器出現故障無法正常工作時,終端能夠通過備份radius服務器實現正認證功效,避免發生由于主radius服務器發生故障造成網絡內終端無法接入認證的狀況。3.確保要啟動802.1x認證功效的交換機都支持802.1x認證,根據網絡拓撲結構,明確管理網絡范疇內需要對哪些終端進行802.1x認證,哪些重要服務器及無法進行認證的設備(如網絡打印機等不需要進行802.1x,明確這些設備具體接在交換機的哪些端口上,匯總整頓后編寫出《需啟動認證交換機端口列表》的文檔,方便后來的實施工作。實施階段需要注意的問題1.實施802.1x是一項比較復雜并且工作量較大的工程,在實施前應制訂出具體的實施計劃,在實施過程中按照實施計劃開展實施工作。建議實施計劃分為四個環節:第一步,先架設好radius服務器及注冊程序下載服務器,然后在小范疇內進行測試;第二步,選定某一樓層,按照之前準備好的《實施終端狀況表》在該樓層的某一部門或辦公室的接入層交換機上啟動802.1x認證,在該部門或辦公室實施完畢后進行測試,測試成功后,再在該樓層其它部門或辦公室交換機上實施802.1x;第三步,根據第二步實施的環節,按樓層逐步在各部門或辦公室的交換機上實施802.1x;第四步,在各樓層實施完畢后,進行大范疇的測試。分環節實施能避免由于實施過程中的錯誤造成大面積終端無法認證或不能連接內網的狀況出現,減少實施的風險,最大程度的減少實施802.1x對正常工作的影響。2.每臺交換機的工作區VLAN上要預留一種非認證端口作為該交換機與上層交換機的通信端口,確保每臺交換機能與radius服務器正常通信。3.在交換機上配備802.1x之前,最佳先將802.1x認證方略下發下去。4.在配備交換機時,最佳是一種一種的啟動端口的802.1x認證功效。5.在實施中,可能會碰到交換機認證端口下接HUB或非認證交換機的狀況,當終端接入這類HUB或非認證交換機時,首先要判斷終端與否能認證,也就是說認證報文信息與否能穿透這類HUB或非認證交換機。另一方面,如果單個終端能進行認證的話,要根據所接上層啟動了認證交換機型號做對應的解決。6.大型網絡的環境比較復雜,測試人員在測試過程中可能會出現認證失敗,因此,在測試時測試人員要耐心等待,直到終端認證過程結束后再做對應的解決。7.實施完畢后,根據之前的網絡拓撲圖,將啟用和不啟用802.1x認證的終端信息整頓成對應的文檔,方便后來的維護。日常運行維護階段要注意的問題1.定時查看radius服務器上的事件查看器,出現認證失敗的信息后,能根據事件查看器上的信息判斷認證失敗的因素。2.當某一交換機發生故障造成某一樓層或部門、辦公室內的全部終端無法認證時,通過實施完畢后準備好的文檔,能方便鑒定出現故障的設備,及時修復。3.應急修復故障故障交換機時,為了盡快恢復網絡連接,能夠先停用802.1X認證功效,這樣終端就能夠訪問網絡,不影響正常的工作,待下班或放假后再做配備、恢復交換機配備。四、802.1x認證應急預案4-1.預案流程1、對桌面終端原則化管理系統和Radius服務器進行數據備份工作;2、桌面終端原則化管理系統所在服務器出現故障,該系統無法啟動等。通過故障檢查,確認短時間內無法解決,則啟動此預案流程;3、Radius主用服務器出現故障,客戶端自動在備用服務器進行認證,管理員不需做操作;4、桌面終端原則化管理系統服務器出現故障,管理員啟用備用服務器;5、系統切換完畢后,進行系統功效測試;6、通過系統日志、主機防護系統日志、防火墻日志、入侵檢測系統日志等,對事件進行審計,對損失進行評定,追查事件的發生因素;7、消除隱患、調節方略;8、有關部