北信源桌面終端標準化管理系統(tǒng)

準入控制技術(shù)

使用手冊

2010年5月

目錄

一、802.1X認證模塊原理（3

1-1.802.1X的工作機制（3

1-2.802.1X的認證過程（4

二、VRVEDP-NAC系統(tǒng)硬件配置及實施方案（5

2-1.VRVEDP-NAC相關(guān)系統(tǒng)硬件配置（5

2-2.VRVEDP-NAC實施方案（5

三、802.1X認證應(yīng)用注冊事項（22

四、802.1X認證應(yīng)急預案（24

4-1.預案流程（24

4?2.應(yīng)急事件處理方法（24

一、802.1X認證模塊原理

1-1.802.1X的工作機制

IEEE802.lx認證系締IJ用EAP（ExtensibleAuthenticationProtocol,可擴展認證協(xié)

議協(xié)議，作為在客戶端和認證服務(wù)器之間交換認證信息的手段。

RadiusServer

Lijxcfco-rputa傀||_

Poricoiuieclu千一

?^Accessblocked

802.1X認證系統(tǒng)的工作機制

在客戶端PAE與設(shè)備端PAE之間,EAP協(xié)議報文使用EAPOL封裝格式，直接承載于

LAN環(huán)境中。

在設(shè)備端PAE與RADIUS服務(wù)器之間,EAP協(xié)議報文可以使用EAPOR封裝格式（EAP

overRADIUS,承載于RADIUS協(xié)議中;也可以由設(shè)備端PAE進行終結(jié)，而在設(shè)備端PAE與

RADIUS服務(wù)器之間傳送PAP辦議報文或CHAP協(xié)議報文。

當用戶通過認證后，認證服務(wù)器會把用戶的相關(guān)信息傳遞給設(shè)備端，設(shè)備端PAE根據(jù)

RADIUS服務(wù)器的指示（Accept或Reject決定受控端口的授權(quán)/非授權(quán)狀態(tài)。

1-2.802.1X的認證過程

EAPOL-StflrtEAPOLRADIUS

---------------------------?

彳EAP?Rcqucst/Idcntity

EAP-Response.QdentityRa&gAccess-R￡quust

EAP-RccucstRadius-Acccss-Challcngc

4----------：--------------------

E/\PResponse（crcdc啊oRadius-Access-Reqnest

EAP-Success.Radius-Accc”-Accept

802.1X認證系統(tǒng)的認證過程

1.當用戶有上網(wǎng)需求時打開80

2.1x客戶端，輸入已經(jīng)申請、登記過的用戶名和口令,發(fā)起連接請求（EAPOL-Sldrt報

文。此時，客戶端程序?qū)l(fā)出請求認證的報文給交換機，開始啟動一次認證過程。

2.交換機收到請求認證的數(shù)據(jù)幀后將發(fā)出一個請求幀（EAP-Request/Identity報文

要求用戶的客戶端程序發(fā)送輸入的用戶名。

3.客戶端程序響應(yīng)交換機發(fā)出的請求，將用戶名信息通過數(shù)據(jù)幀（EAP-

Response/Identity報文送給交換機。交換機將客戶端送上來的數(shù)據(jù)幀經(jīng)過封包處理后

（RADIUSAccess-Request報文送給RADIUS服務(wù)器進行處理。

4.RADIUS服務(wù)器收到交換機轉(zhuǎn)發(fā)的用戶名信息后，將該信息與數(shù)據(jù)庫中的用戶名表

相比對，找到該用戶名對應(yīng)的口令信息,用隨機生成的T加密字對它進行加密處理,同時也

將此加密字通過RADIUSAccess-Challenge報文傳送給交換機，由交換機傳給客戶端程

序。

5.客戶端程序收到由交換機傳來的加密字（EAP-Request/MD5Challenge報文后，用

該加密字對口令部分進行加密處理（此種加密算法通常是不可逆的，生成EAP-

Response/MD5Challenge報文，并通過交換機傳給RADIUS服務(wù)器。

6.RADIUS服務(wù)器將加密后的口令信息（RADIUSAccess-Requeset報文和自己經(jīng)過

加密運算后的口令信息進行對比，如果相同很U認為該用戶為合法用戶,反饋認證通過的消息

（RADIUSAccess-Accept報文和EAP-Success報文。交換機將端口狀態(tài)改為授權(quán)狀態(tài),

允許用戶通過該端口訪問網(wǎng)絡(luò)。如果用戶名和口令不正確，則將該端口狀態(tài)改為非授權(quán)狀

態(tài)，將將該端口跳轉(zhuǎn)到guest-vlan.

