北信源桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)基于8021x協(xié)議的準(zhǔn)入控

北信源桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)基于802.1x協(xié)議的準(zhǔn)入控制方案一、802.1x協(xié)議認(rèn)證描述802.1x協(xié)議是基于Client/Server的訪問(wèn)控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過(guò)接入端口訪問(wèn)LAN/MAN。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前，802.1x對(duì)連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過(guò)之前，802.1x只允許EAPoL（基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議）數(shù)據(jù)通過(guò)設(shè)備連接的交換機(jī)端口；認(rèn)證通過(guò)以后，正常的數(shù)據(jù)可以順利地通過(guò)以太網(wǎng)端口。

網(wǎng)絡(luò)訪問(wèn)技術(shù)的核心部分是PAE（端口訪問(wèn)實(shí)體）。在訪問(wèn)控制流程中，端口訪問(wèn)實(shí)體包含3部分：認(rèn)證者--對(duì)接入的用戶/設(shè)備進(jìn)行認(rèn)證的端口；請(qǐng)求者--被認(rèn)證的用戶/設(shè)備；認(rèn)證服務(wù)器--根據(jù)認(rèn)證者的信息，對(duì)請(qǐng)求訪問(wèn)網(wǎng)絡(luò)資源的用戶/設(shè)備進(jìn)行實(shí)際認(rèn)證功能的設(shè)備。

二、802.1x認(rèn)證特點(diǎn)

基于以太網(wǎng)端口認(rèn)證的802.1x協(xié)議有如下特點(diǎn)：IEEE802.1x協(xié)議為二層協(xié)議，不需要到達(dá)三層，對(duì)設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本；借用了在RAS系統(tǒng)中常用的EAP（擴(kuò)展認(rèn)證協(xié)議），可以提供良好的擴(kuò)展性和適應(yīng)性，實(shí)現(xiàn)對(duì)傳統(tǒng)PPP認(rèn)證架構(gòu)的兼容；802.1x的認(rèn)證體系結(jié)構(gòu)中采用了"可控端口"和"不可控端口"的邏輯功能，從而可以實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證的分離，由RADIUS和交換機(jī)利用不可控的邏輯端口共同完成對(duì)用戶的認(rèn)證與控制，報(bào)文直接承載在正常的二層報(bào)文上通過(guò)可控端口進(jìn)行交換，通過(guò)認(rèn)證之后的數(shù)據(jù)包是無(wú)需封裝的純數(shù)據(jù)包；可以使用現(xiàn)有的后臺(tái)認(rèn)證系統(tǒng)降低部署的成本，并有豐富的支持；可以映射不同的用戶認(rèn)證等級(jí)到不同的VLAN；可以使交換端口和無(wú)線LAN具有安全的認(rèn)證接入功能。三、802.1x應(yīng)用環(huán)境及其配置

