当前位置:文档之家 › 802.1x准入控制技术使用手册(北信源).

802.1x准入控制技术使用手册(北信源).

  • 格式:doc
  • 大小:1.22 MB
  • 文档页数:30

下载文档原格式

  / 30

合集下载

北信源终端安全管理系统802.1x准入流程

北信源终端安全管理系统802.1x准入流程

北信源终端安全管理系统802.1x准入流程北信源终端安全管理系统802.1x准入流程1.802.1x的认证过程可以描述如下(1) 客户端(PC)向接入设备(交换机)发送一个EAPoL-Start 报文,开始802.1x认证接入;(2) 接入设备(交换机)向客户端(PC)发送EAP-Request/Identity 报文,要求客户端(PC)将用户名送上来;(3) 客户端(PC)回应一个EAP-Response/Identity给接入设备(交换机)的请求,其中包括用户名;(4) 接入设备(交换机)将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,通过路由器发送给认证服务器;(5) 认证服务器产生一个Challenge,通过接入设备(交换机)将RADIUS Access-Challenge报文发送给客户端(PC),其中包含有EAP-Request/MD5-Challenge;(6) 接入设备(交换机)通过EAP-Request/MD5-Challenge发送给客户端(PC),要求客户端(PC)进行认证(7) 客户端(PC)收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备(交换机)(8) 接入设备(交换机)将Challenge,Challenged Password和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备(交换机)。

如果成功,携带协商参数,以及用户的相关业务属性给用户授权。

如果认证失败,则流程到此结束;(10) 如果认证通过,用户通过标准的DHCP协议(可以是DHCP Relay) ,通过接入设备(交换机)获取规划的IP地址;(11) 如果认证通过,用户正常上网。

北信源内网安全管理系统用户使用手册

北信源内网安全管理系统用户使用手册

北信源内网安全管理系统用户使用手册Newly compiled on November 23, 2020北信源内网安全管理系统用户使用手册北京北信源软件股份有限公司二〇一一年支持信息在北信源内网安全管理系统使用过程中,如您有任何疑问都可以通过访问我公司网站或者致电我司客服中心获得帮助和支持!热线支持:400-8188-110客户服务电话:在您使用该产品过程中,如果有好的意见或建议的话也请联系我们的客服中心,感谢您对我公司产品的信任和支持!正文目录图目录表目录第一章概述特别说明北信源终端安全管理系列产品由《北信源内网安全管理系统》、《北信源补丁及文件分发管理系统》、《北信源主机监控审计系统》、《北信源移动存储介质使用管理系统》、《北信源网络接入控制管理系统》及《北信源接入认证网关》6大套件构成。

本手册内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版),恕不另行通知。

需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。

本手册与本系统的安装配置手册中的所有图片均为示意图,请以实际产品为准。

本使用手册为北信源终端安全管理系列产品通用说明书。

若您独立购买《北信源内网安全管理系统》或《北信源补丁及文件分发管理系统》等其中之一产品,本说明书的其它功能将不具备。

感谢您购买北京北信源软件股份有限公司研制开发的北信源终端安全管理系列产品。

请在使用本软件之前认真阅读本使用手册,当您开始使用该软件时,北信源公司认为您已经阅读了本使用手册。

产品构架北信源终端安全管理产品由8部分组成:WinPcap程序、SQL Server管理信息库(安装包:环境初始化程序)、Web中央管理配置平台(安装包:网页管理平台)、区域管理器(安装包:Region Manage,原区域扫描器已作为模块集成到区域管理器)、客户端注册程序(安装包:注册程序)、补丁下载服务器、管理器主机保护模块、报警中心模块。

环境初始化程序SQL Server管理信息库,建立北信源终端安全管理产品的初始化数据库。

802.1X和准入控制简介

802.1X和准入控制简介


Cisco NAC (Network Admission Control )
Cisco Network Admission Control Hosts Attempting Network Access AntiVirus Client Cisco Security Agent Cisco Network Access Device Cisco Policy/ AAA Server AV Vendor Policy Server
NAC Program Overview
• • Cisco® is driving the architectures, specifications, and guidelines of NAC Initial NAC co-sponsors include the major antivirus vendors: Network Associates, Symantec, and Trend Micro Cisco Security Agent and NAC co-sponsor AV solutions will use Cisco Trust Agent for intelligent admission control Initial NAC capability to be delivered in Q2 CY04 in Cisco routers Future NAC extensions: • More Cisco network devices • More endpoint security software and endpoint platforms (OSs) • More industry co-sponsors • Solution “opened”, timing and extent TBD