7.客戶端也可以發(fā)送EAPoL-Logoff報文給交換機，主動終止已認證狀態(tài)，交換機將端

口狀態(tài)從授權(quán)狀態(tài)改變成未授權(quán)狀態(tài)。

二、VRVEDP-NAC系統(tǒng)硬件配置及實施方案

2-1.VRVEDP-NAC相關(guān)系統(tǒng)硬件配置

策略服務(wù)器（VRVEDP-SERVER:專用服務(wù)器，即安裝桌面終端標準化管理系統(tǒng)的服務(wù)

器。配置要求如下尸entiumm800以上CPU,1G以上內(nèi)存,硬盤80G,10/100BaseTX網(wǎng)

絡(luò)接口。Windows2000/2003server（ServicePack4.0操作系統(tǒng)、正6.0。

Radius認證服務(wù)器:微軟的IAS,CISCOACS可同策略服務(wù)器使用同一臺服務(wù)器。

LINUXFREERADIUS需要單獨一臺PC計算機Pentium!!!800以上CPU,512M以上內(nèi)

存,硬盤20G。同時為保證RADIUS服務(wù)器能夠同網(wǎng)絡(luò)中的交換機正常通訊,RADIUS服務(wù)

器需要開啟1812、1813.1645、1646端口。若在本地網(wǎng)絡(luò)中RADIUS服務(wù)器同交換機

之間安裝網(wǎng)絡(luò)防火墻，或桌面終端主機同管理服務(wù)器之間存在防火墻，請注意注意端口開放

問題（管理服務(wù)器TCP88、桌面終端TCP22105。

2-2.VRVEDP-NAC實施方案

在實施VRVEDP-NAC前，首先需要根據(jù)自身的網(wǎng)絡(luò)環(huán)境，明確需要實現(xiàn)的準入功能，從

而確定準入控制的實施方案。

2-2-1.具休實施方案

2-2-1T.用戶需求

用戶在調(diào)查過自身網(wǎng)絡(luò)環(huán)境之后，確定要配置準入功能的交換機位置以及要開啟的端

口，并且要求實現(xiàn)以下功能:

