準入控制技術(shù)使用手冊北信源

北信源桌面終端原則化管理系統(tǒng)準入控制技術(shù)使用手冊目錄一、802.1x認證模塊原理(31-1.802.1x的工作機制(31-2.802.1x的認證過程(4二、VRVEDP-NAC系統(tǒng)硬件配備及實施方案(52-1.VRVEDP-NAC有關(guān)系統(tǒng)硬件配備(52-2.VRVEDP-NAC實施方案(5三、802.1x認證應(yīng)用注冊事項(22四、802.1x認證應(yīng)急預(yù)案(244-1.預(yù)案流程(244-2.應(yīng)急事件解決辦法(24一、802.1x認證模塊原理1-1.802.1x的工作機制IEEE802.1x認證系統(tǒng)運用EAP(ExtensibleAuthenticationProtocol,可擴展認證合同合同,作為在客戶端和認證服務(wù)器之間交換認證信息的手段。802.1x認證系統(tǒng)的工作機制在客戶端PAE與設(shè)備端PAE之間,EAP合同報文使用EAPOL封裝格式,直接承載于LAN環(huán)境中。在設(shè)備端PAE與RADIUS服務(wù)器之間,EAP合同報文能夠使用EAPOR封裝格式(EAPoverRADIUS,承載于RADIUS合同中;也能夠由設(shè)備端PAE進行終止,而在設(shè)備端PAE與RADIUS服務(wù)器之間傳送PAP合同報文或CHAP合同報文。當(dāng)顧客通過認證后,認證服務(wù)器會把顧客的有關(guān)信息傳遞給設(shè)備端,設(shè)備端PAE根據(jù)RADIUS服務(wù)器的批示(Accept或Reject決定受控端口的授權(quán)/非授權(quán)狀態(tài)。1-2.802.1x的認證過程802.1x認證系統(tǒng)的認證過程1.當(dāng)顧客有上網(wǎng)需求時打開802.1x客戶端,輸入已經(jīng)申請、登記過的顧客名和口令,發(fā)起連接請求(EAPOL-Start報文。此時,客戶端程序?qū)l(fā)出請求認證的報文給交換機,開始啟動一次認證過程。2.交換機收到請求認證的數(shù)據(jù)幀后,將發(fā)出一種請求幀(EAP-Request/Identity報文規(guī)定顧客的客戶端程序發(fā)送輸入的顧客名。3.客戶端程序響應(yīng)交換機發(fā)出的請求,將顧客名信息通過數(shù)據(jù)幀(EAP-Response/Identity報文送給交換機。交換機將客戶端送上來的數(shù)據(jù)幀通過封包解決后(RADIUSAccess-Request報文送給RADIUS服務(wù)器進行解決。4.RADIUS服務(wù)器收到交換機轉(zhuǎn)發(fā)的顧客名信息后,將該信息與數(shù)據(jù)庫中的顧客名表相比對,找到該顧客名對應(yīng)的口令信息,用隨機生成的一種加密字對它進行加密解決,同時也將此加密字通過RADIUSAccess-Challenge報文傳送給交換機,由交換機傳給客戶端程序。5.客戶端程序收到由交換機傳來的加密字(EAP-Request/MD5Challenge報文后,用該加密字對口令部分進行加密解決(此種加密算法一般是不可逆的,生成EAP-Response/MD5Challenge報文,并通過交換機傳給RADIUS服務(wù)器。6.RADIUS服務(wù)器將加密后的口令信息(RADIUSAccess-Requeset報文和自己通過加密運算后的口令信息進行對比,如果相似,則認為該顧客為正當(dāng)顧客,反饋認證通過的消息(RADIUSAccess-Accept報文和EAP-Success報文。交換機將端口狀態(tài)改為授權(quán)狀態(tài),允許顧客通過該端口訪問網(wǎng)絡(luò)。如果顧客名和口令不對的,則將該端口狀態(tài)改為非授權(quán)狀態(tài),將將該端口跳轉(zhuǎn)到guest-vlan.7.客戶端也能夠發(fā)送EAPoL-Logoff報文給交換機,主動終止已認證狀態(tài),交換機將端口狀態(tài)從授權(quán)狀態(tài)變化成未授權(quán)狀態(tài)。二、VRVEDP-NAC系統(tǒng)硬件配備及實施方案2-1.VRVEDP-NAC有關(guān)系統(tǒng)硬件配備方略服務(wù)器(VRVEDP-SERVER:專用服務(wù)器,即安裝桌面終端原則化管理系統(tǒng)的服務(wù)器。