北信源网络接入控制系统管理系统白皮书v3.0

北信源网络接入控制系统管理系统白皮书v3.0

北信源网络接入控制管理系统产品白皮书北信源软件股份声明本手册的所有容,其属于北信源软件股份(以下简称北信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。

本手册没有任何形式的担保、立场倾向或其他暗示。

商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。

产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,由此可能产生的差异为正常现象,相关问题请咨询北信源公司技术服务人员。

免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,北信源公司及其员工均不承担任何责任。

目录1.系统概述 (4)2.系统架构 (4)3.系统组成 (6)3.1.策略服务器 (6)3.2.认证客户端 (6)3.3.Radius认证服务器 (7)3.4.Radius认证系统 (7)3.5.硬件接入网关(可选配) (8)4.系统特性 (8)4.1.全面的安全检查 (8)4.2.技术的先进性 (8)4.3.功能的可扩展性 (8)4.4.系统可整合性 (9)4.5.无缝扩展与升级 (9)5.系统功能 (9)5.1.准入身份认证 (9)5.2.完整性检查功能 (10)5.3.安全修复功能 (10)5.4.管理与报表 (11)5.5.终端安全策略设置 (12)6.典型应用 (13)6.1.802.1x环境应用 (13)6.2.非802.1x环境应用 (14)6.3.VPN环境应用 (15)6.4.域环境应用 (15)1.系统概述北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。

与此同时,还可以对于远程接入企业部网络的计算机进行身份、唯一性及安全认证。

通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外,还能够覆盖到企业网络的每一个角落,甚至是当使用者的移动设备离开企业网络时,仍能有效的提供终端设备接入控制的执行。

802.1x认证(网络安全接入控制)

802.1x认证(网络安全接入控制)

二层网管交换机应用——802.1x认证(网络安全接入控制)802.1x认证介绍802.1x协议作为局域网端口的接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。

802.1x 协议是一种基于端口的网络接入控制协议,“基于端口的网络接入控制”是指在局域网接入设备的端口这一级,对所接入的用户设备进行认证和控制。

连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。

TL-SL5428 802.1x认证接入实现示例拓扑结构图中以TL-SG2224E做为中心交换机,TL-SL5428做为接入交换机,802.1x认证服务器接在TL-SG2224E上。

下面将介绍实现局域网中每台设备通过802.1x认证接入的配置过程。

1.搭建Radius认证服务器本文以试用版的WinRadius做为认证服务端。

(也可以在Windows Server 上搭建Radius认证服务器。

有关服务器的搭建方法请在网上参考相关资料)认证服务器上的配置:● 服务器IP地址:192.168.1.250● 认证端口:1812● 计费端口:1813● 密钥:fae● 服务器上设置用户账号2.配置TL-SL5428的802.1x功能● Radius配置将服务器上的相关设置对应配置在交换机上。

如果不需要进行上网计费,则不需要启用计费功能。

● 端口配置i. 不启用TL-SL5428级联端口(28端口)的802.1x认证,使认证服务器的在任何时候都能通过该端口接入网络以便认证客户端。

ii.配置其它需要认证的端口。

(TL-SL5428可同时支持基于MAC和Port的认证,这里均采用基于MAC的认证方式)注:● 如果端口的“状态”处于禁用,则该端口下的设备不需要进行认证,始终处于接入网络的状态。

● 控制类型中,“基于MAC”意为着该端口下的所有设备必需单独进行认证,认证通过后才能接入网络;“基于Port”意味着该端口下只要有一台设备认证通过,其它设备不再需要认证也能接入网络。

