|
前言 之前遇到一个有关全网行为管理的802.1X认证的项目,其中处理了不少的问题,对目前全网行为管理的802.1X功能理解的比较透彻。希望大家后面再使用全网行为管理做802.1X认证项目的时候少走些弯路。
802.1X认证简介 802.1X协议是一种基于端口的网络接入控制协议。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级验证用户身份并控制其访问权限。
802.1X认证优点 1、802.1X协议为二层协议,不需要到达三层,对接入设备的整体性能要求不高,可以有效降低建网成本。 2、认证报文和数据报文通过逻辑接口分离,提高安全性。 3、相比portal认证,802.1X认证更加的安全,未通过认证也无法进行局域网内部互访。
802.1X认证系统 802.1X系统为典型的Client/Server结构,包括三个实体:客户端、接入设备和认证服务器。
1、客户端一般为一个用户终端设备,用户可以通过启动客户端软件发起802.1X认证。客户端必须支持局域网上的可扩展认证协议EAPoL(Extensible Authentication Protocol over LANs)。 2、接入设备通常为支持802.1X协议的网络设备,它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口。 3、认证服务器用于实现对用户进行认证、授权和计费,通常为RADIUS服务器。
注意:在有关802.1x项目中全网行为管理充当的角色就是认证服务器。
802.1X 认证报文交互流程 802.1X系统支持EAP中继方式和EAP终结方式与远端RADIUS服务器交互完成认证。
注意:深信服全网行为管理采用的EAP中继方式的完成认证 EAP中继方式报文交互流程
全网行为802.1X认证适用场景 客户需求:内网需要强管控(不经过认证无法访问局域网) 环境要求:接入交换支持做802.1x相关的配置(如果无法在接入交换机上做配置,那就不如用portal做认证)。目前只能针对Windows操作系统做802.1x认证,如果有信创电脑需要客户端可以等AC13.0.82发布,linux或者无法认证的需要做统计后放入访客VLAN或者做IP/MAC绑定。 部署模式:无要求,旁路部署、网桥部署、路由部署都行。 推荐部署的场景:标准的三层网络,核心交换-接入交换-PC,AC串接在中间也可以。 当然也可以把接入交换机换成无线交换机,道理也是一样的。 推荐部署的场景
全网行为802.1X部署时注意事项: 1、终端电脑到接入交换机中报文交互使用的是组播,如果中间存在无法传输组播的网络设备,则会导致认证超时。 2、如果客户是新建网络,接入交换机到终端电脑可以基于VLAN创建几个区域,分别为Guest VLAN、Restrict VLAN、Critical VLAN等,可以实现如下功能。(需要了解客户网络环境) Guest VLAN:设备允许用户在未进行802.1X认证的情况下即可访问Guest VLAN中的资源,比如获取客户端软件,升级客户端或执行其他一些用户升级程序。 Restrict VLAN:在设备接口上配置Restrict VLAN。之后,用户在认证失败时将被加入Restrict VLAN进而能够访问Restrict VLAN中的资源。 Critical VLAN:配置Critical VLAN功能之后,在接入设备与认证服务器之间的网络或者认证服务器出现故障时,802.1X认证用户将被加入Critical VLAN进而能够访问Critical VLAN中的资源。 3、客户网络环境没有规划Guest VLAN、Restrict VLAN、Critical VLAN,这种情况的哑终端(无法进行802.1x认证的终端,例如网络打印机、摄像头之类的设备)就需要进行放通,推荐的方式就是在交换机上做IP/MAC绑定。 4、逃生方式:如果有AD域的情况可以依赖域进行逃生,其他情况目前全网行为802.1X还是没有有效的逃生方式的,逃生依赖交换机的Guest VLAN。 PS:如果有在做相关802.1x项目的可以找我要一个定制插件。模仿的华三的802.1X逃生模块,用一台linux服务器作为备用802.1X认证服务器,主802.1X认证服务器挂掉后,输入任何用户名密码均可以正常上线。 5、进行全网行为管理的配置时,需要开启portal认证,如果设置的是免认证,全网行为管理控制台会有用户长期在线的情况。也需要统计下哑终端的IP,在全局排除里面添加一下,不然可能导致无法上网。 全网行为802.1X部署: 深信服全网行为管理(版本13.0.47) Portal认证建议开起来。但是一定要注意哑终端!!
接入认证需要配置和交换机对接的密码。 认证方式自行选择。
准入客户端portal和802.1x认证一定要开起来,然后准入客户端自动上线也需要打开。
准入客户端找网关一定要设置好网关地址,也就是认证服务器的地址(AC认证网口地址)。
如果AC获取客户端的流量跨了三层,并且想做终端检查就一定要开启跨三层取mac功能和snmp取mac功能。尽量都开启,效果会更好。(如果没有终端检查也最好打开这个功能)
强制注销功能建议开启,但是这块需要和交换机做联动,由于实际控制用户能否上网的是交换机,所以只是打勾是不生效的,各个厂家的配置也不同。
客户交换机配置(以华三交换机为例): #step1: 配置radius 服务器信息 <H3C>system-view #系统视图 [H3C]radius scheme sangfor_rd #创建radius方案并进入其视图 [H3C-radius-sangfor_rd]primary authentication 10.100.102.2 1812 #配置服务器ip地址与端口 [H3C-radius-sangfor_rd]key authentication 123456 #配置认证共享秘钥 [H3C-radius-sangfor_rd]primary accounting 10.100.102.2 1813 #配置计费服务器IP与端口 [H3C-radius-sangfor_rd]key accounting 123456 #配置计费共享秘钥
[H3C-radius-sangfor_rd]user-name-format without-domain #发送给服务器的用户名不带域名 [H3C-radius-sangfor_rd]quit
#step3 配置ISP域: [H3C]domain sangfor_AD #创建域test并进入视图 [H3C-isp-sangfor_AD]authentication lan-access radius-scheme sangfor_rd #配置802.1x用户使用radius方案进行认证,授权 [H3C-isp-sangfor_AD]authorization lan-access radius-scheme sangfor_rd [H3C-isp-sangfor_AD]accounting lan-access radius-scheme sangfor_rd #配置计费方案为test_radius [H3C-isp-sangfor_AD]quit
#指定全局默认域, 全局默认域只能配置一个多次配置会被覆盖 [H3C]domain default enable sangfor_AD #指定缺省isp域 [H3C]dot1x authentication-method eap #开启eap中继模式
#step4 全局开启802.1x [H3C]dot1x #开启全局 802.1x特性
#step5 端口下配置802.1x [H3C]interface GigabitEthernet 1/0/1 #开启指定端口 GigabitEthernet1/0/1的802.1x特性 [H3C-GigabitEthernet1/0/1]dot1x [H3C-GigabitEthernet1/0/1]dot1x port-method macbased [H3C-GigabitEthernet1/0/1]dot1x mandatory-domain sangfor_AD #配置端口802.1x认证强制使用的认证域,如果不配则使用全局默认域 [H3C-GigabitEthernet1/0/1]quit
也有交换机配置命令小工具,应该是总部开发的,包含华三,华为,思科的命令:
见附件。。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2024-6-26 09:21
技术员3级 
