北信源桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)基于協(xié)議的準(zhǔn)入控樣本

北信源桌面終端原則化管理系統(tǒng)基于802.1x合同準(zhǔn)入控制方案一、802.1x合同認(rèn)證描述802.1x合同是基于Client/Server訪問(wèn)控制和認(rèn)證合同。它可以限制未經(jīng)授權(quán)顧客/設(shè)備通過(guò)接入端口訪問(wèn)LAN/MAN。在獲得互換機(jī)或LAN提供各種業(yè)務(wù)之前，802.1x對(duì)連接到互換機(jī)端口上顧客/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過(guò)之前，802.1x只容許EAPoL（基于局域網(wǎng)擴(kuò)展認(rèn)證合同）數(shù)據(jù)通過(guò)設(shè)備連接互換機(jī)端口；認(rèn)證通過(guò)后來(lái)，正常數(shù)據(jù)可以順利地通過(guò)以太網(wǎng)端口。

網(wǎng)絡(luò)訪問(wèn)技術(shù)核心某些是PAE（端口訪問(wèn)實(shí)體）。在訪問(wèn)控制流程中，端口訪問(wèn)實(shí)體包括3某些：認(rèn)證者--對(duì)接入顧客/設(shè)備進(jìn)行認(rèn)證端口；祈求者--被認(rèn)證顧客/設(shè)備；認(rèn)證服務(wù)器--依照認(rèn)證者信息，對(duì)祈求訪問(wèn)網(wǎng)絡(luò)資源顧客/設(shè)備進(jìn)行實(shí)際認(rèn)證功能設(shè)備。

二、802.1x認(rèn)證特點(diǎn)

基于以太網(wǎng)端口認(rèn)證802.1x合同有如下特點(diǎn)：IEEE802.1x合同為二層合同，不需要到達(dá)三層，對(duì)設(shè)備整體性能規(guī)定不高，可以有效減少建網(wǎng)成本；借用了在RAS系統(tǒng)中慣用EAP（擴(kuò)展認(rèn)證合同），可以提供良好擴(kuò)展性和適應(yīng)性，實(shí)現(xiàn)對(duì)老式PPP認(rèn)證架構(gòu)兼容；802.1x認(rèn)證體系構(gòu)造中采用了"可控端口"和"不可控端口"邏輯功能，從而可以實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證分離，由RADIUS和互換機(jī)運(yùn)用不可控邏輯端口共同完畢對(duì)顧客認(rèn)證與控制，報(bào)文直接承載在正常二層報(bào)文上通過(guò)可控端口進(jìn)行互換，通過(guò)認(rèn)證之后數(shù)據(jù)包是無(wú)需封裝純數(shù)據(jù)包；可以使用既有后臺(tái)認(rèn)證系統(tǒng)減少布置成本，并有豐富支持；可以映射不同顧客認(rèn)證級(jí)別到不同VLAN；可以使互換端口和無(wú)線LAN具備安全認(rèn)證接入功能。三、802.1x應(yīng)用環(huán)境及其配備