北信源参数

北信源参数
5.具备文件分发功能,且管理员自定义分发成功的判断条件,具体包括对注册表项是否写入及文件是否存在或更新等条件进行判断。
移动存储介质管理
1.*用户移动存储介质注册功能:由用户自己对普通移动存储介质(如u盘,移动硬盘等)进行注册,注册后生成移动介质唯一标识,同时进行数据加密,由用户进行密码设置,需要输入密码才可访问移动介质内的信息;
5.*策略漫游功能:当计算机从当前管理器服务器管理区域变换至其它管理器的管理区域后,直接接受该区域管理服务器的接管,并自动获得和执行新管理服务器理的管理策略。
6.要求支持分权限管理功能,级单独一套系统下可根据下属区域、策略等划分出多种管理和事件查看角色,进行管理。
7.要求支持对数据的整理,支持对包括长期不开机以及IP重复、不在管理范围内的机器进行整理。
终端维护
1.支持多路呼叫平台,由终端用户主动向管理员发起远程请求。
2.支持管理员主动向终端远程支持,连接方式支持自动连接、密码连接、询问连接;支持只读连接和读写连接;
3.支持远程时自动截屏;
4.*支持远程时文件交互。
其他功能
1.消息通知功能:消息通知可分区域、时间进行;如需要可强制用户查看,并获取用户是否查看的信息;
6.支持管理员进行客户端IE统一配置的功能;
7.支持禁用IE代理上网功能;
8.IE访问审计和IE访问地址的黑白名单管理功能;
9.系统必须具备对服务器等重要主机的IP保护功能,当非法机器企图占用重要主机IP时,非法机器无法上网但重要主机正常使用;
10.支持IP与MAC绑定,禁止终端用户修改IP地址、网关等网络通讯关键参数的功能,并提供自动恢复、断网和提示等处理。
4.投标产品必须具备至少2个国家级三级(或以上)级联网络中相关安全项目实施的案例,并提供书面证明;

准入控制802.1x用户配置手册

802.1x用户配置手册802.1x用户配置手册 (1)1 实现功能 (2)2 总体流程 (2)2.1 802.1X原理分析 (2)2.2 802.1X认证流程 (3)2.3 802.1X配置流程 (4)3 具体实现 (4)3.1 准备环境 (4)3.2管理平台配置 (4)3.2.1 建立策略 (4)3.2.2 策略说明 (5)3.2.3 策略下发 (6)3.3 Radius服务器配置 (7)3.4交换机配置 (16)各厂商交换机配置 (16)1. Cisco2950配置方法 (16)2. 华为3COM 3628配置 (17)1实现功能随着以太网建设规模的迅速扩大,网络上原有的认证系统已经不能很好的适应用户数量急剧增加和宽带业务多样性的要求,造成网络终端接入管理混乱,大量被植入木马、病毒的机器随便接入网络,给网络内部资料的保密,和终端安全的管理带来极大考验。

在此前提下IEEE推出 802.1x协议它是目前业界最新的标准认证协议。

802.1X的出现结束了非法用户未经授权进入内部网络,为企业内部安全架起一道强有力的基础安全保障。

2总体流程我们首先先了解下,802.1X协议的原来与认证过程,在与内网安全管理程序的结合中,如何设置802.1X协议,并方便了终端用户在接入方面的配置。

2.1802.1X原理分析802.1x协议起源于802.11协议,后者是IEEE的无线局域网协议,制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。

IEEE802LAN协议定义的局域网并不提供接入认证,只要用户能接入局域网控制设备 (如LANS witch) ,就可以访问局域网中的设备或资源。

这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。

但是随着移动办公及驻地网运营等应用的大规模发展,服务提供者需要对用户的接入进行控制和配置。

尤其是WLAN的应用和LAN接入在电信网上大规模开展,有必要对端口加以控制以实现用户级的接入控制,802.lx就是IEEE为了解决基于端口的接入控制 (Port-Based Network Access Contro1) 而定义的一个标准。

