802.1x准入控制技术使用手册(北信源).

北信源桌面终端标准化管理系统

准入控制技术

使用手册

2010年5月

目录

一、802.1x认证模块原理 (3

1-1. 802.1x的工作机制 (3

1-2. 802.1x的认证过程 (4

二、VRVEDP-NAC系统硬件配置及实施方案 (5

2-1.VRVEDP-NAC相关系统硬件配置 (5

2-2.VRVEDP-NAC实施方案 (5

三、802.1x认证应用注册事项 (22

四、802.1x认证应急预案 (24

4-1.预案流程 (24

4-2.应急事件处理方法 (24

一、802.1x认证模块原理

1-1. 802.1x的工作机制

IEEE 802.1x认证系统利用EAP(Extensible Authentication Protocol,可扩展认证协议协议,作为在客户端和认证服务器之间交换认证信息的手段。

802.1x认证系统的工作机制

在客户端PAE与设备端PAE之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN 环境中。

在设备端PAE与RADIUS服务器之间,EAP协议报文可以使用EAPOR封装格式(EAP over RADIUS,承载于RADIUS协议中;也可以由设备端PAE进行终结,而在设备端PAE与RADIUS服务器之间传送PAP协议报文或CHAP协议报文。

当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE 根据RADIUS服务器的指示(Accept或Reject决定受控端口的授权/非授权状态。

1-2. 802.1x的认证过程

802.1x认证系统的认证过程

1. 当用户有上网需求时打开80

2.1x客户端,输入已经申请、登记过的用户名和口令,发起连接请求(EAPOL-Start报文。此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。

2. 交换机收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity报文要求用户的客户端程序发送输入的用户名。

3. 客户端程序响应交换机发出的请求,将用户名信息通过数据帧(EAP-Response/Identity报文送给交换机。交换机将客户端送上来的数据帧经过封包处理后(RADIUS Access-Request报文送给RADIUS服务器进行处理。

4. RADIUS服务器收到交换机转发的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字通过RADIUS Access-Challenge报文传送给交换机,由交换机传给客户端程序。

5. 客户端程序收到由交换机传来的加密字(EAP-Request/MD5 Challenge 报文后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的,生成EAP-Response/MD5 Challenge报文,并通过交换机传给RADIUS服务器。

6. RADIUS服务器将加密后的口令信息(RADIUS Access-Requeset报文和自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息(RADIUS Access-Accept报文和EAP-Success报文。交换机将端口状态改为授权状态,允许用户通过该端口访问网络。如果用户名和口令不正确,则将该端口状态改为非授权状态,将将该端口跳转到guest-vlan.

7. 客户端也可以发送EAPoL-Logoff报文给交换机,主动终止已认证状态,交换机将端口状态从授权状态改变成未授权状态。

二、VRVEDP-NAC系统硬件配置及实施方案

2-1.VRVEDP-NAC相关系统硬件配置

策略服务器(VRVEDP-SERVER:专用服务器,即安装桌面终端标准化管理系统的服务器。配置要求如下,PentiumⅢ 800 以上CPU,1G以上内存, 硬盘80G,

10/100BaseTX网络接口。Windows2000/2003 server(ServicePack4.0操作系统、

IE6.0。

Radius认证服务器:微软的IAS,CISCO ACS可同策略服务器使用同一台服务器。LINUX FREE RADIUS需要单独一台PC计算机:PentiumⅢ 800 以上CPU, 512M以上内存, 硬盘20G。同时为保证RADIUS服务器能够同网络中的交换机正常通讯,RADIUS服务器需要开启 1812、1813、1645、1646端口。若在本地网络中RADIUS服务器同交换机之间安装网络防火墙,或桌面终端主机同管理服务器之间存在防火墙,请注意注意端口开放问题(管理服务器TCP 88、桌面终端TCP 22105。

2-2.VRVEDP-NAC实施方案

在实施VRVEDP-NAC前,首先需要根据自身的网络环境,明确需要实现的准入功能,从而确定准入控制的实施方案。

2-2-1.具休实施方案

2-2-1-1.用户需求

用户在调查过自身网络环境之后,确定要配置准入功能的交换机位置以及要开启的端口,并且要求实现以下功能:

1.准入控制系统只需要一个正常的工作区,注册终端用户在接入交换机认证端口后能自动进行认证,认证成功后可以访问内网。

2.未注册终端接入交换机认证端口后认证失败,不能正常访问内网,安装注册程序后注册成功后,可以自动认证成功并访问内网。

2-2-1-2.实现方式

从上面的用户需求来看,用户的要求主要可以分为注册终端和非注册终端两个方面的需求。对注册终端而言,只要求实现能够自动进行认证。对未注册终端来说,在未安装注册程序成文注册终端之前接入交换机认证端口后,禁止其访问内网使用内网资源。通过移动存储设备拷贝注册程序到未注册终端,未注册终端安装注册程序进行注册,并成为注册终端后也能实现自动认证,认证成功后能正常访问内网,使用内网中的资源。

2-2-1-3.配置前的准备

要实现上述功能,802.1x认证模块需要如下的硬件环境:

一台安装了桌面终端标准化管理系统服务器

接在正常的工作区VLAN中,主要负责在配置802.1x认证模块之前向管辖范围内的终端下发802.1x认证策略,同时也可作为从(备份radius服务器。一台安装了IAS的WIDOWS 2003系统的服务器

接在正常工作区VLAN中,作为主radius服务器,在整个认证过程中作为接入认证的服务器,根据定义的规则判断客户端是否准予接入。

配置准入模块的交换机支持802.1x认证协议

2-2-1-4.配置步骤

配置802.1x接入认证模块比较复杂,主要涉及到交换机、radius服务器、认证终端、强制注册服务器等设备,大体配置步骤如下:

第一步:首先在桌面标准化管理系统给需要认证的终端下发802.1x认证策略,配置802.1x认证策略,设置为单用户认证后下发给需要认证的注册终端。

第二步:配置桌面终端管理系统的注册程序,将802.1x认证策略打包进新的注册程序。