a.一臺(tái)安裝IAS或者ACS的RADIUS認(rèn)證服務(wù)器；b.一臺(tái)安裝VRVEDP服務(wù)器；c.一個(gè)應(yīng)用可網(wǎng)管交換機(jī)的網(wǎng)絡(luò)環(huán)境；1.RADIUS認(rèn)證服務(wù)器配置如下：進(jìn)入添加/刪除程序中的添加/刪除Windows組件，選擇網(wǎng)絡(luò)服務(wù)中的Internet驗(yàn)證服務(wù)2.安裝IAS后，進(jìn)入IAS配置界面3．右鍵點(diǎn)擊RADIUS客戶端，選擇新建RADIUS客戶端?？蛻舳说刂窞轵?yàn)證交換機(jī)的管理地址，點(diǎn)擊下一步。4.選擇RADIUSStandard，共享機(jī)密為交換機(jī)中所配置的key。點(diǎn)擊完成。注：1、驗(yàn)證交換機(jī)可以填寫多個(gè)，比如：有100個(gè)支持802.1X協(xié)議的接入層交換機(jī)，就需要執(zhí)行100次步驟3與步驟4的動(dòng)作，把100個(gè)交換機(jī)的地址與共享密碼填寫進(jìn)去。2.此步驟是至關(guān)重要的第一步，一定要檢查填寫的共享密碼與交換機(jī)的共享密碼相同（這是思科交換機(jī)命令輸入共享密碼的命令：radius-serverhost192.168.0.136keyvrv；192.168.0.136為radius所在服務(wù)器地址）。5.右鍵點(diǎn)擊遠(yuǎn)程訪問(wèn)策略，單擊新建遠(yuǎn)程訪問(wèn)策略。注：1.建立遠(yuǎn)程訪問(wèn)策略為了使進(jìn)行跟交換機(jī)進(jìn)行聯(lián)動(dòng)，這個(gè)策略的建立為以后的用戶成功認(rèn)證打下堅(jiān)實(shí)的基礎(chǔ)。2.這個(gè)策略一個(gè)公共策略，在一個(gè)網(wǎng)絡(luò)中可能有幾百個(gè)用戶名密碼進(jìn)行認(rèn)證，這個(gè)要按照步驟進(jìn)行配置，不要填寫用戶名匹配，不然會(huì)只有一個(gè)匹配的用戶能夠認(rèn)證通過(guò)。3.公司支持多種加密認(rèn)證方式，在IAS中我們建議使用MD5加密算法來(lái)進(jìn)行認(rèn)證。6.為策略取一個(gè)名字，點(diǎn)擊下一步7.選擇以太網(wǎng)，點(diǎn)擊下一步8.選擇用戶，點(diǎn)擊下一步9.使用MD5質(zhì)詢，點(diǎn)擊下一步，并完成。10.在右面板中右鍵點(diǎn)擊所新建的策略，選擇屬性。11.點(diǎn)擊添加，選擇Day-And-Time-Restrictions12.選擇添加，選擇允許，單擊確定。13.刪除NAS-Port-Type匹配”Ethernet”，并選擇授予訪問(wèn)權(quán)限14.右鍵點(diǎn)擊連接請(qǐng)求策略，選擇新建連接請(qǐng)求策略。注：1.連接請(qǐng)求策略是與修復(fù)VLAN有關(guān)系的配置，如果在實(shí)施中沒有設(shè)置修復(fù)VLAN，這一步驟可以不進(jìn)行配置。2.連接請(qǐng)求策略中添加user-name與用戶名匹配，公司客戶端軟件暫時(shí)只支持與repair這個(gè)用戶名聯(lián)動(dòng)。如果不使用repair用戶名匹配，客戶端沒有通過(guò)安檢時(shí)也會(huì)跳入修復(fù)VLAN，但是在客戶端不會(huì)提示已經(jīng)進(jìn)入修復(fù)VLAN。3.IAS中設(shè)置修復(fù)VLAN設(shè)置方法有幾種，建議使用文檔中的操作方式。15.選擇自定義策略，并為該策略取個(gè)名字16.策略狀況選擇添加Day-And-Time-Restrictions,配置方法同上。17.刪除NAS-Port-Type匹配”Ethernet”，并選擇授予訪問(wèn)權(quán)限18.點(diǎn)擊添加，并選擇user-name,點(diǎn)擊添加19.這里repair是指repair子用戶名（即需要跳轉(zhuǎn)的子用戶名字），點(diǎn)擊確定并應(yīng)用20.單擊編輯配置文件，選擇高級(jí)-------添加選擇添加[64]Tunnel-Type：VLAN[65]Tunnel-Medium-Type：802[81]Tunnel-Pvt-Group-ID：VLANID（修復(fù)VLAN的vlan號(hào)）。21.單擊確定22．添加遠(yuǎn)程登錄用戶。在本地用戶和組中新建一個(gè)用戶。注：在建立認(rèn)證賬戶之前，首先檢查“用可還原的加密來(lái)存儲(chǔ)密碼”是否啟用。23.右鍵點(diǎn)擊新建的用戶，進(jìn)入屬性，選擇隸屬于，刪除默認(rèn)的USERS組24.點(diǎn)擊撥入，設(shè)置為允許訪問(wèn)25.IAS配置完成。