北信源网络接入控制系统用户使用手册

3
北信源网络接入控制系统用户使用手册
6.2 安全域管理---------------------------------------------------------------------------------------------- 26 6.3 检查规范列表 ------------------------------------------------------------------------------------------ 27
6.3.1 安检流程 .............................................................................................................. 27 6.3.2 检查规范列表 ...................................................................................................... 31 6.3.3 角色管理 .............................................................................................................. 34 6.3.4 用户管理 .............................................................................................................. 35 6.3.5 来宾用户管理 ...................................................................................................... 42 6.3.6 认证日志 .............................................................................................................. 44 7 网络准入 ......................................................................................................................... 45 7.1 准入配置 ------------------------------------------------------------------------------------------------- 45 7.1.1 旁路监听配置 ...................................................................................................... 45 7.1.2 策略路由配置 ...................................................................................................... 46 7.2 例外设备管理 ------------------------------------------------------------------------------------------ 47 7.2.1 不管理网段设置 .................................................................................................. 47 7.2.2 访问服务器白名单 .............................................................................................. 48 8 系统设置 ......................................................................................................................... 48 8.1 网络设置 ------------------------------------------------------------------------------------------------- 48 8.2 管理员设置---------------------------------------------------------------------------------------------- 49 8.2.1 管理员账户添加 .................................................................................................. 49 8.2.2 管理员用户管理 .................................................................................................. 50 8.3 数据备份 ------------------------------------------------------------------------------------------------- 51 8.4 其他设置 ------------------------------------------------------------------------------------------------- 51 9 系统维护 ......................................................................................................................... 52 9.1 系统状态 ------------------------------------------------------------------------------------------------- 52 9.2 系统升级 ------------------------------------------------------------------------------------------------- 54 9.3 配置维护 ------------------------------------------------------------------------------------------------- 55 9.4 系统日志 ------------------------------------------------------------------------------------------------- 56 附录一 EDP 服务器配置...................................................................................................... 57

最新8021x认证客户端使用说明汇总

8021x认证客户端使用说明802.1X 认证客户端软件安装使用说明一、设置要求对于 Windows 用户,在保证计算机系统没问题的情况下,请在使用 802.1X 认证客户端之前进行如下设置:如下图所示,点击桌面的“开始”菜单,选择“设置”里面的“控制面板”,在“控制面板”窗口里,双击“网络连接”图标。

在打开的窗口中,右键点击“本地连接”图标,在弹出菜单中选择“属性”,打开本地连接“属性”的对话框。

如下图所示,选择“Internet 协议(TCP/IP)”点击“属性”按钮,选择“自动获得IP地址”和“自动获得DNS服务器地址”,点“确定”按钮。

二、客户端安装执行桌面“认证客户端.exe”,启动安装程序,如下图所示:在安装过程中,若出现“Mircrosoft Visual C++2005”则属于正常需求安装,如下图所示:注意:若用户系统装有诺顿、瑞星、360等杀毒软件或者防火墙,在安装本软件过程中,会提示用户是否允许继续安装等提示信息,则用户必须点允许安装,否则安装失败,用户不能正常认证上网。

认证客户端软件安装完成时,则显示如下图所示:可以选择“是”立即重新启动计算机或者“否”稍后重新启动计算机,点击“完成”。

三、连接网络认证双击“INode智能客户端”,如下图所示:选中“1x预设连接”按钮,点击“连接”按钮,如下图所示:然后点击1x预设连接的“属性”,打开属性对话框,若多网卡,则选择上网所用的网卡,点击“确定”,如下图所示:用户名填写的格式如下图说明:注意:技术中心的域为:tech // 公共教学的域为:teach // 宿舍的域为:dorm // 食堂的域为:mess // 机房的域为:jifang // 辅导员的域为:coach1.部门在技术中心楼的人员,用户名:自己的教工号后6位@tech2.部门在公共教学楼的人员,用户名:自己的教工号后6位@teach3.部门在食堂楼的人员,用户名:自己的教工号后6位@mess4.辅导员的用户名:自己的教工号后6位@coach5.宿舍学生的用户名:学生号@dorm举例:若部门在技术中心楼里的人员,教工号是test,则技术中心规定的域为tech,如下图所示:点击“连接”按钮,则显示连接认证信息的内容,显示连接成功,如下图所示:四、密码修改选中“1x预设按钮”,点击“操作”,选择“在线修改密码”,如下图所示:按提示输入密码信息,然后点击“确定”,显示用户密码修改成功,则如下图所示:五、断开网络认证选中“1x预设连接”,点击“断开”按钮,如上图所示,认证信息显示连接已经断开。

