802.1x准入控制技术使用手册(北信源).

北信源桌面终端标准化管理系统

准入控制技术

使用手册

2010年5月

目录

一、802.1x认证模块原理 (3

1-1. 802.1x的工作机制 (3

1-2. 802.1x的认证过程 (4

二、VRVEDP-NAC系统硬件配置及实施方案 (5

-NAC相关系统硬件配置 (5

-NAC实施方案 (5

三、802.1x认证应用注册事项 (22

四、802.1x认证应急预案 (24

4-1.预案流程 (24

4-2.应急事件处理方法 (24

一、802.1x认证模块原理

1-1. 802.1x的工作机制

IEEE 802.1x认证系统利用EAP(Extensible Authentication Protocol,可扩展认证协议协议,作为在客户端和认证服务器之间交换认证信息的手段。

802.1x认证系统的工作机制

在客户端PAE与设备端PAE之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN 环境中。

在设备端PAE与RADIUS服务器之间,EAP协议报文可以使用EAPOR封装格式(EAP over RADIUS,承载于RADIUS协议中;也可以由设备端PAE进行终结,而在设备端PAE与RADIUS服务器之间传送PAP协议报文或CHAP协议报文。

当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE根据RADIUS服务器的指示(Accept或Reject决定受控端口的授权/非授权状态。

1-2. 802.1x的认证过程

802.1x认证系统的认证过程

1. 当用户有上网需求时打开80

2.1x客户端,输入已经申请、登记过的用户名和口令,发起连接请求(EAPOL-Start报文。此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。

2. 交换机收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity报文要求用户的客户端程序发送输入的用户名。

3. 客户端程序响应交换机发出的请求,将用户名信息通过数据帧(EAP-Response/Identity报文送给交换机。交换机将客户端送上来的数据帧经过封包处理后(RADIUS Access-Request报文送给RADIUS服务器进行处理。

4. RADIUS服务器收到交换机转发的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字通过RADIUS Access-Challenge报文传送给交换机,由交换机传给客户端程序。

5. 客户端程序收到由交换机传来的加密字(EAP-Request/MD5 Challenge 报文后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的,生成EAP-Response/MD5 Challenge报文,并通过交换机传给RADIUS服务器。

6. RADIUS服务器将加密后的口令信息(RADIUS Access-Requeset报文和自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息(RADIUS Access-Accept报文和EAP-Success报文。交换机将端口状态改为授权状态,允许用户通过该端口访问网络。如果用户名和口令不正确,则将该端口状态改为非授权状态,将将该端口跳转到guest-vlan.

7. 客户端也可以发送EAPoL-Logoff报文给交换机,主动终止已认证状态,交换机将端口状态从授权状态改变成未授权状态。

二、VRVEDP-NAC系统硬件配置及实施方案

-NAC相关系统硬件配置

策略服务器(VRVEDP-SERVER:专用服务器,即安装桌面终端标准化管理系统的服务器。配置要求如下,PentiumⅢ 800 以上CPU,1G以上内存, 硬盘80G,

10/100BaseTX网络接口。Windows2000/2003 server(ServicePack4.0操作系统、IE6.0。

Radius认证服务器:微软的IAS,CISCO ACS可同策略服务器使用同一台服务器。LINUX FREE RADIUS需要单独一台PC计算机:PentiumⅢ 800 以上CPU,

512M以上内存, 硬盘20G。同时为保证RADIUS服务器能够同网络中的交换机正常通讯,RADIUS服务器需要开启 1812、1813、1645、1646端口。若在本地网络中RADIUS服务器同交换机之间安装网络防火墙,或桌面终端主机同管理服务器之间存在防火墙,请注意注意端口开放问题(管理服务器TCP 88、桌面终端TCP 22105。

-NAC实施方案

在实施VRVEDP-NAC前,首先需要根据自身的网络环境,明确需要实现的准入功能,从而确定准入控制的实施方案。

2-2-1.具休实施方案

2-2-1-1.用户需求

用户在调查过自身网络环境之后,确定要配置准入功能的交换机位置以及要开启的端口,并且要求实现以下功能:

1.准入控制系统只需要一个正常的工作区,注册终端用户在接入交换机认证端口后能自动进行认证,认证成功后可以访问内网。

2.未注册终端接入交换机认证端口后认证失败,不能正常访问内网,安装注册程序后注册成功后,可以自动认证成功并访问内网。

2-2-1-2.实现方式

从上面的用户需求来看,用户的要求主要可以分为注册终端和非注册终端两个方面的需求。对注册终端而言,只要求实现能够自动进行认证。对未注册终端来说,在未安装注册程序成文注册终端之前接入交换机认证端口后,禁止其访问内网使用内网资源。通过移动存储设备拷贝注册程序到未注册终端,未注册终端安装注册程序进行注册,并成为注册终端后也能实现自动认证,认证成功后能正常访问内网,使用内网中的资源。