1.準入控制系統(tǒng)只需要一個正常的工作區(qū)，注冊終端用戶在接入交換機認證端口后能自

動進行認證,認證成功后可以訪問內(nèi)網(wǎng)。

2.未注冊終端接入交換機認證端口后認證失敗，不能正常訪問內(nèi)網(wǎng)，安裝注冊程序后注

冊成功后，可以自動認證成功并訪問內(nèi)網(wǎng)。

2-2-1-2.實現(xiàn)方式

從上面的用戶需求來看，用戶的要求主要可以分為注冊終端和非注冊終端兩個方面的

需求。對注冊終端而言，只要求實現(xiàn)能夠自動進行認證。對未注冊終端來說,在未安裝注冊

程序成文注冊終端之前接入交換機認證端口后，禁止其訪問內(nèi)網(wǎng)使用內(nèi)網(wǎng)資源。通過移動

存儲設(shè)備拷貝注冊程序到未注冊終端,未注冊終端安裝注冊程序進行注冊，并成為注冊終端

后也能實現(xiàn)自動認證，認證成功后能正常訪問內(nèi)網(wǎng),使用內(nèi)網(wǎng)中的資源。

2-2-1-3酒己置前的準備

要實現(xiàn)上述功能,802.1x認證模塊需要如下的硬件環(huán)境：

一臺安裝了桌面終端標準化管理系統(tǒng)服務(wù)器

接在正常的工作區(qū)VLAN中，主要負責在配置802.1X認證模塊之前向管轄范圍內(nèi)的終

端下發(fā)802.1X認證策略同時也可作為從（備份radius服務(wù)器。一臺安裝了IAS的

WIDOWS2003系統(tǒng)的服務(wù)器

接在正常工作區(qū)VLAN中,作為主radius服務(wù)器，在整個認證過程中作為接入認證的服

務(wù)器，根據(jù)定義的規(guī)則判斷客戶端是否準予接入。

配置準入模塊的交換機支持802.1X認證協(xié)議

2-2-1-4配置步驟

配置802.1X接入認證模塊匕瞰復雜,主要涉及到交換機、radius服務(wù)器、認證終端、

強制注冊服務(wù)器等設(shè)備,大體配置步驟如下：

第一步:首先在桌面標準化管理系統(tǒng)給需要認證的終端下發(fā)802.1X認證策略，配置

802.1X認證策略，設(shè)置為單用戶認證后下發(fā)給需要認證的注冊終端。

第二步:配置桌面終端管理系統(tǒng)的注冊程序，將802.1X認證策略打包進新的注法程序。

第三步酒己置交換機，確定工作區(qū)VLAN,根據(jù)需要開啟認證端口。

第四步將radius服務(wù)器放置在正常工作區(qū)VLAN中酒己置radius服務(wù)器，根據(jù)需要設(shè)

置接入認證規(guī)則。

2-2-1-5.詳細配置過程

802.1X認證策略的下發(fā)

進入桌面終端標準化管理系統(tǒng)的WEB平臺中的策略中心模塊的接入認證策略，打開

“802.1X認證策略"進入策略配置界面。在"密碼認證方式"中選擇"單用戶名密碼”

認證方式,并在其后的用戶名和密碼框中輸入相應(yīng)的用戶名和密碼，該用戶名和密碼就是以

后這些終端進行接入認證時需要用到的用戶名和密碼,記住該用戶名和密碼，因為其后的

radius配置中還需用到。配置界面如圖：

按入U證常，一加2II#入UiJ黛略右彝：802IX?入5證

旅訓技”

書碼UGE方式：@單用戶型福X證用戶名：怔說~[二碼:|??w??

Of用戶名8：碼認證停證失敗1次盾,停止自動MKE.

OIMFUS在沒科玄陸城的修況下使用用戶名：匚一；密同：「

0口碰的口證程序在光盤顯示M

雷碼ij近關(guān)生：OWS-質(zhì)皆@受保護的EATffEAT)

@當安總火MJ,不處理

OiMNMW，送入m工催區(qū).(flLBT工皿信金在右下角fHO

O一直。0?，進乙-1t吁用戶名:[-1B：I1

在正H辦公環(huán)■?呼防盾和人修W

□DHC^J梭咻境U證______________________________

□UifHl后使用用戶名：Ilew：[-X?Ui2

□M&SKSW后主動atssH證

□交打*力口證”鳥■箝IM定功It

U證XHK也代1M1或：④祖胃Or?

過期8三方JMSiMI：?不讓潴。過境

MaUfiHkP：]以證的婢合通過)

](U證如終不合遇過)

