北信源桌面终端标准化管理系统基于8021x协议的准入控

北信源桌面终端标准化治理系统

的准进操纵方案

一、

〔基于局域网的扩展认证协议〕数据通过设备连接的交换机端口；认证通过以后，正常的数据能够顺利地通过以太网端口。网络访咨询技术的核心局部是PAE〔端口访咨询实体〕。在访咨询操纵流程中，端口访咨询实体包含3局部：认证者--对接进的用户/设备进行认证的端口；请求者--被认证的用户/设备；认证效劳器--依据认证者的信息，对请求访咨询网络资源的用户/设备进行实际认证功能的设备。

二、基于以太网端口认证的802.1x协议有如下特点：IEEE802.1x协议为二层协议，不需要到达三层，对设备的整体性能要求不高，能够有效落低建网本钞票；借用了在RAS系统中常用的EAP〔扩展认证协议〕，能够提供良好的扩展性和习惯性，实现对传统PPP认证架构的兼容；802.1x的认证体系结构中采纳了"可控端口"和"不可控端口"的逻辑功能，从而能够实现业务与认证的不离，由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与操纵，报文直截了当承载在正常的二层报文上通过可控端口进行交换，通过认证之后的数据包是无需封装的纯数据包；能够使用现有的后台认证系统落低部署的本钞票，并有丰富的支持；能够映射不同的用户认证等级到不同的VLAN；能够使交换端口和无线LAN具有平安的认证接进功能。

三、a.一台安装IAS或者ACS的RADIUS认证效劳器；

b.一台安装VRVEDP效劳器；

c.一个应用可网管交换机的网络环境；

效劳器配置如下：

进进添加/删除程序中的添加/删除Windows组件，选择网络效劳中的Internet 验证效劳

2.安装IAS后，进进IAS配置界面

3．右键点击RADIUS客户端，选择新建RADIUS客户端。客户端地址为验证交换机的治理地址，点击下一步。

4.选择RADIUSStandard，共享机密为交换机中所配置的key。点击完成。

注：接进层交换机，就需要执行100次步骤3与步骤4的动作，把100个交换机

的地址与共享密码填写进往。

是至关重要的第一步，一定要检查填写的共享密码与交换机的共享密码相同〔这是思科交换机命令输进共享密码的命令：radius-serverhost效劳器地址〕。5.右键点击远程访咨询策略，单击新建远程访咨询策略。

注：1.建立远程访咨询策略为了使进行跟交换机进行联动，那个策略的建立为以后的用户成功认证打下坚实的根底。

2.那个策略一个公共策略，在一个网络中可能有几百个用户名密码进行认证，那个要按照步骤进行配置，不要填写用户名匹配，不然会只有一个匹配的用户能够认证通过。

3.公司支持多种加密认证方式，在IAS中我们建议使用MD5加密算法来进行认证。

6.为策略取一个名字，点击下一步

7.选择以太网，点击下一步

8.选择用户，点击下一步

9.使用MD5质询，点击下一步，并完成。

10.在右面板中右键点击所新建的策略，选择属性。

11.点击添加，选择Day-And-Time-Restrictions

12.选择添加，选择答应，单击确定。

〞Ethernet〞，并选择授予访咨询权限

14.右键点击连接请求策略，选择新建连接请求策略。

注：1.连接请求策略是与修复VLAN有关系的配置，假如在实施中没有设置修复VLAN，这一步骤能够不进行配置。

2.连接请求策略中添加user-name与用户名匹配，公司客户端软件临时只支持与repair那个用户名联动。假如不使用repair用户名匹配，客户端没有通过安检时也会跳进修复VLAN，然而在客户端可不能提示差不多进进修复VLAN。

3.IAS中设置修复VLAN设置方法有几种，建议使用文档中的操作方式。

15.选择自定义策略，并为该策略取个名字

16.策略状况选择添加Day-And-Time-Restrictions,配置方法同上。

〞Ethernet〞，并选择授予访咨询权限

18.点击添加，并选择user-name,点击添加

19.那个地方repair是指repair子用户名〔即需要跳转的子用户名字〕，点击确定并应用

20.单击编辑配置文件，选择高级-------添加

选择添加

[64]Tunnel-Type：VLAN

[65]Tunnel-Medium-Type：802

[81]Tunnel-Pvt-Group-ID：VLANID〔修复VLAN的vlan号〕。

22．添加远程登录用户。在本地用户和组中新建一个用户。

注：在建立认证账户之前，首先检查“用可复原的加密来存储密码〞是否启用。

23.右键点击新建的用户，进进属性，选择隶属于，删除默认的USERS组

24.点击拨进，设置为答应访咨询

25.IAS配置完成。

效劳器关于802.1x策略的配置及解释：

1

2

3

4

5

6

7

9

8

密码认证方式：

1、“单用户名密码认证〞：所接进的客户端会以该策略中指定的用户名和密码认证，不需要用户手工输进用户名和密码

2、“多用户密码认证〞：所接进的客户端需要手工输进在Radius中建立的认证用户名和密码进行认证

3、“域用户名认证〞：所接进的客户端假如是域环境，使用此功能能够在用户登陆域时自动认证。

4、认证程序在托盘显示认证状态的图标，绿色为认证成功，黄色为未认证状态，红色那么为认证失败。并能够规定认证失败特定次数后就不再认证，自动进进GUESTVLAN

5、密码验证类型：分为MD5验证和受保卫的EAP(PEAP)两种模式。

6、安检失败处理方式：配合补丁与杀毒软件策略和进程效劳注册表策略使用，当客户端违反以上策略并选择了依据802.1X策略处理时，那么可对其执行以下3种处操作：不处理〔〕；进进正常工作VLAN；进进修复VLAN。

7、假如客户端环境为DHCP动态网络，那么勾选DHCP动态IP环境认证；并当认证失败后，那个地方能够填进另外一个用户名密码再认证一次〔配合单用户认证方式使用〕；当碰到网络意外断开的情况，勾选网络恢复连接后主动发起认证，客户端在恢复网络时就会主动发起认证；支持华为认证效劳器的IP绑定功能：