2-2-1-3.配置前的准备

要实现上述功能,802.1x认证模块需要如下的硬件环境:

一台安装了桌面终端标准化管理系统服务器

接在正常的工作区VLAN中,主要负责在配置802.1x认证模块之前向管辖范围内的终端下发802.1x认证策略,同时也可作为从(备份radius服务器。一台安装了IAS的WIDOWS 2003系统的服务器

接在正常工作区VLAN中,作为主radius服务器,在整个认证过程中作为接入认证的服务器,根据定义的规则判断客户端是否准予接入。

配置准入模块的交换机支持802.1x认证协议

2-2-1-4.配置步骤

配置802.1x接入认证模块比较复杂,主要涉及到交换机、radius服务器、认证终端、强制注册服务器等设备,大体配置步骤如下:

第一步:首先在桌面标准化管理系统给需要认证的终端下发802.1x认证策略,配置802.1x认证策略,设置为单用户认证后下发给需要认证的注册终端。

第二步:配置桌面终端管理系统的注册程序,将802.1x认证策略打包进新的注册程序。

第三步:配置交换机,确定工作区VLAN,根据需要开启认证端口。

第四步:将radius服务器放置在正常工作区VLAN中,配置radius服务器,根据需要设置接入认证规则。

2-2-1-5.详细配置过程

802.1x认证策略的下发

进入桌面终端标准化管理系统的WEB平台中的策略中心模块的接入认证策略,打开“802.1x认证策略”进入策略配置界面。在“密码认证方式”中选择“单用户名密码”认证方式,并在其后的用户名和密码框中输入相应的用户名和密码,该用户名和密码就是以后这些终端进行接入认证时需要用到的用户名和密码,记住该用户名和密码,因为其后的radius配置中还需用到。配置界面如图:

(2保存策略之后,将策略分配给需要认证的设备。

交换机配置

思科交换机配置

通过超级终端,进入思科交换机配置界面,输入如下命令开启端口的802.1x 认证。

switch#config t ;进入全局配置模式

Switch(config# aaa new-model //启用aaa认证

Switch(config# aaa authentication login default enable

//(注意:telnet 到交换机需要usename的不用此命令:没有usename,直接输入密码的要加入此命令

Switch(config# aaa authentication dot1x default group radius //配置802.1x认证使用radius服务器数据库

Switch(config# aaa authorization network default group radius

Switch(config# radius-server host 10.64.226.20 key ld12345 //设置主radius服务器地址和口令(地址和口令需要修改

Switch(config# radius-server host 10.64.226.22 key ld12345 //设置备份radius服务器地址和口令(地址和口令需要修改

Switch(config# radius-server retransmit 1 //配置Radius服务器的超时定时器,默认值3

switch(config#radius-server vsa send authentication ;配置VLAN分配必

须使用IETF所规定的VSA值

Switch(config#dot1x system-auth-control //全局启动dot1x认证

以太网接口模式下:

Switch(config-if#switchport mode access

spanning-tree portfast

dot1x port-control auto //在需要认证的端口下开启dot1x认证

最后记住保存.

不需要开启认证的命令是:

Switch(config-if# no dot1x port-control auto (哪个端口现在不需要认证了就用这个命令

Switch(config# no dot1x system-auth-control (全部不启用认证

华为交换机配置

跟思科交换机一样,通过超级终端进入交换机配置界面,输入如下命令。system-view (进入系统配置模式

radius scheme TEST (新建一个radius方案

primary authentication 10.65.46 20 1812 (设定认证服务器IP与端口号 primary

accounting 10.65.46.20 1813 (设定计费服务器IP与端口号 accounting optional (设置此方案不计费

key authentication nzdcjc12 (填写服务器与交换机共享机密

key accounting nzdcjc12 (填写服务器与交换机共享机密

secondrad authentication 10.64.226.20 1812 (指定备份认证服务器 secondrad

accounting 10.64.226.20 1813(指定备份计费服务器

key authentication nzdcjc12

key accounting nzdcjc12

user-name-format without-domain (将认证帐号去除域名

quit

domain vrvtest (新建一个域名

radius-scheme test (将RADIUS策略应用到此域

(注意:如果无法打出radius-scheme test命令的话,请打下面的命令,功能也是将radius策略应用到vrvtest域

authentication default radius-scheme test

authorization default radius-scheme test

accounting default radius-scheme test

quit

domain default enable vrvtest (将新建的域作为缺省域

interface Ethernet1/0/2 (进入需要设定开启802.1x的端口号

dot1x (开启2号端口的802.1x功能

dot1x port-method portbased (配置端口上进行接入控制的方式为portbased,MAC模式时不能设置GUEST VLAN

dot1x port-control auto (配置端口上进行接入控制的模式为auto

quit (退出2号端口模式

dot1x (全局配置下开启全局802.1x

dot1x authentication-method eap (设定802.1x的认证方法为EAP最后记住保存,不需要开启认证的命令是:undo dot1x (全局配置下使用

