網(wǎng)絡(luò)準(zhǔn)入業(yè)界常用方案

為了保證網(wǎng)絡(luò)資源的安全，拒絕非法入侵，現(xiàn)代IT網(wǎng)絡(luò)總需要一定的網(wǎng)絡(luò)準(zhǔn)入方案，而目前業(yè)界常用的網(wǎng)絡(luò)準(zhǔn)入方案有：

而今天給大家介紹的802.1X+FreeRadius+LDAP網(wǎng)絡(luò)準(zhǔn)入方案，則避免了上述方案中的缺點(diǎn)，是一套低成本，控制能力強(qiáng)，符合行業(yè)標(biāo)準(zhǔn)的一套網(wǎng)絡(luò)準(zhǔn)入認(rèn)證體系。

什么是802.1X

802.1x協(xié)議是基于Client/Server的訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口(access port)訪問LAN/WLAN。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前，802.1x對(duì)連接到交換機(jī)或AP上的設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過之前，802.1x只允許EAPoL（基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議）數(shù)據(jù)通過設(shè)備連接的交換機(jī)端口；認(rèn)證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。

部署結(jié)構(gòu)

該方案的部署包括客戶端、接入網(wǎng)絡(luò)、論證與帳戶系統(tǒng)。

客戶端：可以是Windows、OSX與移動(dòng)終端。目前Windows與OSX均支持802.1x協(xié)議，并且移動(dòng)端也支持企業(yè)級(jí)WPA（支持用戶名與密碼）并與RADIUS服務(wù)集成；

接入網(wǎng)絡(luò)：支持802.1x與Radius的交換機(jī)與無線AP即可，由于802.1x是一個(gè)已經(jīng)普遍支持的行業(yè)標(biāo)準(zhǔn)，所以目前幾乎所有主流的交換機(jī)與AP都可以支持；

論證與帳戶系統(tǒng)：一個(gè)Radius服務(wù)器（本案例使用FreeRadius），與提供帳戶管理的數(shù)據(jù)庫（本案例使用LDAP服務(wù)器），同時(shí)也支持在LDAP服務(wù)器中設(shè)置下發(fā)VLAN與ACL信息。

方案優(yōu)點(diǎn)

統(tǒng)一配置：對(duì)于運(yùn)維人員來說減少網(wǎng)絡(luò)管理維護(hù)工作，通過LDAP統(tǒng)一帳戶管理。

安全可靠：在二層網(wǎng)絡(luò)上實(shí)現(xiàn)用戶認(rèn)證，結(jié)合端口、賬戶、VLAN和密碼等；綁定技術(shù)具有很高的安全性與實(shí)時(shí)性；

更靈活：不需要綁定mac、與客戶端無關(guān)，使用用戶名與密碼認(rèn)證就可以接入網(wǎng)絡(luò)，用戶可以支持多個(gè)終端，在手機(jī)、筆記本、臺(tái)式機(jī)上登錄，都可以分配到對(duì)應(yīng)的VLAN與ACL，避免VLAN規(guī)劃的調(diào)整。

符合標(biāo)準(zhǔn)：802.1x屬于IEEE標(biāo)準(zhǔn)，和以太網(wǎng)標(biāo)準(zhǔn)同源，可以實(shí)現(xiàn)和以太網(wǎng)技術(shù)的無縫融合，幾乎所有的主流數(shù)據(jù)設(shè)備廠商在其設(shè)備，包括路由器、交換機(jī)和無線AP上都提供對(duì)該協(xié)議的支持。在客戶端方面微軟操作系統(tǒng)內(nèi)置支持，Linux也提供了對(duì)該協(xié)議的支持。

用戶審計(jì)：結(jié)合radius的計(jì)費(fèi)功能，還可以實(shí)現(xiàn)用戶的在線的審計(jì)、在線時(shí)長(zhǎng)的統(tǒng)計(jì)。

方案缺點(diǎn)

需要部署認(rèn)證與帳戶系統(tǒng)：目前很多單位都已有自己的帳戶系統(tǒng)，只需要啟動(dòng)LDAP支持，安裝FreeRadius即可。

首次接入網(wǎng)絡(luò)需要一些配置：好在配置后，后續(xù)接入就可以實(shí)現(xiàn)自動(dòng)登錄。同時(shí)即使配置失敗，設(shè)備也可以支持一個(gè)“臨時(shí)訪客VLAN”，以提供基礎(chǔ)的網(wǎng)絡(luò)通信功能。

關(guān)鍵配置

1. 部署認(rèn)證服務(wù)器FreeRadius服務(wù)器和LDAP服務(wù)器（本文略）。

2. 在網(wǎng)絡(luò)設(shè)備設(shè)備上開啟802.1X認(rèn)證和認(rèn)證服務(wù)器RADIUS的配置，本文以H3C網(wǎng)絡(luò)設(shè)備為例。

第一步：H3C進(jìn)入特權(quán)模式后，開啟802.1X認(rèn)證協(xié)議和認(rèn)證方式，命令如下：

dot1x

dot1x authentication-method eap

第二步：與認(rèn)證服務(wù)器RADIUS的配置，命令如下：

radius scheme demo

primary authentication IP //radius服務(wù)器的IP

primary accounting IP //radius服務(wù)器的IP

key authentication cipher 密碼 //radius服務(wù)器認(rèn)證密碼

key accounting cipher密碼 //radius服務(wù)器計(jì)費(fèi)密碼

user-name-format without-domain

第三步：配置3A認(rèn)證，最好是每個(gè)認(rèn)證都開啟，我們?cè)谂渲眠^程中沒有配置計(jì)費(fèi)認(rèn)證，結(jié)果導(dǎo)致認(rèn)證總是失敗，命令如下：

domain system   

authentication lan-access radius-scheme demo

authorization lan-access radius-scheme demo

accounting lan-access radius-scheme demo

access-limit disable

state active   

idle-cut disable

self-service-url disable

第四步：開啟端口的802.1X的認(rèn)證，命令如下：

interface GigabitEthernet1/0/10

dot1x guest-vlan ID //認(rèn)證失敗下發(fā)一個(gè)guest VLAN

undo dot1x handshake //這個(gè)握手協(xié)議要關(guān)閉，避免windows認(rèn)證一段時(shí)間后又會(huì)掉線，要求重連

dot1x port-method portbased

dot1x    

idle-cut disable

self-service-url disable

終端接入效果

下面以win7有線網(wǎng)絡(luò)的接入為例進(jìn)行說明。

第一步：插入網(wǎng)線，點(diǎn)擊右下角網(wǎng)絡(luò)連接處彈出的提示。如下圖所示：

第二步：在彈出的對(duì)話框中，用戶名輸入LDAP帳號(hào)和密碼，如下圖所示：

第三步：認(rèn)證成功后如下圖所示，入網(wǎng)就是這么so easy！