配置无线客户端802.1X身份验证应用指南说明书

Configuring a W ireless C lient f or 802.1X AuthenticationApplication NoteTable o f C ontentsIntroduction & K ey C oncepts (3)What i s 802.1X? (3)Why w ould I w ant t o u se 802.1X? (4)Configuring t he S upplicant (5)Configure a W indows S upplicant ............................................. E rror! B ookmark n ot d efined.Disable S erver C ertificate V alidation (7)Automatically l ogin w ith d ifferent c redentials (9)Single s ign o n (10)EAP-­‐TLS C onfiguration (11)Configure a M ac O S S upplicant ................................................. E rror! B ookmark n ot d efined.EAP-­‐TLS C onfiguration (14)802.1X (15)Digital C ertificates a nd C ertificate A uthorities (15)Microsoft N etwork P olicy S erver (15)April-2012-1Introduction& Key ConceptsWhat is 802.1X?802.1X is an IEEE security standard for network access. Authentication is a key part of the 802.1X standard. Three devices participate in every 802.1X authentication:Supplicant – the client deviceAuthenticator – the device that controls network access (port) and passes authentication messages to the authentication serverAuthentication Server – AAA-compliant authentication serverFigure 1 - 802.1X Authentication Phase 1The supplicant responds to an authentication challenge from the authenticator and transmits its credentials. The goal of the first phase is to establish the protected tunnel (TLS) to encrypt the user credentials so they aren’t sent in the clear.April-2012-1Figure 2 - 802.1X Authentication Phase 2Once the user credentials are transmitted, the authenticator (AP) sends this information to the ZoneDirector. The ZoneDirector then submits it to the AAA server. If the authentication is successful, the authentication server notifies the authenticator, which opens the network port.These stringent requirements create very secure network access – other than authentication attempts, no traffic of any kind will be allowed onto the network - including DHCP and DNS.Why would I want to use 802.1X?802.1X is a very secure authentication and encryption standard. Unlike pre-shared key (PSK) networks, 802.1X requires a user name and password that is checked against an authentication server for every authentication. PSKs rely on a single, shared secret for all machines. 802.1X is also well suited for single sign-on, in which 802.1X authentication occurs at the same time a user signs on to a computer.April-2012-1Configuring a Windows SupplicantMost modern operating systems include an 802.1X supplicant. Although the details change from client to client, the process is the same.In this example, we will use a Microsoft Windows 7 client using Microsoft’s WLAN AutoConfig supplicant. This process is very similar for other versions of Windows when you use the built-in Microsoft supplicant.If you wish to use a 3rd-party supplicant, like Odyssey or the client utility that came with the wireless adapter, please consult their documentation for set up details.1.From the Control Panel, go to Administrative Tools and open the Services.Confirm the Microsoft WLAN AutoConfig service is running1. If it is not, start it and set it to start up automatically.2From the Control Panel, go to Network and Internet -> Manage Wireless Networks1 On Windows XP this is called Wireless Zero Config, on Windows 7 it is WLAN AutoConfig2 Starting Microsoft’s supplicant will automatically stop any other supplicants running on the machine.April-2012-1Click AddIn the next screen, select Manually create a network profileApril-2012-1Enter your SSID name, security and encryption typeClick Next to create the profileAt this point, it’s a good idea to review some of the more common options that may also be needed for this supplicant.3Disable Server Certificate ValidationIf you RADIUS server is not using a certificate from a known CA, you might want to temporarily disable the Validate server certificate box. This will prevent the client from validating the server’s certificate – although it will still require a certificate.1.From the list of profiles, right-click the 802.1X profile and Properties3 If you’ve done everything right and followed every step, you can probably skip the rest of this section. Or you could read it anyway – just in case.April-2012-1Click the Security tabClick the Settings buttonThis opens the PEAP configuration dialogueApril-2012-1Unselecting the Validate server certificate option will cause the client to accept any correctly formatted certificate from the server.Security best practices dictate the client should always validate the server certificate. This step is only recommended for troubleshooting certificate problems. Once they are resolved, the client should be configured to validate certificates again.Automatically login with different credentialsThe default behavior for a Microsoft client is to attempt to authenticate with the user credentials that were used to log onto the machine itself. If you want to use a different set of credentials you can disable this behavior. If you do this you will be presented with a pop-up dialogue box asking for the user name and password.April-2012-1Single sign onIt’s often useful to allow domain computers to authenticate to the wireless before a user logs on. This allows domain users to log onto the wireless from any domain machine, regardless of whether the user has ever used the machine before (i.e. has cached credentials).1.From the wireless network properties window, click the Advanced settingsbuttonThe following dialogue box offers the ability to specify several behaviors: Authentication mode – determines what entities can login to the wireless: users, machines, or user and machineApril-2012-1Enable single sign on – allows the machine to log onto the wireless network when a user is not logged on, this allows users with non-cached credentials to login to the wireless at the same time that they log onto the machineEAP-TLS ConfigurationIf you are using EAP-TLS, the configuration is very similar to PEAP with the following exceptions:1. A client certificate (user or machine) must be loaded on the machine orinstalled as part of auto-enrollment prior to the first connectionDuring the wireless network setup, go to the Security tab and select Microsoft: Smart Card or other certificate as the authentication methodApril-2012-1After choosing the authentication method, select Settings and make sure the checkbox next to Use a certificate on this computer is selectedThese are the only changes required to configure a client for EAP-TLS instead of PEAP.April-2012-1Configuring a Mac OS SupplicantIn this example, we will use an Apple Mac OS 10.7 (Lion) client using Apple’s built-in supplicant. This process is very similar for other versions of Mac OS when you use the built-in supplicant.If you wish to use a 3rd-party supplicant, like Odyssey or the client utility that came with the wireless adapter, please consult their documentation for set up details.1.Install any certificates, if required2.From the Settings application, go to Network and select Wi-Fi from the list ofnetwork interfaces on the left3.Click the Advanced button4.Click the plus (+) sign under Preferred Networks to define a new networkApril-2012-15.In the network profile dialogue, make sure the correct SSID, security type andcredentials are entered46.Click OK7.Click OK in the next dialogue box to save your changes8.The new SSID should appear in the dropdown box of Network Names9.Select the new SSID and connect. Enter your credentials if promptedEAP-TLS ConfigurationIf you are using EAP-TLS instead of PEAP there is no change to the configuration. Simply make sure the client certificate is installed in the Keychain Access before connecting. If prompted, select the correct certificate from the TLS Certificate dropdown menu.4 User credentials are not required, however if not entered here you will be prompted for your credentials when you connectApril-2012-1Appendix A–Fur ther Reading802.1XAn Introduction to 802.1X for Wireless Local Area Networks/media/pdf_autogen/802_1X_for_Wireless_LAN.pdfDigital Certificates and Certificate AuthoritiesMicrosoft – Understanding Digital Certificates and Public Key Cryptography /en-us/library/bb123848(v=exchg.65).aspx Installing a Certificate Server with Microsoft Windows Server 2008Application note available from Ruckus WirelessMicrosoft Network Policy ServerNetwork Policy and Access Services/en-us/library/cc754521(WS.10).aspxApril-2012-1Introduction & Key Concepts dffdfdApril-2012-1。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