?不修戶向偈艮使用分航.)8搐

硝所「諛量說明回本查看-1「保存足

(2保存策略之后，將策略分配給需要認證的設(shè)備。

當http〃1921RR125-分配對象

交換機配置

思科交換機配置

通過超級終端，進入思科交換機配置界面，輸入如下命令開啟端口的802.1X認證。

switch#configt;進入全局配置模式

Switch(config#aaanew-model〃啟用aaa認證

Switch(config#aaaauthenticationlogindefaultenable

〃(注意:telnet到交換機需要usename的不用此命令:沒有usename,直接輸入密碼

的要加入此命令

Switch(config#aaaauthenticationdotlxdefaultgroupradius//酉己置802.1x認

證使用radius服務(wù)器數(shù)據(jù)庫

Switch(config#aaaauthorizationnetworkdefaultgroupradius

Switch(config#radius-serverhost0keyIdl2345〃設(shè)置主radius服

務(wù)器地址和口令(地址和口令需要修改

Switch(config#radius-serverhost2keyIdl2345〃設(shè)置備份radius

服務(wù)器地址和口令(地址和口令需要修改

Switch(config#radius-serverretransmit1〃配置Radius服務(wù)器的超時定時器，默

認值3

switch(config#radius-servervsasendauthentication酒己置VLAN分配必

須使用IETF所規(guī)定的VSA值

Switch(config#dotlxsystem-auth-control〃全局啟動dotlx認證

以太網(wǎng)接口模式下:

Switch(config-if#switchpurtmodeaccess

spanning-treeportfast

dotlxport-controlauto〃在需要認證的端口下開啟dotlx認證

最后記住保存.

不需要開啟認證的命令是：

Switch（config-if#nodotlxport-controlauto（哪個端口現(xiàn)在不需要認證了就用這

個命令

Switch（config#nodotlxsystem-auth-control（全部不啟用認證

華為交換機配置

跟思科交換機一樣,通過超級終端進入交換機配置界面，輸入如下命令。system-view

（進入系統(tǒng)配置模式

radiusschemeTEST（新建一個radius方案

primaryauthentication10.65.46201812(設(shè)定認證服務(wù)器IP與端口號primary

accounting01813(設(shè)定計費服務(wù)器IP與端口號accountingoptional(ig

置此方案不計費

keyauthenticationnzdcjcl2（填寫服務(wù)器與交換機共享機密

keyaccountingnzdcjcl2（填寫服務(wù)器與交換機共享機密

secondradauthentication01812（指定備份認證服務(wù)器secondrad

accounting01813（指定備份計費服務(wù)器

keyauthenticationnzdcjcl2

keyaccountingnzdcjcl2

user-name-formatwithout-domain（將認證帳號去除域名

quit

domainvrvtest（新建一個域名

radius-schemetest（將RADIUS策略應(yīng)用到此域

（注意:如果無法打出radius-schemetest命令的話，請打下面的命令，功能也是將

radius策略應(yīng)用到vrvtest域

dulhenticdtiondefaultrddius-schernetest

authorizationdefaultradius-schemetest

accountingdefaultradius-schemetest

quit

domaindefaultenablevrvtest（將新建的域作為缺省域

interfaceEthernetl/0/2（進入需要設(shè)定開啟802.1x的端口號

dotlx（開啟2號端口的802.1X功能

dotlxport-methodportbased（配置端口上進行接入控制的方式為

portbased,MAC模式時不能設(shè)置GUESTVLAN

dotlxport-controlauto（配置端口上進行接入控制的模式為auto

quit（退出2號端口模式

dotlx（全局配置下開啟全局802.1X

dotlxauthentication-methodeap（設(shè)定802.lx的認證方法為EAP最后記住保存,

不需要開啟認證的命令是:undodullx(全局配置下使用

radius服務(wù)器配置

交換機配置結(jié)束后哦，我們要對radius服務(wù)器進行配置，主要分為配置主radius服務(wù)

器和在主radius服務(wù)器上設(shè)置主從radius服務(wù)器

主Radius服務(wù)器配置

(1安裝RADIUS

進入添加/刪除程序中的添加/刪除Windows組件，選擇網(wǎng)絡(luò)服務(wù)中的Internet驗證

服務(wù)

H血4>233―小間逢3；

可uutmaw的組怦?

便B苫注?三三率健七?A■戔③|

灰色專表初金安接近蛆悻g

弊￥§院勰怒號-IDIKI

組悻?痔停方式0)際三］

￡?V9nsitxA,

幼XE的。8文怦科14已Msa

加*引另____________

?上一清使用日。200T-3-26

更改/Mt|

▼(4H用理

大小

所指190OWB

nTfflBaSW大小90XBB

大小-MM

大小15S1WB

<±-

32，大小470OOflB

Qn?u*G?大小2<?B

"5大小68W

序I-F?xPriat?r

國J*v.2Kw><i?*Iwirond.SEvl42」2大小IXOWB

?；Ii<r?i?ftMfit*Ut?I<i>ti??2003大小IM00?

