返回
北信源桌面终端标准化管理系统基于802.1x协议的准入控制方案

北信源桌面终端标准化管理系统基于802.1x协议的准入控制方案

ID:41269613

大小:1.00 MB

页数:29页

时间:2019-08-20

北信源桌面终端标准化管理系统基于802.1x协议的准入控制方案_第1页
北信源桌面终端标准化管理系统基于802.1x协议的准入控制方案_第2页
北信源桌面终端标准化管理系统基于802.1x协议的准入控制方案_第3页
北信源桌面终端标准化管理系统基于802.1x协议的准入控制方案_第4页
北信源桌面终端标准化管理系统基于802.1x协议的准入控制方案_第5页
资源描述:

《北信源桌面终端标准化管理系统基于802.1x协议的准入控制方案》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、北信源桌面终端标准化管理系统基于802.1x协议的准入控制方案一、802.1x协议认证描述802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/MAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。网络访问技术的核心部分是PAE(端口访问实体)。在访问控制流程中,端口访问实体包含3部分:认证者--对接入的用户/设

2、备进行认证的端口;请求者--被认证的用户/设备;认证服务器--根据认证者的信息,对请求访问网络资源的用户/设备进行实际认证功能的设备。二、802.1x认证特点基于以太网端口认证的802.1x协议有如下特点:IEEE802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本;借用了在RAS系统中常用的EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容;802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能,从而可以实现业务与认证的分离,由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证

3、与控制,报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包;可以使用现有的后台认证系统降低部署的成本,并有丰富的支持;可以映射不同的用户认证等级到不同的VLAN;可以使交换端口和无线LAN具有安全的认证接入功能。三、802.1x应用环境及其配置a.一台安装IAS或者ACS的RADIUS认证服务器;b.一台安装VRVEDP服务器;c.一个应用可网管交换机的网络环境;1.RADIUS认证服务器配置如下:进入添加/删除程序中的添加/删除Windows组件,选择网络服务中的Internet验证服务2.安装IAS后,进入IAS配置界面3.右键点击

4、RADIUS客户端,选择新建RADIUS客户端。客户端地址为验证交换机的管理地址,点击下一步。4.选择RADIUSStandard,共享机密为交换机中所配置的key。点击完成。注:1、验证交换机可以填写多个,比如:有100个支持802.1X协议的接入层交换机,就需要执行100次步骤3与步骤4的动作,把100个交换机的地址与共享密码填写进去。2.此步骤是至关重要的第一步,一定要检查填写的共享密码与交换机的共享密码相同(这是思科交换机命令输入共享密码的命令:radius-serverhost192.168.0.136keyvrv;192.168.0.136为radius所在服务器地

5、址)。5.右键点击远程访问策略,单击新建远程访问策略。注:1.建立远程访问策略为了使进行跟交换机进行联动,这个策略的建立为以后的用户成功认证打下坚实的基础。2.这个策略一个公共策略,在一个网络中可能有几百个用户名密码进行认证,这个要按照步骤进行配置,不要填写用户名匹配,不然会只有一个匹配的用户能够认证通过。3.公司支持多种加密认证方式,在IAS中我们建议使用MD5加密算法来进行认证。6.为策略取一个名字,点击下一步7.选择以太网,点击下一步8.选择用户,点击下一步9.使用MD5质询,点击下一步,并完成。10.在右面板中右键点击所新建的策略,选择属性。11.点击添加,选择Day-

6、And-Time-Restrictions12.选择添加,选择允许,单击确定。13.删除NAS-Port-Type匹配”Ethernet”,并选择授予访问权限14.右键点击连接请求策略,选择新建连接请求策略。注:1.连接请求策略是与修复VLAN有关系的配置,如果在实施中没有设置修复VLAN,这一步骤可以不进行配置。2.连接请求策略中添加user-name与用户名匹配,公司客户端软件暂时只支持与repair这个用户名联动。如果不使用repair用户名匹配,客户端没有通过安检时也会跳入修复VLAN,但是在客户端不会提示已经进入修复VLAN。3.IAS中设置修复VLAN设置方法有几种

7、,建议使用文档中的操作方式。15.选择自定义策略,并为该策略取个名字16.策略状况选择添加Day-And-Time-Restrictions,配置方法同上。17.删除NAS-Port-Type匹配”Ethernet”,并选择授予访问权限18.点击添加,并选择user-name,点击添加19.这里repair是指repair子用户名(即需要跳转的子用户名字),点击确定并应用20.单击编辑配置文件,选择高级-------添加选择添加[64]Tunnel-Type:VLAN[65]Tunnel-M

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。