配備規(guī)定以下,PentiumⅢ800以上CPU,1G以上內(nèi)存,硬盤80G,10/100BaseTX網(wǎng)絡(luò)接口。Windows/server(ServicePack4.0操作系統(tǒng)、IE6.0。Radius認證服務(wù)器:微軟的IAS,CISCOACS可同方略服務(wù)器使用同一臺服務(wù)器。LINUXFREERADIUS需要單獨一臺PC計算機:PentiumⅢ800以上CPU,512M以上內(nèi)存,硬盤20G。同時為確保RADIUS服務(wù)器能夠同網(wǎng)絡(luò)中的交換機正常通訊,RADIUS服務(wù)器需要啟動1812、1813、1645、1646端口。若在本地網(wǎng)絡(luò)中RADIUS服務(wù)器同交換機之間安裝網(wǎng)絡(luò)防火墻,或桌面終端主機同管理服務(wù)器之間存在防火墻,請注意注意端口開放問題(管理服務(wù)器TCP88、桌面終端TCP22105。2-2.VRVEDP-NAC實施方案在實施VRVEDP-NAC前,首先需要根據(jù)本身的網(wǎng)絡(luò)環(huán)境,明確需要實現(xiàn)的準入功效,從而擬定準入控制的實施方案。2-2-1.具休實施方案2-2-1-1.顧客需求顧客在調(diào)查過本身網(wǎng)絡(luò)環(huán)境之后,擬定要配備準入功效的交換機位置以及要啟動的端口,并且規(guī)定實現(xiàn)下列功效:1.準入控制系統(tǒng)只需要一種正常的工作區(qū),注冊終端顧客在接入交換機認證端口后能自動進行認證,認證成功后能夠訪問內(nèi)網(wǎng)。2.未注冊終端接入交換機認證端口后認證失敗,不能正常訪問內(nèi)網(wǎng),安裝注冊程序后注冊成功后,能夠自動認證成功并訪問內(nèi)網(wǎng)。2-2-1-2.實現(xiàn)方式從上面的顧客需求來看,顧客的規(guī)定重要能夠分為注冊終端和非注冊終端兩個方面的需求。對注冊終端而言,只規(guī)定實現(xiàn)能夠自動進行認證。對未注冊終端來說,在未安裝注冊程序成文注冊終端之前接入交換機認證端口后,嚴禁其訪問內(nèi)網(wǎng)使用內(nèi)網(wǎng)資源。通過移動存儲設(shè)備拷貝注冊程序到未注冊終端,未注冊終端安裝注冊程序進行注冊,并成為注冊終端后也能實現(xiàn)自動認證,認證成功后能正常訪問內(nèi)網(wǎng),使用內(nèi)網(wǎng)中的資源。2-2-1-3.配備前的準備要實現(xiàn)上述功效,802.1x認證模塊需要以下的硬件環(huán)境:一臺安裝了桌面終端原則化管理系統(tǒng)服務(wù)器接在正常的工作區(qū)VLAN中,重要負責(zé)在配備802.1x認證模塊之前向管轄范疇內(nèi)的終端下發(fā)802.1x認證方略,同時也可作為從(備份radius服務(wù)器。一臺安裝了IAS的WIDOWS系統(tǒng)的服務(wù)器接在正常工作區(qū)VLAN中,作為主radius服務(wù)器,在整個認證過程中作為接入認證的服務(wù)器,根據(jù)定義的規(guī)則判斷客戶端與否準予接入。配備準入模塊的交換機支持802.1x認證合同2-2-1-4.配備環(huán)節(jié)配備802.1x接入認證模塊比較復(fù)雜,重要涉及到交換機、radius服務(wù)器、認證終端、強制注冊服務(wù)器等設(shè)備,大致配備環(huán)節(jié)以下:第一步:首先在桌面原則化管理系統(tǒng)給需要認證的終端下發(fā)802.1x認證方略,配備802.1x認證方略,設(shè)立為單顧客認證后下發(fā)給需要認證的注冊終端。第二步:配備桌面終端管理系統(tǒng)的注冊程序,將802.1x認證方略打包進新的注冊程序。第三步:配備交換機,擬定工作區(qū)VLAN,根據(jù)需要啟動認證端口。第四步:將radius服務(wù)器放置在正常工作區(qū)VLAN中,配備radius服務(wù)器,根據(jù)需要設(shè)立接入認證規(guī)則。2-2-1-5.具體配備過程802.1x認證方略的下發(fā)進入桌面終端原則化管理系統(tǒng)的WEB平臺中的方略中心模塊的接入認證方略,打開“802.1x認證方略”進入方略配備界面。