北信源桌面终端标准化管理系统准入控制技术使用手册2010年5月目录一、802.1x认证模块原理 (31-1. 802.1x的工作机制 (31-2. 802.1x的认证过程 (4二、VRVEDP-NAC系统硬件配置及实施方案 (52-1.VRVEDP-NAC相关系统硬件配置 (52-2.VRVEDP-NAC实施方案 (5三、802.1x认证应用注册事项 (22四、802.1x认证应急预案 (244-1.预案流程 (244-2.应急事件处理方法 (24一、802.1x认证模块原理1-1. 802.1x的工作机制IEEE 802.1x认证系统利用EAP(Extensible Authentication Protocol,可扩展认证协议协议,作为在客户端和认证服务器之间交换认证信息的手段。

802.1x认证系统的工作机制在客户端PAE与设备端PAE之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN 环境中。

在设备端PAE与RADIUS服务器之间,EAP协议报文可以使用EAPOR封装格式(EAP over RADIUS,承载于RADIUS协议中;也可以由设备端PAE进行终结,而在设备端PAE与RADIUS服务器之间传送PAP协议报文或CHAP协议报文。

当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE 根据RADIUS服务器的指示(Accept或Reject决定受控端口的授权/非授权状态。

1-2. 802.1x的认证过程802.1x认证系统的认证过程1. 当用户有上网需求时打开802.1x客户端,输入已经申请、登记过的用户名和口令,发起连接请求(EAPOL-Start报文。

此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。

2. 交换机收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity报文要求用户的客户端程序发送输入的用户名。