a.一臺(tái)安裝IAS或者ACSRADIUS認(rèn)證服務(wù)器；b.一臺(tái)安裝VRVEDP服務(wù)器；c.一種應(yīng)用可網(wǎng)管互換機(jī)網(wǎng)絡(luò)環(huán)境；1.RADIUS認(rèn)證服務(wù)器配備如下：進(jìn)入添加/刪除程序中添加/刪除Windows組件，選取網(wǎng)絡(luò)服務(wù)中Internet驗(yàn)證服務(wù)2.安裝IAS后，進(jìn)入IAS配備界面3．右鍵點(diǎn)擊RADIUS客戶端，選取新建RADIUS客戶端?？蛻舳说刂窞轵?yàn)證互換機(jī)管理地址，點(diǎn)擊下一步。4.選取RADIUSStandard，共享機(jī)密為互換機(jī)中所配備key。點(diǎn)擊完畢。注：1、驗(yàn)證互換機(jī)可以填寫各種，例如：有100個(gè)支持802.1X合同接入層互換機(jī)，就需要執(zhí)行100次環(huán)節(jié)3與環(huán)節(jié)4動(dòng)作，把100個(gè)互換機(jī)地址與共享密碼填寫進(jìn)去。2.此環(huán)節(jié)是至關(guān)重要第一步，一定要檢查填寫共享密碼與互換機(jī)共享密碼相似（這是思科互換機(jī)命令輸入共享密碼命令：radius-serverhost192.168.0.136keyvrv；192.168.0.136為radius所在服務(wù)器地址）。5.右鍵點(diǎn)擊遠(yuǎn)程訪問(wèn)方略，單擊新建遠(yuǎn)程訪問(wèn)方略。注：1.建立遠(yuǎn)程訪問(wèn)方略為了使進(jìn)行跟互換機(jī)進(jìn)行聯(lián)動(dòng)，這個(gè)方略建立為后來(lái)顧客成功認(rèn)證打下堅(jiān)實(shí)基本。2.這個(gè)方略一種公共方略，在一種網(wǎng)絡(luò)中也許有幾百個(gè)顧客名密碼進(jìn)行認(rèn)證，這個(gè)要按照環(huán)節(jié)進(jìn)行配備，不要填寫顧客名匹配，否則會(huì)只有一種匹配顧客可以認(rèn)證通過(guò)。3.公司支持各種加密認(rèn)證方式，在IAS中咱們建議使用MD5加密算法來(lái)進(jìn)行認(rèn)證。6.為方略取一種名字，點(diǎn)擊下一步7.選取以太網(wǎng)，點(diǎn)擊下一步8.選取顧客，點(diǎn)擊下一步9.使用MD5質(zhì)詢，點(diǎn)擊下一步，并完畢。10.在右面板中右鍵點(diǎn)擊所新建方略，選取屬性。11.點(diǎn)擊添加，選取Day-And-Time-Restrictions12.選取添加，選取容許，單擊擬定。13.刪除NAS-Port-Type匹配”Ethernet”，并選取授予訪問(wèn)權(quán)限14.右鍵點(diǎn)擊連接祈求方略，選取新建連接祈求方略。注：1.連接祈求方略是與修復(fù)VLAN關(guān)于系配備，如果在實(shí)行中沒(méi)有設(shè)立修復(fù)VLAN，這一環(huán)節(jié)可以不進(jìn)行配備。2.連接祈求方略中添加user-name與顧客名匹配，公司客戶端軟件暫時(shí)只支持與repair這個(gè)顧客名聯(lián)動(dòng)。如果不使用repair顧客名匹配，客戶端沒(méi)有通過(guò)安檢時(shí)也會(huì)跳入修復(fù)VLAN，但是在客戶端不會(huì)提示已經(jīng)進(jìn)入修復(fù)VLAN。3.IAS中設(shè)立修復(fù)VLAN設(shè)立辦法有幾種，建議使用文檔中操作方式。15.選取自定義方略，并為該方略取個(gè)名字16.方略狀況選取添加Day-And-Time-Restrictions,配備辦法同上。17.刪除NAS-Port-Type匹配”Ethernet”，并選取授予訪問(wèn)權(quán)限18.點(diǎn)擊添加，并選取user-name,點(diǎn)擊添加19.這里repair是指repair子顧客名（即需要跳轉(zhuǎn)子顧客名字），點(diǎn)擊擬定并應(yīng)用20.