在“密碼認證方式”中選擇“單顧客名密碼”認證方式,并在其后的顧客名和密碼框中輸入對應(yīng)的顧客名和密碼,該顧客名和密碼就是后來這些終端進行接入認證時需要用到的顧客名和密碼,記住該顧客名和密碼,由于其后的radius配備中還需用到。配備界面如圖:(2保存方略之后,將方略分派給需要認證的設(shè)備。交換機配備思科交換機配備通過超級終端,進入思科交換機配備界面,輸入以下命令啟動端口的802.1x認證。switch#configt;進入全局配備模式Switch(config#aaanew-model//啟用aaa認證Switch(config#aaaauthenticationlogindefaultenable//(注意:telnet到交換機需要usename的不用此命令:沒有usename,直接輸入密碼的要加入此命令Switch(config#aaaauthenticationdot1xdefaultgroupradius//配備802.1x認證使用radius服務(wù)器數(shù)據(jù)庫Switch(config#aaaauthorizationnetworkdefaultgroupradiusSwitch(config#radius-serverhost10.64.226.20keyld12345//設(shè)立主radius服務(wù)器地址和口令(地址和口令需要修改Switch(config#radius-serverhost10.64.226.22keyld12345//設(shè)立備份radius服務(wù)器地址和口令(地址和口令需要修改Switch(config#radius-serverretransmit1//配備Radius服務(wù)器的超時定時器,默認值3switch(config#radius-servervsasendauthentication;配備VLAN分派必須使用IETF所規(guī)定的VSA值Switch(config#dot1xsystem-auth-control//全局啟動dot1x認證以太網(wǎng)接口模式下:Switch(config-if#switchportmodeaccessspanning-treeportfastdot1xport-controlauto//在需要認證的端口下啟動dot1x認證最后記住保存.不需要啟動認證的命令是:Switch(config-if#nodot1xport-controlauto(哪個端口現(xiàn)在不需要認證了就用這個命令Switch(config#nodot1xsystem-auth-control(全部不啟用認證華為交換機配備跟思科交換機同樣,通過超級終端進入交換機配備界面,輸入以下命令。system-view(進入系統(tǒng)配備模式radiusschemeTEST(新建一種radius方案primaryauthentication10.65.46201812(設(shè)定認證服務(wù)器IP與端標語primaryaccounting10.65.46.201813(設(shè)定計費服務(wù)器IP與端標語accountingoptional(設(shè)立此方案不計費keyauthenticationnzdcjc12(填寫服務(wù)器與交換機共享機密keyaccountingnzdcjc12(填寫服務(wù)器與交換機共享機密secondradauthentication10.64.226.201812(指定備份認證服務(wù)器secondradaccounting10.64.226.201813(指定備份計費服務(wù)器keyauthenticationnzdcjc12keyaccountingnzdcjc12user-name-formatwithout-domain(將認證帳號去除域名quitdomainvrvtest(新建一種域名radius-schemetest(將RADIUS方略應(yīng)用到此域(注意:如果無法打出radius-schemetest命令的話,請打下面的命令,功效也是將radius方略應(yīng)用到vrvtest域authenticationdefaultradius-schemetestauthorizationdefaultradius-schemetestaccountingdefaultradius-schemetestquitdomaindefaultenablevrvtest