3. 客户端程序响应交换机发出的请求,将用户名信息通过数据帧(EAP-Response/Identity报文送给交换机。

交换机将客户端送上来的数据帧经过封包处理后(RADIUS Access-Request报文送给RADIUS服务器进行处理。

4. RADIUS服务器收到交换机转发的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字通过RADIUS Access-Challenge报文传送给交换机,由交换机传给客户端程序。

5. 客户端程序收到由交换机传来的加密字(EAP-Request/MD5 Challenge 报文后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的,生成EAP-Response/MD5 Challenge报文,并通过交换机传给RADIUS服务器。

6. RADIUS服务器将加密后的口令信息(RADIUS Access-Requeset报文和自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息(RADIUS Access-Accept报文和EAP-Success报文。

交换机将端口状态改为授权状态,允许用户通过该端口访问网络。

如果用户名和口令不正确,则将该端口状态改为非授权状态,将将该端口跳转到guest-vlan.7. 客户端也可以发送EAPoL-Logoff报文给交换机,主动终止已认证状态,交换机将端口状态从授权状态改变成未授权状态。

二、VRVEDP-NAC系统硬件配置及实施方案2-1.VRVEDP-NAC相关系统硬件配置策略服务器(VRVEDP-SERVER:专用服务器,即安装桌面终端标准化管理系统的服务器。

配置要求如下,PentiumⅢ 800 以上CPU,1G以上内存, 硬盘80G,10/100BaseTX网络接口。

Windows2000/2003 server(ServicePack4.0操作系统、IE6.0。

Radius认证服务器:微软的IAS,CISCO ACS可同策略服务器使用同一台服务器。

LINUX FREE RADIUS需要单独一台PC计算机:PentiumⅢ 800 以上CPU, 512M以上内存, 硬盘20G。

同时为保证RADIUS服务器能够同网络中的交换机正常通讯,RADIUS服务器需要开启 1812、1813、1645、1646端口。

若在本地网络中RADIUS服务器同交换机之间安装网络防火墙,或桌面终端主机同管理服务器之间存在防火墙,请注意注意端口开放问题(管理服务器TCP 88、桌面终端TCP 22105。

2-2.VRVEDP-NAC实施方案在实施VRVEDP-NAC前,首先需要根据自身的网络环境,明确需要实现的准入功能,从而确定准入控制的实施方案。

2-2-1.具休实施方案2-2-1-1.用户需求用户在调查过自身网络环境之后,确定要配置准入功能的交换机位置以及要开启的端口,并且要求实现以下功能:1.准入控制系统只需要一个正常的工作区,注册终端用户在接入交换机认证端口后能自动进行认证,认证成功后可以访问内网。

2.未注册终端接入交换机认证端口后认证失败,不能正常访问内网,安装注册程序后注册成功后,可以自动认证成功并访问内网。

2-2-1-2.实现方式从上面的用户需求来看,用户的要求主要可以分为注册终端和非注册终端两个方面的需求。

对注册终端而言,只要求实现能够自动进行认证。

对未注册终端来说,在未安装注册程序成文注册终端之前接入交换机认证端口后,禁止其访问内网使用内网资源。

通过移动存储设备拷贝注册程序到未注册终端,未注册终端安装注册程序进行注册,并成为注册终端后也能实现自动认证,认证成功后能正常访问内网,使用内网中的资源。

2-2-1-3.配置前的准备要实现上述功能,802.1x认证模块需要如下的硬件环境:一台安装了桌面终端标准化管理系统服务器接在正常的工作区VLAN中,主要负责在配置802.1x认证模块之前向管辖范围内的终端下发802.1x认证策略,同时也可作为从(备份radius服务器。

一台安装了IAS的WIDOWS 2003系统的服务器接在正常工作区VLAN中,作为主radius服务器,在整个认证过程中作为接入认证的服务器,根据定义的规则判断客户端是否准予接入。

配置准入模块的交换机支持802.1x认证协议2-2-1-4.配置步骤配置802.1x接入认证模块比较复杂,主要涉及到交换机、radius服务器、认证终端、强制注册服务器等设备,大体配置步骤如下:第一步:首先在桌面标准化管理系统给需要认证的终端下发802.1x认证策略,配置802.1x认证策略,设置为单用户认证后下发给需要认证的注册终端。