2.VRVEDP服務(wù)器關(guān)于802.1x策略的配置及解釋：策略中心->接入認(rèn)證策略->802.1X接入認(rèn)證認(rèn)證498765321498765321密碼認(rèn)證方式：“單用戶名密碼認(rèn)證”：所接入的客戶端會(huì)以該策略中指定的用戶名和密碼認(rèn)證，不需要用戶手工輸入用戶名和密碼“多用戶密碼認(rèn)證”：所接入的客戶端需要手工輸入在Radius中建立的認(rèn)證用戶名和密碼進(jìn)行認(rèn)證“域用戶名認(rèn)證”：所接入的客戶端如果是域環(huán)境，使用此功能可以在用戶登陸域時(shí)自動(dòng)認(rèn)證。認(rèn)證程序在托盤顯示認(rèn)證狀態(tài)的圖標(biāo)，綠色為認(rèn)證成功，黃色為未認(rèn)證狀態(tài)，紅色則為認(rèn)證失敗。并可以規(guī)定認(rèn)證失敗特定次數(shù)后就不再認(rèn)證，自動(dòng)進(jìn)入GUESTVLAN密碼驗(yàn)證類型：分為MD5驗(yàn)證和受保護(hù)的EAP(PEAP)兩種模式。安檢失敗處理方式：配合補(bǔ)丁與殺毒軟件策略和進(jìn)程服務(wù)注冊(cè)表策略使用，當(dāng)客戶端違反以上策略并選擇了根據(jù)802.1X策略處理時(shí)，則可對(duì)其執(zhí)行以下3種處操作：不處理（即注銷其802.1X認(rèn)證）；進(jìn)入正常工作VLAN；進(jìn)入修復(fù)VLAN。如果客戶端環(huán)境為DHCP動(dòng)態(tài)網(wǎng)絡(luò)，則勾選DHCP動(dòng)態(tài)IP環(huán)境認(rèn)證；并當(dāng)認(rèn)證失敗后，這里可以填入另外一個(gè)用戶名密碼再認(rèn)證一次（配合單用戶認(rèn)證方式使用）；當(dāng)遇到網(wǎng)絡(luò)意外斷開的情況，勾選網(wǎng)絡(luò)恢復(fù)連接后主動(dòng)發(fā)起認(rèn)證，客戶端在恢復(fù)網(wǎng)絡(luò)時(shí)就會(huì)主動(dòng)發(fā)起認(rèn)證；支持華為認(rèn)證服務(wù)器的IP綁定功能：配合華為公司產(chǎn)品中的IP與端口綁定的功能。認(rèn)證數(shù)據(jù)包傳輸模式：分為組播和廣播兩種模式，默認(rèn)為組播，在不支持組播的交換上使用廣播模式。超級(jí)認(rèn)證帳戶：即認(rèn)證成功后就會(huì)進(jìn)入正常工作VLAN，不受安檢策略限制。黑名單認(rèn)證帳戶：即使用這個(gè)帳戶認(rèn)證的客戶端始終都不能認(rèn)證通過(guò)。策略中心->接入認(rèn)證策略->補(bǔ)丁與殺毒軟件認(rèn)證1097546823110975468231設(shè)置說(shuō)明：殺毒軟件安全檢測(cè)1.啟用“殺毒軟件安全檢測(cè)”：對(duì)接入網(wǎng)絡(luò)的計(jì)算機(jī)進(jìn)行殺毒軟件的安全檢測(cè)，檢查其健康度是否符合網(wǎng)絡(luò)要求標(biāo)準(zhǔn)，檢測(cè)內(nèi)容包括計(jì)算機(jī)是否安裝開啟了殺毒軟件。。2.“未運(yùn)行殺毒軟件時(shí)提示”：當(dāng)檢測(cè)到計(jì)算機(jī)沒有運(yùn)行殺毒軟件的時(shí)候給計(jì)算機(jī)一個(gè)提示信息。3.“未運(yùn)行殺毒軟件執(zhí)行（URL地址）”：當(dāng)檢測(cè)到計(jì)算機(jī)沒有運(yùn)行殺毒軟件的時(shí)候給計(jì)算機(jī)定向到指定的URL地址，例如某個(gè)可以下載或者運(yùn)行殺毒軟件的地址。4.“對(duì)上述URL執(zhí)行”1).選擇“打開/下載URL地址”：當(dāng)檢測(cè)到計(jì)算機(jī)沒有運(yùn)行殺毒軟件的時(shí)候直接打開或者下載上邊填寫的URL地址。2).選擇“下載URL地址指定文件并安裝”：當(dāng)檢測(cè)到計(jì)算機(jī)沒有運(yùn)行殺毒軟件的時(shí)候下載URL地址指定文件并安裝，一般為殺毒軟件。5.“未運(yùn)行殺毒軟件時(shí)”：當(dāng)檢測(cè)到計(jì)算機(jī)沒有運(yùn)行殺毒軟件的時(shí)候執(zhí)行以下操作1).“限制網(wǎng)絡(luò)訪問(wèn)”：計(jì)算機(jī)在網(wǎng)內(nèi)只能與安全服務(wù)器列表中的IP地址通訊，禁止與其他計(jì)算機(jī)通訊。2).“注銷802.1認(rèn)證”：當(dāng)未運(yùn)行殺毒軟件時(shí)，客戶端將注銷正常登錄并進(jìn)入修復(fù)vlan。系統(tǒng)補(bǔ)丁安全檢測(cè)1).啟用“系統(tǒng)補(bǔ)丁安全檢測(cè)”：對(duì)接入網(wǎng)絡(luò)的計(jì)算機(jī)進(jìn)行系統(tǒng)補(bǔ)丁的安全檢測(cè)，檢查其健康度是否符合網(wǎng)絡(luò)要求標(biāo)準(zhǔn)，檢測(cè)內(nèi)容包括計(jì)算機(jī)是否安裝了指定系統(tǒng)補(bǔ)丁。