單擊編輯配備文獻(xiàn)，選取高檔-------添加選取添加[64]Tunnel-Type：VLAN[65]Tunnel-Medium-Type：802[81]Tunnel-Pvt-Group-ID：VLANID（修復(fù)VLANvlan號(hào)）。21.單擊擬定22．添加遠(yuǎn)程登錄顧客。在本地顧客和組中新建一種顧客。注：在建立認(rèn)證賬戶之前，一方面檢查“用可還原加密來(lái)存儲(chǔ)密碼”與否啟用。23.右鍵點(diǎn)擊新建顧客，進(jìn)入屬性，選取從屬于，刪除默認(rèn)USERS組24.點(diǎn)擊撥入，設(shè)立為容許訪問(wèn)25.IAS配備完畢。2.VRVEDP服務(wù)器關(guān)于802.1x方略配備及解釋：方略中心->接入認(rèn)證方略->802.1X接入認(rèn)證認(rèn)證498765321498765321密碼認(rèn)證方式：“單顧客名密碼認(rèn)證”：所接入客戶端會(huì)以該方略中指定顧客名和密碼認(rèn)證，不需要顧客手工輸入顧客名和密碼“多顧客密碼認(rèn)證”：所接入客戶端需要手工輸入在Radius中建立認(rèn)證顧客名和密碼進(jìn)行認(rèn)證“域顧客名認(rèn)證”：所接入客戶端如果是域環(huán)境，使用此功能可以在顧客登陸域時(shí)自動(dòng)認(rèn)證。認(rèn)證程序在托盤顯示認(rèn)證狀態(tài)圖標(biāo)，綠色為認(rèn)證成功，黃色為未認(rèn)證狀態(tài)，紅色則為認(rèn)證失敗。并可以規(guī)定認(rèn)證失敗特定次數(shù)后就不再認(rèn)證，自動(dòng)進(jìn)入GUESTVLAN密碼驗(yàn)證類型：分為MD5驗(yàn)證和受保護(hù)EAP(PEAP)兩種模式。安檢失敗解決方式：配合補(bǔ)丁與殺毒軟件方略和進(jìn)程服務(wù)注冊(cè)表方略使用，當(dāng)客戶端違背以上方略并選取了依照802.1X方略解決時(shí)，則可對(duì)其執(zhí)行如下3種處操作：不解決（即注銷其802.1X認(rèn)證）；進(jìn)入正常工作VLAN；進(jìn)入修復(fù)VLAN。如果客戶端環(huán)境為DHCP動(dòng)態(tài)網(wǎng)絡(luò)，則勾選DHCP動(dòng)態(tài)IP環(huán)境認(rèn)證；并當(dāng)認(rèn)證失敗后，這里可以填入此外一種顧客名密碼再認(rèn)證一次（配合單顧客認(rèn)證方式使用）；當(dāng)遇到網(wǎng)絡(luò)意外斷開(kāi)狀況，勾選網(wǎng)絡(luò)恢復(fù)連接后積極發(fā)起認(rèn)證，客戶端在恢復(fù)網(wǎng)絡(luò)時(shí)就會(huì)積極發(fā)起認(rèn)證；支持華為認(rèn)證服務(wù)器IP綁定功能：配合華為公司產(chǎn)品中IP與端口綁定功能。認(rèn)證數(shù)據(jù)包傳播模式：分為組播和廣播兩種模式，默以為組播，在不支持組播互換上使用廣播模式。超級(jí)認(rèn)證帳戶：即認(rèn)證成功后就會(huì)進(jìn)入正常工作VLAN，不受安檢方略限制。黑名單認(rèn)證帳戶：雖然用這個(gè)帳戶認(rèn)證客戶端始終都不能認(rèn)證通過(guò)。方略中心->接入認(rèn)證方略->補(bǔ)丁與殺毒軟件認(rèn)證1097546823110975468231設(shè)立闡明：殺毒軟件安全檢測(cè)1.啟用“殺毒軟件安全檢測(cè)”：對(duì)接入網(wǎng)絡(luò)計(jì)算機(jī)進(jìn)行殺毒軟件安全檢測(cè)，檢查其健康度與否符合網(wǎng)絡(luò)規(guī)定原則，檢測(cè)內(nèi)容涉及計(jì)算機(jī)與否安裝啟動(dòng)了殺毒軟件。。2.“未運(yùn)營(yíng)殺毒軟件時(shí)提示”：當(dāng)檢測(cè)到計(jì)算機(jī)沒(méi)有運(yùn)營(yíng)殺毒軟件時(shí)候給計(jì)算機(jī)一種提示信息。3.“未運(yùn)營(yíng)殺毒軟件執(zhí)行（URL地址）”：當(dāng)檢測(cè)到計(jì)算機(jī)沒(méi)有運(yùn)營(yíng)殺毒軟件時(shí)候給計(jì)算機(jī)定向到指定URL地址，例如某個(gè)可如下載或者運(yùn)營(yíng)殺毒軟件地址。