radius服务器配置

交换机配置结束后哦,我们要对radius服务器进行配置,主要分为配置主radius服务器和在主radius服务器上设置主从radius服务器

主Radius服务器配置

(1安装RADIUS

进入添加/删除程序中的添加/删除Windows组件,选择网络服务中的Internet 验证服务

(2安装IAS后,进入IAS配置界面

(3右键点击RADIUS客户端,选择新建RADIUS客户端。名称可任意填写,客户端地址为验证交换机的管理地址(即所有接入层启用802.1x的交换机的管理IP,有多少个就要建多少个RADIUS客户端,这里只以一个作为例子。,点击下一步。

(4选择RADIUS Standard,共享机密为交换机中所配置的key。点击完成。

(5右键点击远程访问策略,单击新建远程访问策略。

(6为策略取一个名字,点击下一步

(7选择以太网,点击下一步

(8选择用户,点击下一步

(9使用MD5质询,点击下一步,并完成。

(10在右面板中右键点击所新建的策略,选择属性。

(11点击添加,选择Day-And-Time-Restrictions

(12选择添加,选择允许,单击确定。

(13删除NAS-Port-Type匹配”Ethernet”,并选择授予访问权限

(14启用本地安全策略——安全设置——账户策略——密码策略——用可还原的加密来储存密码。(注意:这步一定要在新建远程登录用户前完成!

(15添加远程登录用户。在本地用户和组中新建一个用户,该用户名和密码要与先前的802.1x认证策略中输入的用户名和密码对应起来。(注意:添加远程登录用户时,必须在IAS配置完之后再添加。

(16右键点击新建的用户,进入属性,选择隶属于,删除默认的USERS组

(17点击拨入,设置为允许访问

(18IAS配置完成,确保Internet Authentication Service服务处于启动状态。

(19VRV EDP Agent认证成功。(手工认证的图

从radius服务器的配置

如果需要从(备份radius服务器的话,还需要在主radius服务器上设置主从radius服务器,具体配置如下:

(1进入主radius服务器的IAS控制台

(2新建远程RADIUS服务器组

(3指定主服务器与备份服务器IP地址,在主服务器配置即可。

注意:从radius服务器其他配置与主radius服务器配置相同。

配置完以上各个服务器、交换机和客户端后,802.1x接入认证模块就配置

完毕了。

三、802.1x认证应用注册事项

实施准备阶段需要注意的问题

1.根据华能澜沧江水电有限公司内网的网络拓扑结构图,决定radius服务器、

以及注册程序下载服务器安放的位置。建议将以上服务器都安装在主交换机上,这样对管辖网络范围所有终端,都可以根据需要开启对其的802.1x认证,从而方便管理员的管理。

2.需要配备备份(从radius服务器,备份radius服务器与主radius服务器

配置相同。当主radius服务器出现故障无法正常工作时,终端可以通过备份radius服务器实现正认证功能,避免发生由于主radius服务器发生故障导致网络内终端无法接入认证的情况。

3.确保要开启802.1x认证功能的交换机都支持802.1x认证,根据网络拓扑结

构,明确管理网络范围内需要对哪些终端进行802.1x 认证,哪些重要服务器及无法进行认证的设备(如网络打印机等不需要进行802.1x,明确这些设备具体接在交换机的哪些端口上,汇总整理后编写出《需开启认证交换机端口列表》的文档,方便日后的实施工作。

实施阶段需要注意的问题

1.实施80

2.1x是一项比较复杂而且工作量较大的工程,在实施前应制定出详细

的实施计划,在实施过程中按照实施计划开展实施工作。建议实施计划分为四个步骤:

第一步,先架设好radius服务器及注册程序下载服务器,然后在小范围内进行测试;

第二步,选定某一楼层,按照之前准备好的《实施终端情况表》在该楼层的某一部门或办公室的接入层交换机上开启802.1x认证,在该部门或办公室实施完毕后进行测试,测试成功后,再在该楼层其他部门或办公室交换机上实施802.1x;

第三步,根据第二步实施的步骤,按楼层逐步在各部门或办公室的交换机上实施802.1x;