2).“漏安裝列表中指定的補(bǔ)丁時(shí)提示”：當(dāng)檢測(cè)到計(jì)算機(jī)沒有安裝列表中指定的補(bǔ)丁的時(shí)候給計(jì)算機(jī)一個(gè)提示信息。3).“漏安裝列表中指定的補(bǔ)丁是打開（URL地址）”：當(dāng)檢測(cè)到計(jì)算機(jī)沒有安裝列別中指定的補(bǔ)丁的時(shí)候給計(jì)算機(jī)定向到指定的URL地址，例如某個(gè)可以下載到指定補(bǔ)丁的地址。7.“漏安裝列表中補(bǔ)丁時(shí)”：當(dāng)檢測(cè)到計(jì)算機(jī)沒有安裝列表中的補(bǔ)丁時(shí)執(zhí)行以下操作：1).“限制網(wǎng)絡(luò)訪問(wèn)”：計(jì)算機(jī)在網(wǎng)內(nèi)只能與安全服務(wù)器列表中的IP地址通訊，禁止與其他計(jì)算機(jī)通訊2).“注銷802.1認(rèn)證”：當(dāng)未安裝指定安全補(bǔ)丁時(shí)，客戶端將注銷正常登錄并進(jìn)入修復(fù)vlan。8.“檢測(cè)補(bǔ)丁列表”：通過(guò)補(bǔ)丁號(hào)添加補(bǔ)丁檢測(cè)列表，當(dāng)計(jì)算機(jī)接入網(wǎng)絡(luò)的時(shí)候會(huì)檢測(cè)計(jì)算機(jī)是否安裝了此列表中列出的補(bǔ)丁9.“限制網(wǎng)絡(luò)訪問(wèn)后，允許安全服務(wù)器連通列表”：填寫EDPserver、補(bǔ)丁服務(wù)器等安全服務(wù)器，當(dāng)計(jì)算機(jī)被限制網(wǎng)絡(luò)訪問(wèn)后只能與這個(gè)列表中的IP地址通訊10.“DHCP與靜態(tài)IP切換”：在安檢失敗進(jìn)入訪客隔離區(qū)后，如果當(dāng)時(shí)的IP為靜態(tài)IP,則將其轉(zhuǎn)換為DHCP方式,直到安檢成功后返回正常工作區(qū)時(shí)再將DHCP方式還原為以前設(shè)置的靜態(tài)IP(選擇了"注銷802.1認(rèn)證"后,該選項(xiàng)才生效)。策略中心->接入認(rèn)證策略->進(jìn)程服務(wù)注冊(cè)表認(rèn)證67543216754321添加認(rèn)證模塊(見1.1)“以上列表認(rèn)證模塊認(rèn)證失敗時(shí)提示”：當(dāng)接入網(wǎng)絡(luò)的計(jì)算機(jī)在進(jìn)行認(rèn)證時(shí)，認(rèn)證失敗則在計(jì)算機(jī)顯示此信息“以上列表認(rèn)證模塊認(rèn)證失敗時(shí)打開（URL地址）”：當(dāng)接入網(wǎng)絡(luò)的計(jì)算機(jī)在進(jìn)行認(rèn)證時(shí)，認(rèn)證失敗則將計(jì)算機(jī)定向到此URL地址“對(duì)上述URL執(zhí)行”（1）選擇“打開/下載URL地址”：當(dāng)檢測(cè)到計(jì)算機(jī)認(rèn)證失敗的時(shí)候直接打開或者下載上邊填寫的URL地址（2）選擇“下載URL地址指定文件并安裝”：當(dāng)檢測(cè)到計(jì)算機(jī)認(rèn)證失敗的時(shí)候下載上邊URL地址指定文件并安裝“以上列表認(rèn)證模塊認(rèn)證失敗時(shí)”：當(dāng)認(rèn)證失敗時(shí)執(zhí)行以下操作（1）“限制網(wǎng)絡(luò)訪問(wèn)”：計(jì)算機(jī)在網(wǎng)內(nèi)只能與安全服務(wù)器列表中的IP地址通訊，禁止與其他計(jì)算機(jī)通訊（2）“注銷802.1認(rèn)證”：注銷本次認(rèn)證，使計(jì)算機(jī)重新進(jìn)行認(rèn)證“DHCP與靜態(tài)IP切換”：在安檢失敗進(jìn)入訪客隔離區(qū)后，如果當(dāng)時(shí)的IP為靜態(tài)IP,則將其轉(zhuǎn)換為DHCP方式,直到安檢成功后返回正常工作區(qū)時(shí)再將DHCP方式還原為靜態(tài)IP(選擇了"注銷802.1認(rèn)證"后,該選項(xiàng)才生效)?！跋拗凭W(wǎng)絡(luò)訪問(wèn)后，允許安全服務(wù)器連通列表”：填寫EDPserver、補(bǔ)丁服務(wù)器等安全服務(wù)器，當(dāng)計(jì)算機(jī)被限制網(wǎng)絡(luò)訪問(wèn)后只能與這個(gè)列表中的IP地址通訊”。2.1、文件存在認(rèn)證(5)(4)(3)(2)(1)(5)(4)(3)(2)(1)選擇“編輯認(rèn)證模塊”進(jìn)入編輯認(rèn)證模塊頁(yè)面,填寫一個(gè)新的認(rèn)證模塊名字，單擊“新建模板”，例如新建認(rèn)證模塊名為“ceshi”。