4.“對(duì)上述URL執(zhí)行”1).選取“打開(kāi)/下載URL地址”：當(dāng)檢測(cè)到計(jì)算機(jī)沒(méi)有運(yùn)營(yíng)殺毒軟件時(shí)候直接打開(kāi)或者下載上邊填寫URL地址。2).選取“下載URL地址指定文獻(xiàn)并安裝”：當(dāng)檢測(cè)到計(jì)算機(jī)沒(méi)有運(yùn)營(yíng)殺毒軟件時(shí)候下載URL地址指定文獻(xiàn)并安裝，普通為殺毒軟件。5.“未運(yùn)營(yíng)殺毒軟件時(shí)”：當(dāng)檢測(cè)到計(jì)算機(jī)沒(méi)有運(yùn)營(yíng)殺毒軟件時(shí)候執(zhí)行如下操作1).“限制網(wǎng)絡(luò)訪問(wèn)”：計(jì)算機(jī)在網(wǎng)內(nèi)只能與安全服務(wù)器列表中IP地址通訊，禁止與其她計(jì)算機(jī)通訊。2).“注銷802.1認(rèn)證”：當(dāng)未運(yùn)營(yíng)殺毒軟件時(shí)，客戶端將注銷正常登錄并進(jìn)入修復(fù)vlan。系統(tǒng)補(bǔ)丁安全檢測(cè)1).啟用“系統(tǒng)補(bǔ)丁安全檢測(cè)”：對(duì)接入網(wǎng)絡(luò)計(jì)算機(jī)進(jìn)行系統(tǒng)補(bǔ)丁安全檢測(cè)，檢查其健康度與否符合網(wǎng)絡(luò)規(guī)定原則，檢測(cè)內(nèi)容涉及計(jì)算機(jī)與否安裝了指定系統(tǒng)補(bǔ)丁。2).“漏安裝列表中指定補(bǔ)丁時(shí)提示”：當(dāng)檢測(cè)到計(jì)算機(jī)沒(méi)有安裝列表中指定補(bǔ)丁時(shí)候給計(jì)算機(jī)一種提示信息。3).“漏安裝列表中指定補(bǔ)丁是打開(kāi)（URL地址）”：當(dāng)檢測(cè)到計(jì)算機(jī)沒(méi)有安裝列別中指定補(bǔ)丁時(shí)候給計(jì)算機(jī)定向到指定URL地址，例如某個(gè)可如下載到指定補(bǔ)丁地址。7.“漏安裝列表中補(bǔ)丁時(shí)”：當(dāng)檢測(cè)到計(jì)算機(jī)沒(méi)有安裝列表中補(bǔ)丁時(shí)執(zhí)行如下操作：1).“限制網(wǎng)絡(luò)訪問(wèn)”：計(jì)算機(jī)在網(wǎng)內(nèi)只能與安全服務(wù)器列表中IP地址通訊，禁止與其她計(jì)算機(jī)通訊2).“注銷802.1認(rèn)證”：當(dāng)未安裝指定安全補(bǔ)丁時(shí)，客戶端將注銷正常登錄并進(jìn)入修復(fù)vlan。8.“檢測(cè)補(bǔ)丁列表”：通過(guò)補(bǔ)丁號(hào)添加補(bǔ)丁檢測(cè)列表，當(dāng)計(jì)算機(jī)接入網(wǎng)絡(luò)時(shí)候會(huì)檢測(cè)計(jì)算機(jī)與否安裝了此列表中列出補(bǔ)丁9.“限制網(wǎng)絡(luò)訪問(wèn)后，容許安全服務(wù)器連通列表”：填寫EDPserver、補(bǔ)丁服務(wù)器等安全服務(wù)器，當(dāng)計(jì)算機(jī)被限制網(wǎng)絡(luò)訪問(wèn)后只能與這個(gè)列表中IP地址通訊10.“DHCP與靜態(tài)IP切換”：在安檢失敗進(jìn)入訪客隔離區(qū)后，如果當(dāng)時(shí)IP為靜態(tài)IP，則將其轉(zhuǎn)換為DHCP方式,直到安檢成功后返回正常工作區(qū)時(shí)再將DHCP方式還原為此前設(shè)立靜態(tài)IP(選取了"注銷802.1認(rèn)證"后,該選項(xiàng)才生效)。