(將新建的域作為缺省域interfaceEthernet1/0/2(進入需要設(shè)定啟動802.1x的端標語dot1x(啟動2號端口的802.1x功效dot1xport-methodportbased(配備端口上進行接入控制的方式為portbased,MAC模式時不能設(shè)立GUESTVLANdot1xport-controlauto(配備端口上進行接入控制的模式為autoquit(退出2號端口模式dot1x(全局配備下啟動全局802.1xdot1xauthentication-methodeap(設(shè)定802.1x的認證辦法為EAP最后記住保存,不需要啟動認證的命令是:undodot1x(全局配備下使用radius服務(wù)器配備交換機配備結(jié)束后哦,我們要對radius服務(wù)器進行配備,重要分為配備主radius服務(wù)器和在主radius服務(wù)器上設(shè)立主從radius服務(wù)器主Radius服務(wù)器配備(1安裝RADIUS進入添加/刪除程序中的添加/刪除Windows組件,選擇網(wǎng)絡(luò)服務(wù)中的Internet驗證服務(wù)(2安裝IAS后,進入IAS配備界面(3右鍵點擊RADIUS客戶端,選擇新建RADIUS客戶端。名稱可任意填寫,客戶端地址為驗證交換機的管理地址(即全部接入層啟用802.1x的交換機的管理IP,有多少個就要建多少個RADIUS客戶端,這里只以一種作為例子。,點擊下一步。(4選擇RADIUSStandard,共享機密為交換機中所配備的key。點擊完畢。(5右鍵點擊遠程訪問方略,單擊新建遠程訪問方略。(6為方略取一種名字,點擊下一步(7選擇以太網(wǎng),點擊下一步(8選擇顧客,點擊下一步(9使用MD5質(zhì)詢,點擊下一步,并完畢。(10在右面板中右鍵點擊所新建的方略,選擇屬性。(11點擊添加,選擇Day-And-Time-Restrictions(12選擇添加,選擇允許,單擊擬定。(13刪除NAS-Port-Type匹配”Ethernet”,并選擇授予訪問權(quán)限(14啟用本地安全方略——安全設(shè)立——賬戶方略——密碼方略——用可還原的加密來儲存密碼。(注意:這步一定要在新建遠程登錄顧客前完畢!(15添加遠程登錄顧客。在本地顧客和組中新建一種顧客,該顧客名和密碼要與先前的802.1x認證方略中輸入的顧客名和密碼對應(yīng)起來。(注意:添加遠程登錄顧客時,必須在IAS配備完之后再添加。(16右鍵點擊新建的顧客,進入屬性,選擇從屬于,刪除默認的USERS組(17點擊撥入,設(shè)立為允許訪問(18IAS配備完畢,確保InternetAuthenticationService服務(wù)處在啟動狀態(tài)。(19VRVEDPAgent認證成功。(手工認證的圖從radius服務(wù)器的配備如果需要從(備份radius服務(wù)器的話,還需要在主radius服務(wù)器上設(shè)立主從radius服務(wù)器,具體配備以下:(1進入主radius服務(wù)器的IAS控制臺(2新建遠程RADIUS服務(wù)器組(3指定主服務(wù)器與備份服務(wù)器IP地址,在主服務(wù)器配備即可。注意:從radius服務(wù)器其它配備與主radius服務(wù)器配備相似。配備完以上各個服務(wù)器、交換機和客戶端后,802.1x接入認證模塊就配備完畢了。三、802.1x認證應(yīng)用注冊事項實施準備階段需要注意的問題1.根據(jù)華能瀾滄江水電有限公司內(nèi)網(wǎng)的網(wǎng)絡(luò)拓撲構(gòu)造圖,決定radius服務(wù)器、以及注冊程序下載服務(wù)器安放的位置。建議將以上服務(wù)器都安裝在主交換機上,這樣對管轄網(wǎng)絡(luò)范疇全部終端,都能夠根據(jù)需要啟動對其的802.1x認證,從而方便管理員的管理。2.需要配備備份(從radius服務(wù)器,備份radius服務(wù)器與主radius服務(wù)器配備相似。當(dāng)主radius服務(wù)器出現(xiàn)故障無法正常工作時,終端能夠通過備份radius服務(wù)器實現(xiàn)正認證功效,避免發(fā)生由于主radius服務(wù)器發(fā)生故障造成網(wǎng)絡(luò)內(nèi)終端無法接入認證的狀況。3.