×

【7月1日-技术盲盒】全网行为管理802.1X认证原理与配置
  

胡辰硕 43762人觉得有帮助

{{ttag.title}}
前言
之前遇到一个有关全网行为管理的802.1X认证的项目,其中处理了不少的问题,对目前全网行为管理的802.1X功能理解的比较透彻。希望大家后面再使用全网行为管理做802.1X认证项目的时候少走些弯路。


802.1X认证简介
802.1X协议是一种基于端口的网络接入控制协议。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级验证用户身份并控制其访问权限。

802.1X认证优点
1802.1X协议为二层协议,不需要到达三层,对接入设备的整体性能要求不高,可以有效降低建网成本。
2认证报文和数据报文通过逻辑接口分离,提高安全性。
3、相比portal认证,802.1X认证更加的安全,未通过认证也无法进行局域网内部互访。

802.1X认证系统
802.1X系统为典型的Client/Server结构,包括三个实体:客户端、接入设备和认证服务器。

1客户端一般为一个用户终端设备,用户可以通过启动客户端软件发起802.1X认证。客户端必须支持局域网上的可扩展认证协议EAPoLExtensible Authentication Protocol over LANs)。
2接入设备通常为支持802.1X协议的网络设备,它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口。
3认证服务器用于实现对用户进行认证、授权和计费,通常为RADIUS服务器。

注意:在有关802.1x项目中全网行为管理充当的角色就是认证服务器。

802.1X 认证报文交互流程
802.1X系统支持EAP中继方式和EAP终结方式与远端RADIUS服务器交互完成认证。

注意:深信服全网行为管理采用的EAP中继方式的完成认证
EAP中继方式报文交互流程

全网行为802.1X认证适用场景
客户需求:内网需要强管控(不经过认证无法访问局域网)
环境要求:接入交换支持做802.1x相关的配置(如果无法在接入交换机上做配置,那就不如用portal做认证)。目前只能针对Windows操作系统做802.1x认证,如果有信创电脑需要客户端可以等AC13.0.82发布,linux或者无法认证的需要做统计后放入访客VLAN或者做IP/MAC绑定。
部署模式:无要求,旁路部署、网桥部署、路由部署都行。
推荐部署的场景:标准的三层网络,核心交换-接入交换-PCAC串接在中间也可以。
当然也可以把接入交换机换成无线交换机,道理也是一样的。
推荐部署的场景

全网行为802.1X部署时注意事项:
1、终端电脑到接入交换机中报文交互使用的是组播,如果中间存在无法传输组播的网络设备,则会导致认证超时。
2、如果客户是新建网络,接入交换机到终端电脑可以基于VLAN创建几个区域,分别为Guest VLANRestrict VLANCritical VLAN等,可以实现如下功能。(需要了解客户网络环境)
Guest VLAN:设备允许用户在未进行802.1X认证的情况下即可访问Guest VLAN中的资源,比如获取客户端软件,升级客户端或执行其他一些用户升级程序。
Restrict VLAN:在设备接口上配置Restrict VLAN。之后,用户在认证失败时将被加入Restrict VLAN进而能够访问Restrict VLAN中的资源。
Critical VLAN:配置Critical VLAN功能之后,在接入设备与认证服务器之间的网络或者认证服务器出现故障时,802.1X认证用户将被加入Critical VLAN进而能够访问Critical VLAN中的资源。
3、客户网络环境没有规划Guest VLANRestrict VLANCritical VLAN,这种情况的哑终端(无法进行802.1x认证的终端,例如网络打印机、摄像头之类的设备)就需要进行放通,推荐的方式就是在交换机上做IP/MAC绑定。
4、逃生方式:如果有AD域的情况可以依赖域进行逃生,其他情况目前全网行为802.1X还是没有有效的逃生方式的,逃生依赖交换机的Guest VLAN
PS:如果有在做相关802.1x项目的可以找我要一个定制插件。模仿的华三的802.1X逃生模块,用一台linux服务器作为备用802.1X认证服务器,主802.1X认证服务器挂掉后,输入任何用户名密码均可以正常上线。
5、进行全网行为管理的配置时,需要开启portal认证,如果设置的是免认证,全网行为管理控制台会有用户长期在线的情况。也需要统计下哑终端的IP,在全局排除里面添加一下,不然可能导致无法上网。
全网行为802.1X部署:
深信服全网行为管理(版本13.0.47
Portal认证建议开起来。但是一定要注意哑终端!!