方略中心->接入認(rèn)證方略->進(jìn)程服務(wù)注冊(cè)表認(rèn)證67543216754321添加認(rèn)證模塊(見(jiàn)1.1)“以上列表認(rèn)證模塊認(rèn)證失敗時(shí)提示”：當(dāng)接入網(wǎng)絡(luò)計(jì)算機(jī)在進(jìn)行認(rèn)證時(shí)，認(rèn)證失敗則在計(jì)算機(jī)顯示此信息“以上列表認(rèn)證模塊認(rèn)證失敗時(shí)打開(kāi)（URL地址）”：當(dāng)接入網(wǎng)絡(luò)計(jì)算機(jī)在進(jìn)行認(rèn)證時(shí)，認(rèn)證失敗則將計(jì)算機(jī)定向到此URL地址“對(duì)上述URL執(zhí)行”（1）選取“打開(kāi)/下載URL地址”：當(dāng)檢測(cè)到計(jì)算機(jī)認(rèn)證失敗時(shí)候直接打開(kāi)或者下載上邊填寫URL地址（2）選取“下載URL地址指定文獻(xiàn)并安裝”：當(dāng)檢測(cè)到計(jì)算機(jī)認(rèn)證失敗時(shí)候下載上邊URL地址指定文獻(xiàn)并安裝“以上列表認(rèn)證模塊認(rèn)證失敗時(shí)”：當(dāng)認(rèn)證失敗時(shí)執(zhí)行如下操作（1）“限制網(wǎng)絡(luò)訪問(wèn)”：計(jì)算機(jī)在網(wǎng)內(nèi)只能與安全服務(wù)器列表中IP地址通訊，禁止與其她計(jì)算機(jī)通訊（2）“注銷802.1認(rèn)證”：注銷本次認(rèn)證，使計(jì)算機(jī)重新進(jìn)行認(rèn)證“DHCP與靜態(tài)IP切換”：在安檢失敗進(jìn)入訪客隔離區(qū)后，如果當(dāng)時(shí)IP為靜態(tài)IP，則將其轉(zhuǎn)換為DHCP方式,直到安檢成功后返回正常工作區(qū)時(shí)再將DHCP方式還原為靜態(tài)IP(選取了"注銷802.1認(rèn)證"后,該選項(xiàng)才生效)。“限制網(wǎng)絡(luò)訪問(wèn)后，容許安全服務(wù)器連通列表”：填寫EDPserver、補(bǔ)丁服務(wù)器等安全服務(wù)器，當(dāng)計(jì)算機(jī)被限制網(wǎng)絡(luò)訪問(wèn)后只能與這個(gè)列表中IP地址通訊”。2.1、文獻(xiàn)存在認(rèn)證(5)(4)(3)(2)(1)(5)(4)(3)(2)(1)選取“編輯認(rèn)證模塊”進(jìn)入編輯認(rèn)證模塊頁(yè)面，填寫一種新認(rèn)證模塊名字，單擊“新建模板”，例如新建認(rèn)證模塊名為“ceshi”。（1）在“文獻(xiàn)名”處填寫要認(rèn)證文獻(xiàn)名和途徑例如：C:\vrvclient\vrv.exe，表達(dá)當(dāng)計(jì)算機(jī)接入網(wǎng)絡(luò)后要對(duì)此計(jì)算機(jī)進(jìn)行安全檢測(cè)，監(jiān)測(cè)計(jì)算機(jī)與否存在“文獻(xiàn)存在認(rèn)證列表”中文獻(xiàn)。（2）選取“認(rèn)證內(nèi)容”1）“僅認(rèn)證文獻(xiàn)存在”：接入網(wǎng)絡(luò)計(jì)算機(jī)當(dāng)進(jìn)行文獻(xiàn)存在認(rèn)證時(shí)僅檢測(cè)計(jì)算機(jī)與否存在列表中文獻(xiàn)；2）“認(rèn)證文獻(xiàn)版本號(hào)”：計(jì)算機(jī)接入網(wǎng)絡(luò)后對(duì)計(jì)算機(jī)檢測(cè)要檢測(cè)文獻(xiàn)版本號(hào)；3）“認(rèn)證比較”三種檢測(cè)比較方式，指定接入網(wǎng)絡(luò)計(jì)算機(jī)當(dāng)進(jìn)行文獻(xiàn)存在認(rèn)證時(shí)將計(jì)算機(jī)中文獻(xiàn)與列表中文獻(xiàn)檢測(cè)比較方式是等于/不大于等于/不不大于等于，“比較值”指定原則值。(3)“添加認(rèn)證條目”將以上設(shè)立好文獻(xiàn)和文獻(xiàn)比較內(nèi)容通過(guò)此按鈕添加到“文獻(xiàn)存在認(rèn)證列表中”。(4)“刪除認(rèn)證條目”將“文獻(xiàn)存在認(rèn)證列表中”不需要文獻(xiàn)從列表中刪除。(5)“多條文獻(xiàn)認(rèn)證關(guān)系”：當(dāng)列表中添加各種認(rèn)證文獻(xiàn)時(shí)候選取采用各種文獻(xiàn)判斷關(guān)系。