（1）在“文件名”處填寫要認(rèn)證的文件名和路徑例如：C:\vrvclient\vrv.exe，表示當(dāng)計(jì)算機(jī)接入網(wǎng)絡(luò)后要對(duì)此計(jì)算機(jī)進(jìn)行安全檢測(cè)，監(jiān)測(cè)計(jì)算機(jī)是否存在“文件存在認(rèn)證列表”中的文件。（2）選擇“認(rèn)證內(nèi)容”1）“僅認(rèn)證文件存在”：接入網(wǎng)絡(luò)的計(jì)算機(jī)當(dāng)進(jìn)行文件存在認(rèn)證時(shí)僅檢測(cè)計(jì)算機(jī)是否存在列表中的文件；2）“認(rèn)證文件版本號(hào)”：計(jì)算機(jī)接入網(wǎng)絡(luò)后對(duì)計(jì)算機(jī)的檢測(cè)要檢測(cè)文件的版本號(hào)；3）“認(rèn)證比較”三種檢測(cè)比較的方式，指定接入網(wǎng)絡(luò)的計(jì)算機(jī)當(dāng)進(jìn)行文件存在認(rèn)證時(shí)將計(jì)算機(jī)中的文件與列表中的文件檢測(cè)比較的方式是等于/小于等于/大于等于，“比較值”指定標(biāo)準(zhǔn)值。(3)“添加認(rèn)證條目”將以上設(shè)置好的文件和文件的比較內(nèi)容通過(guò)此按鈕添加到“文件存在認(rèn)證列表中”。(4)“刪除認(rèn)證條目”將“文件存在認(rèn)證列表中”不需要的文件從列表中刪除。(5)“多條文件認(rèn)證關(guān)系”：當(dāng)列表中添加多個(gè)認(rèn)證文件的時(shí)候選擇采取多個(gè)文件判斷的關(guān)系。1)、“并且關(guān)系”，需要以上列表的認(rèn)證都通過(guò)才算文件認(rèn)證通過(guò)；2)、“或關(guān)系”，以上列表中的認(rèn)證只要一條通過(guò)就算文件認(rèn)證通過(guò)。2.2、進(jìn)程運(yùn)行認(rèn)證(4)(3)(2)(1)(4)(3)(2)(1)(1)在“進(jìn)程名”中填寫要認(rèn)證的進(jìn)程名字。(2)選擇“認(rèn)證內(nèi)容”。1)“僅認(rèn)證進(jìn)程是否存在”：接入網(wǎng)絡(luò)的計(jì)算機(jī)當(dāng)進(jìn)行進(jìn)程運(yùn)行認(rèn)證時(shí)僅檢測(cè)計(jì)算機(jī)中是否存在列表中的進(jìn)程；2)“認(rèn)證進(jìn)程源文件名”接入網(wǎng)絡(luò)的計(jì)算機(jī)當(dāng)進(jìn)行進(jìn)程運(yùn)行認(rèn)證時(shí)要檢測(cè)計(jì)算機(jī)中進(jìn)程的源文件；(3)“認(rèn)證比較”：指定接入網(wǎng)絡(luò)的計(jì)算機(jī)當(dāng)進(jìn)行進(jìn)程運(yùn)行認(rèn)證時(shí)將計(jì)算機(jī)中的進(jìn)程與列表中的進(jìn)程檢測(cè)比較的方式是等于/小于等于/大于等于，“比較值”指定標(biāo)準(zhǔn)值。1）點(diǎn)擊“添加認(rèn)證條目”將以上設(shè)置好的進(jìn)程和進(jìn)程的比較內(nèi)容通過(guò)此按鈕添加到“進(jìn)程運(yùn)行認(rèn)證列表中”；2）點(diǎn)擊“刪除認(rèn)證條目”將“文件存在認(rèn)證列表中”不需要的進(jìn)程從列表中刪除。(4)“多條進(jìn)程認(rèn)證關(guān)系”：當(dāng)列表中添加多個(gè)認(rèn)證進(jìn)程的時(shí)候選擇采取多個(gè)進(jìn)程判斷的關(guān)系。1)“并且關(guān)系”，需要以上列表的進(jìn)程都通過(guò)才算進(jìn)程運(yùn)行認(rèn)證通過(guò)；2)“或關(guān)系”，以上列表中的進(jìn)程只要一條通過(guò)就算進(jìn)程運(yùn)行認(rèn)證通過(guò)。2.3、注冊(cè)表鍵值認(rèn)證(5)(4)(3)(2)(1)(5)(4)(3)(2)(1)(1)在“注冊(cè)表項(xiàng)路徑”中填寫要認(rèn)證的注冊(cè)表項(xiàng)路徑，不包含鍵名。(2)“鍵名”：指定上邊注冊(cè)表項(xiàng)中需要作為認(rèn)證的鍵名。(3)“認(rèn)證內(nèi)容”：1)“僅認(rèn)證鍵是否存在”：接入網(wǎng)絡(luò)的計(jì)算機(jī)當(dāng)進(jìn)行注冊(cè)表鍵值認(rèn)證時(shí)僅檢測(cè)計(jì)算機(jī)中是否存在列表中的注冊(cè)表鍵；2)“認(rèn)證鍵值”接入網(wǎng)絡(luò)的計(jì)算機(jī)當(dāng)進(jìn)行注冊(cè)表鍵值認(rèn)證時(shí)要檢測(cè)計(jì)算機(jī)中注冊(cè)表鍵的鍵值的源文件。