3aicrosoftSSLSET2000大小612W

(2安裝IAS后，進入IAS配置界面

(3右鍵點擊RADIUS客戶端，選擇新建RADIUS客戶端。名稱可任意填寫，客戶端地址

為驗證交換機的管理地址(即所有接入層啟用802.1X的交換機的管理舊有多少個就要建多

少個RADIUS客戶端，這里只以一個作為例子。，點擊下一步。

XOOBfcttC?JEiQ)

||MOI

|TT如>]0n1

(4選擇RADIUSStandard,共享機密為交換機中所配置的key。點擊完成。

(5右鍵點擊遠程訪問策略，單擊新建遠程訪問策略。

?尊?■?e

a-應(yīng)由(34位

(6為策略取一個名字，點擊下一步

(7選擇以太網(wǎng)，點擊下一步

(8選擇用戶，點擊下一步

“一由Bl?電茂

(9使用MD5質(zhì)詢，點擊下一步，并完成。

MSXS1??)ag)

,?E)芭?O0

U<?vrrti

」M。m

,閔tg*?

(10在右面板中右鍵點擊所新建的策略，選擇屬性。

★Re〉■?en”

A-應(yīng)由(34位

X?Q"2

SF

一i與加同E>

7BUtSiiM

一謖HS，?M

(11點擊添加，選擇Day-And-Time-Restrictions

(12選擇添加，選擇允許，單擊確定。

-MM<n?

」防6*??

U2SJ

常足年!》^。》通6岳杵.

二

三|岔

r己岳健m

三

「宏夫Sd訪河dJ?/)

5jt?利

(13刪除NAS-Port-Type匹配"Ethernet",并選擇授予訪問權(quán)限

就證*烏冰地）

,JRADIUS客戶端

」運程訪問記錄

電限8訪問第峪

+_j連瘙法求處理

（14啟用本地安全策略——安全設(shè)置——賬戶策略——密碼策略——用可還原的加

密來儲存密碼。（注意:這步一定要在新建遠程登錄用戶前完成!

7本，安金諛置

文件更）愫作Q）查看W）幫助QP

a■?囪的x囪曲（§m

》安全設(shè)置

53幡戶策略蜀密媽必須符合復雜性要求已禁用

_3密碼策略翎笠碼長度量小值0個字符

?:_3帳戶領(lǐng)定策略題空碼最長使用期限42天

?3本地策略鐲密碼最短使用期限0天

土,j公朝策略翎強制密碼歷史__________0個記住的密碼

□軟件跟制策略

V用可還原的加史來it存笠嗎巳月用

王尊"安全策略，在本地計宜機

（15添加遠程登錄用戶。在本地用戶和組中新建一個用戶,該用戶名和密碼要與先前的

802.1X認證策略中輸入的用戶名和密碼對應(yīng)起來。（注意:添加遠程登錄用戶時，必2頁在IAS

配置完之后再添加。

三本地安全看置

文件9條作?查看9幫助卸

8T鹵囿>鹵自傍回

)安全設(shè)置策昵/?安全設(shè)置

E_a快尸策阻翎密碼必筑衿合復汆性要求已禁用

_3密嗎策略閾史碼長度最小僮0個字符

+n俅戶被定集”明生地最快使用卿<2天

>a本地策略翎更碼最是使用期跟0天

?□公忸策略匐修利空碼歷史0個記住的密碼

?_j軟件限制策喑

?<口安全策略，在本儲】十苴林

(16右鍵點擊新建的用戶，進入屬性，選擇隸屬于，刪除默認的USERS組

患在

遠程控制I續(xù)陶R球置文件|撥入

常現(xiàn)求展于|配?文件|環(huán)境|合法

忝加/)...[二：￥。)|

確定|取一|應(yīng)用Q)