1)、“并且關(guān)系”，需要以上列表認(rèn)證都通過(guò)才算文獻(xiàn)認(rèn)證通過(guò)；2)、“或關(guān)系”，以上列表中認(rèn)證只要一條通過(guò)就算文獻(xiàn)認(rèn)證通過(guò)。2.2、進(jìn)程運(yùn)營(yíng)認(rèn)證(4)(3)(2)(1)(4)(3)(2)(1)(1)在“進(jìn)程名”中填寫要認(rèn)證進(jìn)程名字。(2)選取“認(rèn)證內(nèi)容”。1)“僅認(rèn)證進(jìn)程與否存在”：接入網(wǎng)絡(luò)計(jì)算機(jī)當(dāng)進(jìn)行進(jìn)程運(yùn)營(yíng)認(rèn)證時(shí)僅檢測(cè)計(jì)算機(jī)中與否存在列表中進(jìn)程；2)“認(rèn)證進(jìn)程源文獻(xiàn)名”接入網(wǎng)絡(luò)計(jì)算機(jī)當(dāng)進(jìn)行進(jìn)程運(yùn)營(yíng)認(rèn)證時(shí)要檢測(cè)計(jì)算機(jī)中進(jìn)程源文獻(xiàn)；(3)“認(rèn)證比較”：指定接入網(wǎng)絡(luò)計(jì)算機(jī)當(dāng)進(jìn)行進(jìn)程運(yùn)營(yíng)認(rèn)證時(shí)將計(jì)算機(jī)中進(jìn)程與列表中進(jìn)程檢測(cè)比較方式是等于/不大于等于/不不大于等于，“比較值”指定原則值。1）點(diǎn)擊“添加認(rèn)證條目”將以上設(shè)立好進(jìn)程和進(jìn)程比較內(nèi)容通過(guò)此按鈕添加到“進(jìn)程運(yùn)營(yíng)認(rèn)證列表中”；2）點(diǎn)擊“刪除認(rèn)證條目”將“文獻(xiàn)存在認(rèn)證列表中”不需要進(jìn)程從列表中刪除。(4)“多條進(jìn)程認(rèn)證關(guān)系”：當(dāng)列表中添加各種認(rèn)證進(jìn)程時(shí)候選取采用各種進(jìn)程判斷關(guān)系。1)“并且關(guān)系”，需要以上列表進(jìn)程都通過(guò)才算進(jìn)程運(yùn)營(yíng)認(rèn)證通過(guò)；2)“或關(guān)系”，以上列表中進(jìn)程只要一條通過(guò)就算進(jìn)程運(yùn)營(yíng)認(rèn)證通過(guò)。2.3、注冊(cè)表鍵值認(rèn)證(5)(4)(3)(2)(1)(5)(4)(3)(2)(1)(1)在“注冊(cè)表項(xiàng)途徑”中填寫要認(rèn)證注冊(cè)表項(xiàng)途徑，不包括鍵名。(2)“鍵名”：指定上邊注冊(cè)表項(xiàng)中需要作為認(rèn)證鍵名。(3)“認(rèn)證內(nèi)容”：1)“僅認(rèn)證鍵與否存在”：接入網(wǎng)絡(luò)計(jì)算機(jī)當(dāng)進(jìn)行注冊(cè)表鍵值認(rèn)證時(shí)僅檢測(cè)計(jì)算機(jī)中與否存在列表中注冊(cè)表鍵；2)“認(rèn)證鍵值”接入網(wǎng)絡(luò)計(jì)算機(jī)當(dāng)進(jìn)行注冊(cè)表鍵值認(rèn)證時(shí)要檢測(cè)計(jì)算機(jī)中注冊(cè)表鍵鍵值源文獻(xiàn)。(4)“認(rèn)證比較”：指定接入網(wǎng)絡(luò)計(jì)算機(jī)當(dāng)進(jìn)行注冊(cè)表鍵值認(rèn)證時(shí)將計(jì)算機(jī)中進(jìn)程與列表中進(jìn)程檢測(cè)比較方式是等于/不大于等于/不不大于等于，“比較值”指定原則值。1)點(diǎn)擊“添加認(rèn)證條目”將以上設(shè)立好注冊(cè)表項(xiàng)和鍵名比較內(nèi)容通過(guò)此按鈕添加到“注冊(cè)表鍵值認(rèn)證列表中”；2)點(diǎn)擊“刪除認(rèn)證條目”將“注冊(cè)表鍵值認(rèn)證列表中”不需要條目從列表中刪除。(5)“多條注冊(cè)表認(rèn)證關(guān)系”：當(dāng)列表中添加各種注冊(cè)表項(xiàng)時(shí)候選取采用各種注冊(cè)表項(xiàng)判斷關(guān)系。