(4)“認(rèn)證比較”：指定接入網(wǎng)絡(luò)的計(jì)算機(jī)當(dāng)進(jìn)行注冊(cè)表鍵值認(rèn)證時(shí)將計(jì)算機(jī)中的進(jìn)程與列表中的進(jìn)程檢測(cè)比較的方式是等于/小于等于/大于等于，“比較值”指定標(biāo)準(zhǔn)值。1)點(diǎn)擊“添加認(rèn)證條目”將以上設(shè)置好的注冊(cè)表項(xiàng)和鍵名比較內(nèi)容通過(guò)此按鈕添加到“注冊(cè)表鍵值認(rèn)證列表中”；2)點(diǎn)擊“刪除認(rèn)證條目”將“注冊(cè)表鍵值認(rèn)證列表中”不需要的條目從列表中刪除。(5)“多條注冊(cè)表認(rèn)證關(guān)系”：當(dāng)列表中添加多個(gè)注冊(cè)表項(xiàng)的時(shí)候選擇采取多個(gè)注冊(cè)表項(xiàng)判斷的關(guān)系。1)“并且關(guān)系”，需要以上列表的注冊(cè)表鍵值通過(guò)才算注冊(cè)表鍵值認(rèn)證通過(guò)；2)“或關(guān)系”，以上列表中的注冊(cè)表鍵值只要一條通過(guò)就算注冊(cè)表鍵值認(rèn)證通過(guò)。2.4、服務(wù)運(yùn)行認(rèn)證(2)(1)(1)在“服務(wù)名”中填寫要認(rèn)證的服務(wù)名字。(2)(1)1)點(diǎn)擊“添加認(rèn)證條目”將以上填寫好的服務(wù)名通過(guò)此按鈕添加到“服務(wù)運(yùn)行認(rèn)證列表中；2)點(diǎn)擊“刪除認(rèn)證條目”將“服務(wù)運(yùn)行認(rèn)證列表中”不需要的服務(wù)名從列表中刪除。(2)“多條服務(wù)認(rèn)證關(guān)系”：當(dāng)列表中添加多個(gè)認(rèn)證服務(wù)的時(shí)候選擇采取多個(gè)服務(wù)判斷的關(guān)系。1)“并且關(guān)系”，需要以上列表中的服務(wù)名都通過(guò)才算服務(wù)運(yùn)行認(rèn)證通過(guò)；2)“或關(guān)系”，以上列表中的服務(wù)名只要一條通過(guò)就算服務(wù)運(yùn)行認(rèn)證通過(guò)。編輯完畢點(diǎn)擊“保存認(rèn)證模板配置”按鈕，將上述配置保存，完成了“ceshi”認(rèn)證模塊的編輯3.802.1x描述測(cè)試：測(cè)試目的測(cè)試系統(tǒng)用戶是否可以通過(guò)802.1x認(rèn)證方法/步驟配置交換機(jī)和RADUIS服務(wù)器，使交換機(jī)斷口需要802.1x認(rèn)證配置策略，讓終端通過(guò)802.1x方式認(rèn)證將終端接入到交換機(jī)中，在登陸框中輸入提前設(shè)定好的認(rèn)證口令預(yù)期目標(biāo)終端接入到交換機(jī)中，按照相應(yīng)的用戶名和口令，進(jìn)入到相應(yīng)的VLAN中（如GUESTVLAN；REPAIRVLAN），如果輸入錯(cuò)誤的用戶名和口令，則認(rèn)證不成功。實(shí)測(cè)結(jié)果是測(cè)試目的測(cè)試系統(tǒng)用戶長(zhǎng)時(shí)間不進(jìn)行802.1x認(rèn)證，是否自動(dòng)進(jìn)入到GUESTVLAN中方法/步驟配置交換機(jī)和RADUIS服務(wù)器，使交換機(jī)斷口需要802.1x認(rèn)證配置策略，讓終端通過(guò)802.1x方式認(rèn)證將終端接入到交換機(jī)中，彈出認(rèn)證框之后，不進(jìn)行認(rèn)證預(yù)期目標(biāo)終端接入到交換機(jī)中，長(zhǎng)時(shí)間不認(rèn)證之后，自動(dòng)跳轉(zhuǎn)到GUESTVLAN中實(shí)測(cè)結(jié)果是測(cè)試目的測(cè)試系統(tǒng)用戶接入認(rèn)證時(shí)進(jìn)行安全檢查，檢查不合格，則用REPAIRVLAN的用戶名登陸跳入到REPAIRVLAN中，檢查合格，自動(dòng)跳入到NORMALVLAN中方法/步驟配置交換機(jī)和RADUIS服務(wù)器，使交換機(jī)斷口需要802.1x認(rèn)證配置策略，讓終端通過(guò)802.1x方式認(rèn)證配置策略，終端接入認(rèn)證時(shí)，進(jìn)行病毒軟件、補(bǔ)丁、進(jìn)程、服務(wù)、文件的安全檢查預(yù)期目標(biāo)終端接入到交換機(jī)中，如果符合服務(wù)器的安全要求，則用NORMALVLAN的用戶名登陸到NORMALVLAN中，如果不符合安全要求，則用REPAIRVLAN的用戶名登陸到REPAIRVLAN中。實(shí)測(cè)結(jié)果是交換機(jī)配置如下：1.Cisco2950配置方法Enable/*進(jìn)入特權(quán)模式*/configt/*進(jìn)入全局配置模式*/aaanew-model/*啟用aaa認(rèn)證*/