第四步,在各楼层实施完毕后,进行大范围的测试。

分步骤实施能避免由于实施过程中的错误造成大面积终端无法认证或不

能连接内网的情况出现,降低实施的风险,最大限度的减少实施802.1x对正常工作的影响。

2.每台交换机的工作区VLAN上要预留一个非认证端口作为该交换机与上层交

换机的通信端口,保证每台交换机能与radius服务器正常通信。

3.在交换机上配置802.1x之前,最好先将802.1x认证策略下发下去。

4.在配置交换机时,最好是一个一个的开启端口的802.1x认证功能。

5.在实施中,可能会遇到交换机认证端口下接HUB或非认证交换机的情况,当

终端接入这类HUB或非认证交换机时,首先要判断终端是否能认证,也就是说认证报文信息是否能穿透这类HUB或非认证交换机。其次,如果单个终端能进行认证的话,要根据所接上层开启了认证交换机型号做相应的处理。6.大型网络的环境比较复杂,测试人员在测试过程中可能会出现认证失败,因

此,在测试时测试人员要耐心等待,直到终端认证过程结束后再做相应的处理。

7.实施完毕后,根据之前的网络拓扑图,将启用和不启用802.1x认证的终端信

息整理成相应的文档,方便日后的维护。

日常运行维护阶段要注意的问题

1.定期查看radius服务器上的事件查看器,出现认证失败的信息后,能根据事

件查看器上的信息判断认证失败的原因。

2.当某一交换机发生故障导致某一楼层或部门、办公室内的所有终端无法认证

时,通过实施完毕后准备好的文档,能方便判定出现故障的设备,及时修复。

3.应急修复故障故障交换机时,为了尽快恢复网络连接,可以先停用802.1X

认证功能,这样终端就可以访问网络,不影响正常的工作,待下班或放假后再做配置、恢复交换机配置。

四、802.1x认证应急预案

4-1.预案流程

1、对桌面终端标准化管理系统和Radius服务器进行数据备份工作;

2、桌面终端标准化管理系统所在服务器出现故障,该系统无法启动等。通过故障检验,确认短时间内无法解决,则启动此预案流程;

3、Radius主用服务器出现故障,客户端自动在备用服务器进行认证,管理员不需做操作;

4、桌面终端标准化管理系统服务器出现故障,管理员启用备用服务器;

5、系统切换完毕后,进行系统功能测试;

6、通过系统日志、主机防护系统日志、防火墙日志、入侵检测系统日志等,对事件进行审计,对损失进行评估,追查事件的发生原因;

7、消除隐患、调整策略;

8、相关部门进行评估损失,追究责任;

9、由系统运行部门形成事故分析报告,分析事故原因,修正预案处理流程并归档。

4-2.应急事件处理方法

4-2-1.应急事件一:Radius 认证服务器应急事件

应急事件:RADIUS server主服务器(IP:10.65.157.110出现故障,客户端自动在备用服务器(IP:10.64.226.20进行认证。

故障模拟源:拔掉RADIUS 认证主服务器(IP:10.65.157.110的网线,或者停止RADIUS 服务。

应急处理步骤:无。当RADIUS 认证主服务器(IP:10.65.157.110停止服务后,客户端发起的认证将自动转到由RADIUS 认证从服务器(IP: 10.64.226.20进行,无需人工干预。在主服务器无法正常运作后,10-30秒内客户端是否恢复认证,右下角托盘图标是否为绿色;在备份服务器上使用事件查

看器,看是否在该时间段有IAS认证事件,并确认为认证通过的事件(提示为认证通过。

4-2-2.其他事件安全应急事件

故障1:网络故障:如核心网络交换机故障,导致radius无法连接;如楼层交换机故障。

应急排查:使用抓包工具对无法认证的客户端连接交换机进行抓包(EAPOL 包,如发现认证包无法通过该交换机发送给RADIUS认证服务器。可由认证包源、目的地址(楼层交换机管理IP与核心交换机管理IP判断故障出现在接入层还是核心层设备。

故障处理:更换新的交换机,配置802.1x认证功能后入网。

故障2:桌面终端标准化管理系统服务器网卡故障:无法正常收发认证信息。

应急排查:在事件查看器内查找,是否在该故障时间段存在IAS认证事件。

故障3:桌面终端标准化管理系统服务器人为操作故障,误删除审计记录,误配置系统参数。

应急排查:可从备份服务器对主服务器相关参数进行对照,如有误可将备份服务器数据导入即可(必须确保数据库同步。

故障处理:恢复数据库的最新mdf和ldf文件。

故障4:服务器ip地址被恶意、无意冲突使用(如ARP病毒。

应急排查:使用抓包工具查找病毒源并打开其网络连接,或将冲突地址更改。

故障处理:安装专用服务器主机保护软件