1)“并且關(guān)系”，需要以上列表注冊(cè)表鍵值通過(guò)才算注冊(cè)表鍵值認(rèn)證通過(guò)；2)“或關(guān)系”，以上列表中注冊(cè)表鍵值只要一條通過(guò)就算注冊(cè)表鍵值認(rèn)證通過(guò)。2.4、服務(wù)運(yùn)營(yíng)認(rèn)證(2)(1)(1)在“服務(wù)名”中填寫要認(rèn)證服務(wù)名字。(2)(1)1)點(diǎn)擊“添加認(rèn)證條目”將以上填寫好服務(wù)名通過(guò)此按鈕添加到“服務(wù)運(yùn)營(yíng)認(rèn)證列表中；2)點(diǎn)擊“刪除認(rèn)證條目”將“服務(wù)運(yùn)營(yíng)認(rèn)證列表中”不需要服務(wù)名從列表中刪除。(2)“多條服務(wù)認(rèn)證關(guān)系”：當(dāng)列表中添加各種認(rèn)證服務(wù)時(shí)候選取采用各種服務(wù)判斷關(guān)系。1)“并且關(guān)系”，需要以上列表中服務(wù)名都通過(guò)才算服務(wù)運(yùn)營(yíng)認(rèn)證通過(guò)；2)“或關(guān)系”，以上列表中服務(wù)名只要一條通過(guò)就算服務(wù)運(yùn)營(yíng)認(rèn)證通過(guò)。編輯完畢點(diǎn)擊“保存認(rèn)證模板配備”按鈕，將上述配備保存，完畢了“ceshi”認(rèn)證模塊編輯3.802.1x描述測(cè)試：測(cè)試目測(cè)試系統(tǒng)顧客與否可以通過(guò)802.1x認(rèn)證辦法/環(huán)節(jié)配備互換機(jī)和RADUIS服務(wù)器，使互換機(jī)斷口需要802.1x認(rèn)證配備方略，讓終端通過(guò)802.1x方式認(rèn)證將終端接入到互換機(jī)中，在登陸框中輸入提前設(shè)定好認(rèn)證口令預(yù)期目的終端接入到互換機(jī)中，按照相應(yīng)顧客名和口令，進(jìn)入到相應(yīng)VLAN中（如GUESTVLAN；REPAIRVLAN），如果輸入錯(cuò)誤顧客名和口令，則認(rèn)證不成功。實(shí)測(cè)成果是測(cè)試目測(cè)試系統(tǒng)顧客長(zhǎng)時(shí)間不進(jìn)行802.1x認(rèn)證，與否自動(dòng)進(jìn)入到GUESTVLAN中辦法/環(huán)節(jié)配備互換機(jī)和RADUIS服務(wù)器，使互換機(jī)斷口需要802.1x認(rèn)證配備方略，讓終端通過(guò)802.1x方式認(rèn)證將終端接入到互換機(jī)中，彈出認(rèn)證框之后，不進(jìn)行認(rèn)證預(yù)期目的終端接入到互換機(jī)中，長(zhǎng)時(shí)間不認(rèn)證之后，自動(dòng)跳轉(zhuǎn)到GUESTVLAN中實(shí)測(cè)成果是測(cè)試目測(cè)試系統(tǒng)顧客接入認(rèn)證時(shí)進(jìn)行安全檢查，檢查不合格，則用REPAIRVLAN顧客名登陸跳入到REPAIRVLAN中，檢查合格，自動(dòng)跳入到NORMALVLAN中辦法/環(huán)節(jié)配備互換機(jī)和RADUIS服務(wù)器，使互換機(jī)斷口需要802.1x認(rèn)證配備方略，讓終端通過(guò)802.1x方式認(rèn)證配備方略，終端接入認(rèn)證時(shí)，進(jìn)行病毒軟件、補(bǔ)丁、進(jìn)程、服務(wù)、文獻(xiàn)安全檢查預(yù)期目的終端接入到互換機(jī)中，如果符合服務(wù)器安全規(guī)定，則用NORMALVLAN顧客名登陸到NORMALVLAN中，如果不符合安全規(guī)定，則用REPAIRVLAN顧客名登陸到REPAIRVLAN中。實(shí)測(cè)成果是互換機(jī)配備如下：1.Cisco2950配備辦法Enable/*進(jìn)入特權(quán)模式*/configt/*進(jìn)入全局配備模式*/aaanew-model/*啟用aaa認(rèn)證*/