aaaauthenticationdot1xdefaultgroupradius/*配置802.1x認(rèn)證使用radius服務(wù)器數(shù)據(jù)庫(kù)*/aaaauthorizationnetworkdefaultgroupradius/*VLAN分配必須*/

radius-serverhost192.168.1.132keyvrv/*指定radius服務(wù)器地址為192.168.1.132，通信密鑰為vrv，端口不用制定，默認(rèn)1812和1813*/radius-servervsasendauthentication/*配置VLAN分配必須使用IETF所規(guī)定的VSA值*/

intvlan1

ipadd192.168.1.133255.255.255.0

noshut

/*為交換機(jī)配置管理地址，以便和radius服務(wù)器通信*/

intrangef0/1-11

dot1xport-controlauto

switchportmodeaccess

/*為1到11端口配置dot1x，12端口不配*/dot1xguest-vlanID（VLAN跳轉(zhuǎn)命令）

exit

/*退回全局配置模式*/

dot1xsystem-auth-control

/*全局啟動(dòng)dot1x*/

2950交換機(jī)上VLAN的配置vlandatabasevlanIDenableconfigtintrangef0/1–20switchportaccessvlanIDswitchportmodeaccessspanning-treeportfast華為3COM3628配置discu#sysnameH3C#domaindefaultenabletest#dot1xdot1xtimertx-period10dot1xretry4#radiusschemesystemradiusschemetestserver-typestandardprimaryauthentication54.1.44.55primaryaccounting54.1.44.55keyauthenticationvrvkeyaccountingvrvuser-name-formatwithout-domain#domainsystemdomaintestschemeradius-schemetestvlan-assignment-modestring#vlan1#vlan46#vlan600descriptionguest#vlan601to602#interfaceVlan-interface46ipaddress54.1.46.250255.255.255.0#interfaceAux1/0/0#interfaceEthernet1/0/1portaccessvlan600dot1xport-methodportbaseddot1xguest-vlan601dot1x#interfaceEthernet1/0/2#interfaceEthernet1/0/3#interfaceEthernet1/0/4#interfaceEthernet1/0/5#interfaceEthernet1/0/6#interfaceEthernet1/0/7#interfaceEthernet1/0/8#interfaceEthernet1/0/9#interfaceEthernet1/0/10#interfaceEthernet1/0/11#interfaceEthernet1/0/12#interfaceEthernet1/0/13#interfaceEthernet1/0/14#interfaceEthernet1/0/15#interfaceEthernet1/0/16#interfaceEthernet1/0/17#interfaceEthernet1/0/18#interfaceEthernet1/0/19#interfaceEthernet1/0/20#interfaceEthernet1/0/21#interfaceEthernet1/0/22portaccessvlan601#interfaceEthernet1/0/23#interfaceEthernet1/0/24#interfaceGigabitEthernet1/1/1#interfaceGigabitEthernet1/1/2#interfaceGigabitEthernet1/1/3#interfaceGigabitEthernet1/1/4portlink-typetrunkporttrunkpermitvlan146600to602#undoirf-fabricauthentication-mode#interfaceNULL0#voicevlanmac-address0001-e300-0000maskffff-ff00-0000#iproute-static0.0.0.00.0.0.054.1.46.1preference60#user-interfaceaux07user-interfacevty04#return<H3C><H3C><H3C>3．銳捷RGS21配置hostnameSwitchvlan1!vlan600name600//要跳轉(zhuǎn)的VLAN必須以VLAN號(hào)來(lái)命名!ipaccess-listextendedUNAUTH//安全通道的ACLpermitipanyhost54.1.44.56//未認(rèn)證之前開放服務(wù)器!radius-serverhost54.1.44.55//指定radius服務(wù)器的地址aaaauthenticationdot1x//開啟認(rèn)證aaaaccountingserver54.1.44.55//指定記帳服務(wù)器的地址aaaaccounting//開啟記帳enablesecretlevel15!'.tj9=Gq+/7R:>HE,1u_;C,&-8U0<D+enablesecretlevel155!fjo+/7RqgkE,1u_dhl&-8U0ein'.tj9interfacefastEthernet0/45dot1xport-controlauto//開啟1X認(rèn)證dot1xdynamic-vlanenable//開啟動(dòng)態(tài)VLAN!interfacefastEthernet0/48dot1xport-controlautodot1xdynamic-vlanenable!interfacevlan1noshutdownipaddress54.1.44.53255.255.255.0!nodot1xfilter-nonRG-suenable//允許非銳捷的客戶端通過(guò)dot1xaccout-update-interval600radius-serverkeyvrvipdefault-gateway54.1.46.1snmp-servercommunity123rwsecurityglobalaccess-groupUNAUTH//開啟安全通道end四、策略實(shí)施的步驟：1、安裝IAS組件2、當(dāng)網(wǎng)絡(luò)內(nèi)所有設(shè)備基本安裝客戶端注冊(cè)程序以后，配置下發(fā)接入控制策略；策略收到后，會(huì)在計(jì)算機(jī)系統(tǒng)上右下角出現(xiàn)黃色小圖標(biāo)，表示需要通過(guò)認(rèn)證。3、配置交換機(jī)開啟aaa認(rèn)證。計(jì)算機(jī)系統(tǒng)右下角黃色小圖標(biāo)會(huì)由黃色變成綠色，表示802.1x認(rèn)證通過(guò)，交換機(jī)相應(yīng)端口打開，授權(quán)訪問(wèn)網(wǎng)絡(luò)。4、然后將服務(wù)器上的C:\VRV\VRVEIS\download目錄下的DeviceRegist.exe和RegTool.exe程序下載到本地計(jì)算機(jī)上，由RegTool.exe對(duì)注冊(cè)程序解壓生成temp文件，然后從已經(jīng)通過(guò)認(rèn)證的計(jì)算機(jī)上，拷貝vrvpolicy.xml(如何拷貝：在已經(jīng)注冊(cè)且能認(rèn)證通過(guò)的計(jì)算機(jī)上的“運(yùn)行”中輸入vrvpolicy.xml，打開這個(gè)xml文件后，鼠標(biāo)右鍵，以同一名稱另存為)添加到temp中addFile文件中，最后點(diǎn)擊RegTool.exe打包，生成一個(gè)含有用戶名，密碼的vrvpolicy.xml的注冊(cè)客戶端程序。以后就可以用這個(gè)客戶端注冊(cè)程序給未注冊(cè)的計(jì)算機(jī)注冊(cè)安裝，這樣該未注冊(cè)計(jì)算機(jī)可通過(guò)注冊(cè)后，主動(dòng)發(fā)起認(rèn)證，使交換機(jī)端口打開，隨后看到綠色圖標(biāo)，即表示已被授權(quán)網(wǎng)絡(luò)訪問(wèn)。