第二步:配置桌面终端管理系统的注册程序,将802.1x认证策略打包进新的注册程序。

第三步:配置交换机,确定工作区VLAN,根据需要开启认证端口。

第四步:将radius服务器放置在正常工作区VLAN中,配置radius服务器,根据需要设置接入认证规则。

2-2-1-5.详细配置过程802.1x认证策略的下发进入桌面终端标准化管理系统的WEB平台中的策略中心模块的接入认证策略,打开“802.1x认证策略”进入策略配置界面。

在“密码认证方式”中选择“单用户名密码”认证方式,并在其后的用户名和密码框中输入相应的用户名和密码,该用户名和密码就是以后这些终端进行接入认证时需要用到的用户名和密码,记住该用户名和密码,因为其后的radius配置中还需用到。

配置界面如图:(2保存策略之后,将策略分配给需要认证的设备。

交换机配置思科交换机配置通过超级终端,进入思科交换机配置界面,输入如下命令开启端口的802.1x 认证。

switch#config t ;进入全局配置模式Switch(config# aaa new-model //启用aaa认证Switch(config# aaa authentication login default enable//(注意:telnet 到交换机需要usename的不用此命令:没有usename,直接输入密码的要加入此命令Switch(config# aaa authentication dot1x default group radius //配置802.1x认证使用radius服务器数据库Switch(config# aaa authorization network default group radiusSwitch(config# radius-server host 10.64.226.20 key ld12345 //设置主radius服务器地址和口令(地址和口令需要修改Switch(config# radius-server host 10.64.226.22 key ld12345 //设置备份radius服务器地址和口令(地址和口令需要修改Switch(config# radius-server retransmit 1 //配置Radius服务器的超时定时器,默认值3switch(config#radius-server vsa send authentication ;配置VLAN分配必须使用IETF所规定的VSA值Switch(config#dot1x system-auth-control //全局启动dot1x认证以太网接口模式下:Switch(config-if#switchport mode accessspanning-tree portfastdot1x port-control auto //在需要认证的端口下开启dot1x认证最后记住保存.不需要开启认证的命令是:Switch(config-if# no dot1x port-control auto (哪个端口现在不需要认证了就用这个命令Switch(config# no dot1x system-auth-control (全部不启用认证华为交换机配置跟思科交换机一样,通过超级终端进入交换机配置界面,输入如下命令。

system-view (进入系统配置模式radius scheme TEST (新建一个radius方案primary authentication 10.65.46 20 1812 (设定认证服务器IP与端口号 primary accounting 10.65.46.20 1813 (设定计费服务器IP与端口号 accounting optional (设置此方案不计费key authentication nzdcjc12 (填写服务器与交换机共享机密key accounting nzdcjc12 (填写服务器与交换机共享机密secondrad authentication 10.64.226.20 1812 (指定备份认证服务器 secondrad accounting 10.64.226.20 1813(指定备份计费服务器key authentication nzdcjc12key accounting nzdcjc12user-name-format without-domain (将认证帐号去除域名quitdomain vrvtest (新建一个域名radius-scheme test (将RADIUS策略应用到此域(注意:如果无法打出radius-scheme test命令的话,请打下面的命令,功能也是将radius策略应用到vrvtest域authentication default radius-scheme testauthorization default radius-scheme testaccounting default radius-scheme testquitdomain default enable vrvtest (将新建的域作为缺省域interface Ethernet1/0/2 (进入需要设定开启802.1x的端口号dot1x (开启2号端口的802.1x功能dot1x port-method portbased (配置端口上进行接入控制的方式为portbased,MAC 模式时不能设置GUEST VLANdot1x port-control auto (配置端口上进行接入控制的模式为autoquit (退出2号端口模式dot1x (全局配置下开启全局802.1xdot1x authentication-method eap (设定802.1x的认证方法为EAP最后记住保存,不需要开启认证的命令是:undo dot1x (全局配置下使用radius服务器配置交换机配置结束后哦,我们要对radius服务器进行配置,主要分为配置主radius 服务器和在主radius服务器上设置主从radius服务器主Radius服务器配置(1安装RADIUS进入添加/删除程序中的添加/删除Windows组件,选择网络服务中的Internet 验证服务(2安装IAS后,进入IAS配置界面(3右键点击RADIUS客户端,选择新建RADIUS客户端。