|
全网AC准入测试分享(802.1X)
一、前言 1、技术原理--略,大家可以看相关配置指导原理部分。 2、测试背景: 随着国家越来越重视网络安全,对网络安全需求越来越高,客户希望可以加强内网接入管控,不希望出现随便把网线插网口就可以访问内网的现象,目前外网上网认证无法满足客户需求,同时对不能进行准入认证的哑终端例如打印机、摄像头之类能直接放通。 3、给用户带来的价值: a)拦截不合法接入设备对内网终端或者服务器进行访问,减少网络风险。 b)拦截不合法接入设备,减少不合法接入设备导致的网络资源挤占、内网安全的问题。 c)对非法共享接入(例如私接无线路由器)进行限制。 4、给用户运维或者实施带来的困扰 a)认证客户端安装工作量过大或者运维量大,冗余被病毒破坏或者杀毒软件破坏,认证时需要选择正确的客户端,如果用户存在多网卡使用情况,则需要手动切换。 b)始终无法解决认证用户的安全问题(后续可以集成EDR客户端解决)。 c)对于哑终端,则需要人工审批,这里增加工作量。 d)每个新用户都要创建用户,这里增加工作量。 e)新增或者替换接入交换机时,需要配置.1x认证的相关配置; f)配置量过大,每个接入交换机都要配置,版本不同有些命令不一定支持,而且客户可能有多个品牌,则要针对不同品牌的交换机用不同命令,实施比较复杂。
二、配置过程 2.1 AC配置部分 a)网关模式配置--略 b)开启802.1X认证,认证端口默认为1812,计费端口默认为18*3,同时设置秘钥为san**,认证服务器选择为本地密码。
c)在用户管理里,新建好本地用户并设置好密码。
d)配置好跨三层mac识别。
2.2 交换机配置部分,详见本文最后部分
2.3 测试效果 a)认证助手装好后,认证成功
b)在线用户列表为802.1X认证,可以上网。
c)认证成功后可以ping通内网服务器,断开认证后,无法访问。
d)在联动交换机可以看到配置了802.1X认证的交换机在线
2.4 客户端部署 a)客户端部署分两种方式,一种是通过域控推送静默安装包,一个是手动安装。 b)看说明书是说客户端在安装后,接到做了.1X认证的接口就会自动在桌面生产认证助手的快捷方式,目前看没有。 2.5注意事项 a)认证客户端需要手动安装,安装程序在AC管理页面下载。 b)哑终端需要手动审批,根据mac地址做绑定免认证,因此需要在交换机做snmp并开启mac-bypass功能。 c)认证助手在进行认证时,确保网卡没选错,否则会提示认证超时。 d)不是每个交换机都支持802.1X认证,需要了解清楚。 e)如果开了802.1X认证的接口下再另接交换机,下面交换机没配802.1X,那么这个交换机下接的未准入认证的设备都可以互相访问,除非访问的流量经过了802.1X认证接口,那么就需要做认证才可以访问。
附1:交换机配置 配置思路: 1.创建aaa方案并配置认证方式和计费方式为radius 2.创建并配置radius服务器模板的各项参数 3.创建认证域并在其上绑定aaa认证方案和计费方案与radius服务器模板 4.配置全局默认域 5.配置接口开启802.1X认证
步骤1:创建aaa方案并配置认证方式和计费方式为radius aaa authentication-scheme nhwsj authentication-mode radius accounting-scheme nhwsj accounting-mode radius
步骤2:创建并配置radius服务器模板的各项参数 radius-server template rd1 radius-server shared-key cipher sangfor2020 //这里要跟AC配置的802.1X共享秘钥要一致 radius-server authentication 192.168.202.253 1812 radius-server accounting 192.168.202.253 1813
步骤3:创建认证域并在其上绑定aaa认证方案和计费方案与radius服务器模板 aaa domain nhwsjnac authentication-scheme nhwsj accounting-scheme nhwsj radius-server rd1
步骤4:配置全局默认域 domain nhwsjnac
步骤5:配置为EAP模式 dot1x-access-profile name m1 dot1x authentication-method eap //确保认证方式为eap,不然全网AC是不支持的
步骤6:配置统一模式 authentication-profile name p1 dot1x-access-profile m1 authentication mode multi-authen max-user 100 access-domain nhwsjnac force
步骤7:配置接口开启802.1X认证 interface GigabitEthernet0/0/14 authentication-profile p1
步骤8:配置snmp,AC通过snmp获取终端mac snmp-agent snmp-agent community read cipher sangfor2020 snmp-agent sys-info version all
配置MAC旁路认证(哑终端的免认证是基于MAC旁路认证的) 步骤1:MAC接入模板 [HUAWEI] mac-access-profile name map1 步骤2:802.1X接入模板 [HUAWEI] dot1x-access-profile name m1 步骤3:认证模板 [HUAWEI] authentication-profile name p1 [HUAWEI-authen-profile-p1] mac-access-profile map1 [HUAWEI-authen-profile-p1] dot1x-access-profile m1 [HUAWEI-authen-profile-p1] authentication dot1x-mac-bypass [HUAWEI-authen-profile-p1] quit
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2020-3-26 16:15
发表于 2020-3-23 08:23
技术员3级 