aaaauthenticationdot1xdefaultgroupradius/*配備802.1x認(rèn)證使用radius服務(wù)器數(shù)據(jù)庫(kù)*/aaaauthorizationnetworkdefaultgroupradius/*VLAN分派必要*/

radius-serverhost192.168.1.132keyvrv/*指定radius服務(wù)器地址為192.168.1.132，通信密鑰為vrv，端口不用制定，默認(rèn)1812和1813*/radius-servervsasendauthentication/*配備VLAN分派必要使用IETF所規(guī)定VSA值*/

intvlan1

ipadd192.168.1.133255.255.255.0

noshut

/*為互換機(jī)配備管理地址，以便和radius服務(wù)器通信*/

intrangef0/1-11

dot1xport-controlauto

switchportmodeaccess

/*為1到11端口配備dot1x，12端口不配*/dot1xguest-vlanID（VLAN跳轉(zhuǎn)命令）

exit

/*退回全局配備模式*/

dot1xsystem-auth-control

/*全局啟動(dòng)dot1x*/

2950互換機(jī)上VLAN配備vlandatabasevlanIDenableconfigtintrangef0/1–20switchportaccessvlanIDswitchportmodeaccessspanning-treeportfast華為3COM3628配備discu#sysnameH3C#domaindefaultenabletest#dot1xdot1xtimertx-period10dot1xretry4#radiusschemesystemradiusschemetestserver-typestandardprimaryauthentication54.1.44.55primaryaccounting54.1.44.55keyauthenticationvrvkeyaccountingvrvuser-name-formatwithout-domain#domainsystemdomaintestschemeradius-schemetestvlan-assignment-modestring#vlan1#vlan46#vlan600descriptionguest#vlan601to602#interfaceVlan-interface46ipaddress54.1.46.250255.255.255.0#interfaceAux1/0/0#interfaceEthernet1/0/1portaccessvlan600dot1xport-methodportbaseddot1xguest-vlan601dot1x#interfaceEthernet1/0/2#interfaceEthernet1/0/3#interfaceEthernet1/0/4#interfaceEthernet1/0/5#interfaceEthernet1/0/6#interfaceEthernet1/0/7#interfaceEthernet1/0/8#interfaceEthernet1/0/9#interfaceEthernet1/0/10#interfaceEthernet1/0/11#interfaceEthernet1/0/12#interfaceEthernet1/0/13#interfaceEthernet1/0/14#interfaceEthernet1/0/15#interfaceEthernet1/0/16#interfaceEthernet1/0/17#interfaceEthernet1/0/18#interfaceEthernet1/0/19#interfaceEthernet1/0/20#interfaceEthernet1/0/21#interfaceEthernet1/0/22portaccessvlan601#interfaceEthernet1/0/23#interfaceEthernet1/0/24#interfaceGigabitEthernet1/1/1#interfaceGigabitEthernet1/1/2#interfaceGigabitEthernet1/1/3#interfaceGigabitEthernet1/1/4portlink-typetrunkporttrunkpermitvlan146600to602#undoirf-fabricauthentication-mode#interfaceNULL0#voicevlanmac-address0001-e300-0000maskffff-ff00-0000#iproute-static0.0.0.00.0.0.054.1.46.1preference60#user-interfaceaux07user-interfacevty04