薪資制度編號(hào)：提出部門：人力資源部執(zhí)行部門：所有部門主題：薪資制度審批人：總經(jīng)理生效日期：重新簽發(fā)日：替換原文件：共8頁(yè)第1頁(yè)日期：年月日目的:建立和合理而公正的薪資制度，以利于調(diào)動(dòng)員工的工作積極性。政策與程序:1．薪資構(gòu)成員工的薪資由月薪及年終雙薪（年終分紅）構(gòu)成。月薪=標(biāo)準(zhǔn)工資+加班工資標(biāo)準(zhǔn)工資=基本工資+績(jī)效工資+崗位補(bǔ)貼如下圖所示：年終雙薪（年終分紅）薪資加班工資月工資崗位補(bǔ)貼績(jī)效工資標(biāo)準(zhǔn)工資基本工資標(biāo)準(zhǔn)工資為員工的合同工資，根據(jù)每位員工的任職崗位、資歷、能力等確定?；竟べY為加班工資計(jì)算基數(shù)，為員工最低生活保障工資，應(yīng)不低于當(dāng)?shù)氐淖畹凸べY標(biāo)準(zhǔn)。薪資制度編號(hào)：提出部門：人力資源部執(zhí)行部門：所有部門主題：薪資制度審批人：總經(jīng)理生效日期：重新簽發(fā)日：替換原文件：共8頁(yè)第2頁(yè)日期：年月日績(jī)效工資為員工的每月工作成效的考核工資，不在崗工作不享受績(jī)效工資崗位補(bǔ)貼不同崗位的員工，崗位工資不同。不在崗工作的員工不享受崗位補(bǔ)貼。年終雙薪（年終紅利）是為體現(xiàn)公司對(duì)員工的關(guān)心而設(shè)立。于每年的二月份（春節(jié)以前）根據(jù)公司上年度的完成營(yíng)業(yè)情況給與額外發(fā)放N月的工資。計(jì)算公式如下：年終雙薪=員工上年平均月標(biāo)準(zhǔn)工資×N（個(gè)月），年終雙薪只限于正式簽定勞動(dòng)合同的員工，年薪根據(jù)員工年終績(jī)效考核成績(jī)發(fā)放，考核成績(jī)不同發(fā)放份額不同。2．獎(jiǎng)金獎(jiǎng)金即月獎(jiǎng)金，是為體現(xiàn)公司整體效益與員工個(gè)人利益相結(jié)合的原則，更好的調(diào)動(dòng)員工的工作積極性而設(shè)立。根據(jù)公司完成每月經(jīng)營(yíng)狀況，由董事會(huì)決定提取月營(yíng)業(yè)額的作為獎(jiǎng)金發(fā)放。獎(jiǎng)金實(shí)行“獎(jiǎng)金分?jǐn)?shù)制”，即結(jié)合職級(jí)、部門及工作崗位設(shè)定不同的獎(jiǎng)金分?jǐn)?shù)差別，計(jì)發(fā)獎(jiǎng)金。（根據(jù)公司獎(jiǎng)金提及方案）優(yōu)點(diǎn)：職級(jí)越高，獎(jiǎng)金份數(shù)越多。有利于調(diào)動(dòng)管理人員科學(xué)合理、充分有效的安排本部門的員工進(jìn)行運(yùn)作。在獎(jiǎng)金總額不變的全體下，部門員工的人數(shù)越少，每個(gè)員工分得的獎(jiǎng)金總額越多，即每份獎(jiǎng)金所含的現(xiàn)金越多。有利于各部門主管控制本部門的員工數(shù)量，實(shí)現(xiàn)公司人員編制的自動(dòng)控制如：某月所提取的獎(jiǎng)金額為300，000元，獎(jiǎng)金份數(shù)總計(jì)為500份，則每份獎(jiǎng)金為600元；如薪資制度編號(hào)：提出部門：人力資源部執(zhí)行部門：所有部門主題：薪資制度審批人：總經(jīng)理生效日期：重新簽發(fā)日：替換原文件：共8頁(yè)第3頁(yè)日期：年月日果獎(jiǎng)金份數(shù)為1，000分，則每份獎(jiǎng)金為300元。獎(jiǎng)金份額傾向于前臺(tái)運(yùn)作員工，有利于調(diào)動(dòng)前臺(tái)員工的積極性。3．職級(jí)與工資根據(jù)工作崗位及公司實(shí)際情況，公司所有員工共分為九個(gè)職級(jí)，即：行政級(jí)7—9級(jí)經(jīng)理級(jí)5—6級(jí)（助理、副經(jīng)理、經(jīng)理）督導(dǎo)級(jí)3—4級(jí)（主管、領(lǐng)班）員工級(jí)0—2級(jí)詳見附表《工資分配方案》。4．特殊津貼經(jīng)批準(zhǔn)的特殊津貼（交通費(fèi)、通訊費(fèi)等）按集團(tuán)公司有關(guān)規(guī)定辦理。由人力資源部負(fù)責(zé)核準(zhǔn)，總經(jīng)理批準(zhǔn)后由財(cái)務(wù)部具體發(fā)放。5．工資及級(jí)職確定所有新入職員工，其工資及職級(jí)由人力資源部經(jīng)理確定。其中5級(jí)及以上職級(jí)員工由總經(jīng)理確定。入職時(shí)，人力資源部根據(jù)員工的實(shí)際情況確定員工的職級(jí)、填發(fā)《員工變動(dòng)表》通知員工到職。6．工作時(shí)間工作時(shí)間指員工的實(shí)際工作時(shí)間，不包括就餐、休息等時(shí)間。員工平均每周工作時(shí)間為40小時(shí)。實(shí)行特殊工時(shí)制的員工將在入職時(shí)及在勞動(dòng)合同中有特殊說(shuō)明。7．超時(shí)工作薪資制度編號(hào)：提出部門：人力資源部執(zhí)行部門：所有部門主題：薪資制度審批人：總經(jīng)理生效日期：重新簽發(fā)日：替換原文件：共8頁(yè)第4頁(yè)日期：年月日7．1、公司不鼓勵(lì)員工超時(shí)工作。7．2如果確屬工作需要級(jí)臨時(shí)性職的工作安排，導(dǎo)致員工超時(shí)工作，部門主管應(yīng)詳細(xì)填寫《加班申請(qǐng)表》報(bào)人力資源部備案，并于超時(shí)工作發(fā)生三個(gè)月內(nèi)安排員工時(shí)間補(bǔ)休。.公司經(jīng)理助理職級(jí)以上的管理人員實(shí)行彈性工作制，不計(jì)算加班時(shí)間，如公休日值班，必須在三個(gè)月以內(nèi)進(jìn)行調(diào)休，無(wú)特殊情況未休逾期作廢（節(jié)假日值班根據(jù)國(guó)家規(guī)定執(zhí)行，或根據(jù)集團(tuán)旅業(yè)部薪酬制度執(zhí)行）.未能及時(shí)安排的補(bǔ)休，如果沒有部門經(jīng)理及時(shí)的說(shuō)明及知會(huì)人力資源部，將被視為員工自動(dòng)放棄。故員工本人亦有責(zé)任提醒直屬上司或部門主管及時(shí)為其安排補(bǔ)休。.補(bǔ)休時(shí)需填寫《假期申請(qǐng)書》完成請(qǐng)假程序。任何時(shí)間的超時(shí)工作入予以時(shí)間行使補(bǔ)償，只能以相等于超時(shí)工作時(shí)間長(zhǎng)度的時(shí)間予以補(bǔ)休。7．3如超時(shí)工作無(wú)法以時(shí)間補(bǔ)償，需發(fā)放超時(shí)工作薪資時(shí)，應(yīng)于加班發(fā)生次日前填寫《加班申請(qǐng)書》，注明超時(shí)工作的詳細(xì)理由，報(bào)人力資源部審核，再報(bào)請(qǐng)總經(jīng)理審批。經(jīng)總經(jīng)理批準(zhǔn)的超時(shí)工作，可予以發(fā)放超時(shí)工作薪資。超時(shí)工