確保要啟動802.1x認證功效的交換機都支持802.1x認證,根據(jù)網(wǎng)絡(luò)拓撲結(jié)構(gòu),明確管理網(wǎng)絡(luò)范疇內(nèi)需要對哪些終端進行802.1x認證,哪些重要服務(wù)器及無法進行認證的設(shè)備(如網(wǎng)絡(luò)打印機等不需要進行802.1x,明確這些設(shè)備具體接在交換機的哪些端口上,匯總整頓后編寫出《需啟動認證交換機端口列表》的文檔,方便后來的實施工作。實施階段需要注意的問題1.實施802.1x是一項比較復(fù)雜并且工作量較大的工程,在實施前應(yīng)制訂出具體的實施計劃,在實施過程中按照實施計劃開展實施工作。建議實施計劃分為四個環(huán)節(jié):第一步,先架設(shè)好radius服務(wù)器及注冊程序下載服務(wù)器,然后在小范疇內(nèi)進行測試;第二步,選定某一樓層,按照之前準備好的《實施終端狀況表》在該樓層的某一部門或辦公室的接入層交換機上啟動802.1x認證,在該部門或辦公室實施完畢后進行測試,測試成功后,再在該樓層其它部門或辦公室交換機上實施802.1x;第三步,根據(jù)第二步實施的環(huán)節(jié),按樓層逐步在各部門或辦公室的交換機上實施802.1x;第四步,在各樓層實施完畢后,進行大范疇的測試。分環(huán)節(jié)實施能避免由于實施過程中的錯誤造成大面積終端無法認證或不能連接內(nèi)網(wǎng)的狀況出現(xiàn),減少實施的風(fēng)險,最大程度的減少實施802.1x對正常工作的影響。2.每臺交換機的工作區(qū)VLAN上要預(yù)留一種非認證端口作為該交換機與上層交換機的通信端口,確保每臺交換機能與radius服務(wù)器正常通信。3.在交換機上配備802.1x之前,最佳先將802.1x認證方略下發(fā)下去。4.在配備交換機時,最佳是一種一種的啟動端口的802.1x認證功效。5.在實施中,可能會碰到交換機認證端口下接HUB或非認證交換機的狀況,當(dāng)終端接入這類HUB或非認證交換機時,首先要判斷終端與否能認證,也就是說認證報文信息與否能穿透這類HUB或非認證交換機。另一方面,如果單個終端能進行認證的話,要根據(jù)所接上層啟動了認證交換機型號做對應(yīng)的解決。6.大型網(wǎng)絡(luò)的環(huán)境比較復(fù)雜,測試人員在測試過程中可能會出現(xiàn)認證失敗,因此,在測試時測試人員要耐心等待,直到終端認證過程結(jié)束后再做對應(yīng)的解決。7.實施完畢后,根據(jù)之前的網(wǎng)絡(luò)拓撲圖,將啟用和不啟用802.1x認證的終端信息整頓成對應(yīng)的文檔,方便后來的維護。日常運行維護階段要注意的問題1.定時查看radius服務(wù)器上的事件查看器,出現(xiàn)認證失敗的信息后,能根據(jù)事件查看器上的信息判斷認證失敗的因素。2.當(dāng)某一交換機發(fā)生故障造成某一樓層或部門、辦公室內(nèi)的全部終端無法認證時,通過實施完畢后準備好的文檔,能方便鑒定出現(xiàn)故障的設(shè)備,及時修復(fù)。3.應(yīng)急修復(fù)故障故障交換機時,為了盡快恢復(fù)網(wǎng)絡(luò)連接,能夠先停用802.1X認證功效,這樣終端就能夠訪問網(wǎng)絡(luò),不影響正常的工作,待下班或放假后再做配備、恢復(fù)交換機配備。四、802.1x認證應(yīng)急預(yù)案4-1.預(yù)案流程1、對桌面終端原則化管理系統(tǒng)和Radius服務(wù)器進行數(shù)據(jù)備份工作;2、桌面終端原則化管理系統(tǒng)所在服務(wù)器出現(xiàn)故障,該系統(tǒng)無法啟動等。通過故障檢查,確認短時間內(nèi)無法解決,則啟動此預(yù)案流程;3、Radius主用服務(wù)器出現(xiàn)故障,客戶端自動在備用服務(wù)器進行認證,管理員不需做操作;4、桌面終端原則化管理系統(tǒng)服務(wù)器出現(xiàn)故障,管理員啟用備用服務(wù)器;5、系統(tǒng)切換完畢后,進行系統(tǒng)功效測試;6、通過系統(tǒng)日志、主機防護系統(tǒng)日志、防火墻日志、入侵檢測系統(tǒng)日志等,對事件進行審計,對損失進行評定,追查事件的發(fā)生因素;7、消除隱患、調(diào)節(jié)方略;8、有關(guān)部