(17點擊撥入，設(shè)置為允許訪問

(18IAS配置完成，確保InternetAuthenticationService服務(wù)處于啟動狀態(tài)。

(19VRVEDPAgent認趣功。(手工認證的圖

從radius服務(wù)器的配置

如果需要從(備份radius服務(wù)器的活，還需要在主radius服務(wù)器上設(shè)置主從radius服

務(wù)器，具體配置如下:

(1進入主radius服務(wù)器的IAS控制臺

--uam■**■)>Exl

Qfl*?vai>?tiqp▲1CJEJ

a，由面QEid

(2新建遠程RADIUS服務(wù)器組

(3指定主服務(wù)器與備份服務(wù)器IP地址，在土服務(wù)器配置即可。

注意:從radius服務(wù)器其他配置與主radius服務(wù)器配置相同。

配置完以上各個服務(wù)器、交換機和客戶端后,802.1x接入認證模塊就配置

完畢了。

三、802.1X認證應(yīng)用注冊事項

實施準備階段需要注意的問題

1.根據(jù)華能瀾滄江水電有限公司內(nèi)網(wǎng)的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖，決定radius服務(wù)器、

以及注冊程序下載服務(wù)器安放的位置。建議將以上服務(wù)器都安裝在主交換機上，這樣

對管轄網(wǎng)絡(luò)范圍所有終端,都可以根據(jù)需要開啟對其的802.1X認證,從而方便管理員的管

理。

2.需要配備備份（從radius服務(wù)器，備份radius服務(wù)器與主radius服務(wù)器

配置相同。當主radius服務(wù)器出現(xiàn)故障無法正常工作時，終端可以通過備份radius服

務(wù)器實現(xiàn)正認證功能，避免發(fā)生由于主radius服務(wù)器發(fā)生故障導致網(wǎng)絡(luò)內(nèi)終端無法接入認

證的情況。

3.確保要開啟802.1X認證功能的交換機都支持802.1X認證，根據(jù)網(wǎng)絡(luò)拓撲結(jié)

構(gòu),明確管理網(wǎng)絡(luò)范圍內(nèi)需要對哪些終端進行802.1X認證,哪些重要服務(wù)器及無法進行

認證的設(shè)備（如網(wǎng)絡(luò)打印機等不需要進行802.1X,明確這些設(shè)備具體接在交換機的哪些端口

上，匯總整理后編寫出《需開啟認證交換機端口列表》的文檔，方便日后的實施工作。

實施階段需要注意的問題

1.實施80

2.1X是一項比較復雜而且工作量較大的工程，在實施前應(yīng)制定出詳細

的實施計劃，在實施過程中按照實施計劃開展實施工作。建議實施計劃分為四個步驟：

第一步，先架設(shè)好radius服務(wù)器及注冊程序下載服務(wù)器,然后在小范圍內(nèi)進行測試;

第二步，選定某一樓層，按照之前準備好的《實施終端情況表》在該樓層的某一部門或

辦公室的接入層交換機上開啟802.1X認證，在該部門或辦公室實施完畢后進行測試測試成

功后，再在該樓層其他部門或辦公室交換機上實施802.1X；

第三步，根據(jù)第二步實施的步驟，按樓層逐步在各部門或辦公室的交換機上實施802.1X；

第四步，在各樓層實施完畢后,進行大范圍的測試。

分步驟實施能避免由于實施過程中的錯誤造成大面積終端無法認證或不

能連接內(nèi)網(wǎng)的情況出現(xiàn)降低實施的風險,最大限度的減少實施802.1X對正常工作的影

響。

2.每臺交換機的工作區(qū)VLAN上要預留一個非認證端口作為該交換機與上層交

換機的通信端口,保證每臺交換機能與radius服務(wù)器正常通信。

3在交換機上配置802.1X之前，最好先將802.1X認證策略下發(fā)下去。

4.在配置交換機時，最好是一個一個的開啟端口的802.1X認證功能。

5.在實