接入认证需要配置和交换机对接的密码。
认证方式自行选择。

准入客户端portal802.1x认证一定要开起来,然后准入客户端自动上线也需要打开。
准入客户端找网关一定要设置好网关地址,也就是认证服务器的地址(AC认证网口地址)。

如果AC获取客户端的流量跨了三层,并且想做终端检查就一定要开启跨三层取mac功能和snmpmac功能。尽量都开启,效果会更好。(如果没有终端检查也最好打开这个功能)

强制注销功能建议开启,但是这块需要和交换机做联动,由于实际控制用户能否上网的是交换机,所以只是打勾是不生效的,各个厂家的配置也不同。

客户交换机配置(以华三交换机为例):
#step1: 配置radius 服务器信息
<H3C>system-view                                                                                                                                                 #系统视图        
[H3C]radius  scheme sangfor_rd                                                                                                                        #创建radius方案并进入其视图
[H3C-radius-sangfor_rd]primary authentication 10.100.102.2 1812                                  #配置服务器ip地址与端口
[H3C-radius-sangfor_rd]key authentication 123456                                                                #配置认证共享秘钥
[H3C-radius-sangfor_rd]primary accounting 10.100.102.2 1813                                #配置计费服务器IP与端口
[H3C-radius-sangfor_rd]key accounting 123456                                                                        #配置计费共享秘钥

[H3C-radius-sangfor_rd]user-name-format without-domain                                 #发送给服务器的用户名不带域名
[H3C-radius-sangfor_rd]quit

#step3  配置ISP域:        
[H3C]domain sangfor_AD                                                                                                                #创建域test并进入视图
        
[H3C-isp-sangfor_AD]authentication lan-access radius-scheme sangfor_rd            #配置802.1x用户使用radius方案进行认证,授权
[H3C-isp-sangfor_AD]authorization lan-access radius-scheme sangfor_rd
[H3C-isp-sangfor_AD]accounting lan-access radius-scheme sangfor_rd                        #配置计费方案为test_radius
[H3C-isp-sangfor_AD]quit

#指定全局默认域, 全局默认域只能配置一个多次配置会被覆盖
[H3C]domain default enable sangfor_AD                                                        #指定缺省isp域
[H3C]dot1x authentication-method eap                                                         #开启eap中继模式

#step4  全局开启802.1x
[H3C]dot1x                                                        #开启全局 802.1x特性

#step5  端口下配置802.1x        
[H3C]interface GigabitEthernet 1/0/1                                        #开启指定端口 GigabitEthernet1/0/1的802.1x特性
[H3C-GigabitEthernet1/0/1]dot1x
[H3C-GigabitEthernet1/0/1]dot1x port-method macbased
[H3C-GigabitEthernet1/0/1]dot1x mandatory-domain sangfor_AD   #配置端口802.1x认证强制使用的认证域,如果不配则使用全局默认域
[H3C-GigabitEthernet1/0/1]quit

也有交换机配置命令小工具,应该是总部开发的,包含华三,华为,思科的命令:
见附件。。

78718667ac54ede765.png (425.93 KB, 下载次数: 93)

78718667ac54ede765.png

21475667ac5b0bf139.png (51.79 KB, 下载次数: 86)

21475667ac5b0bf139.png

交换机工具2.0.zip

913.59 KB, 下载次数: 8

打赏鼓励作者,期待更多好文!

打赏
32人已打赏

牛风喜 发表于 2024-6-26 09:21
  
全网行为管理802.1X认证,每日一积累慢慢变专家
思贤 发表于 2024-6-26 09:29
  
每日一积累慢慢变专家
傲世ღ万物 发表于 2024-6-26 11:03
  
全网行为管理802.1X认证,每日一积累慢慢变专家
平凡的小网工 发表于 2024-6-26 11:16
  
多谢分享,有助于工作,步骤很清晰。
何茂源 发表于 2024-6-26 13:08
  
感谢分享,有助于工资和学习!
何东升 发表于 2024-6-26 13:18
  
感谢分享,有助于工资和学习!
zjwshenxian 发表于 2024-6-26 15:59
  
全网行为管理802.1X认证,每日一积累慢慢变专家
新手612152 发表于 2024-6-26 20:10
  
一起来学习,一起来学习
司马缸砸了光 发表于 2024-6-26 20:22
  
一起来学习,一起来学习
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
自助服务平台操作指引
排障那些事
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

0
2
1

发帖

粉丝

关注

38
7
5

发帖

粉丝

关注

5
3
4

发帖

粉丝

关注

47
4
1

发帖

粉丝

关注

1
4
0

发帖

粉丝

关注

0
0
0

发帖

粉丝

关注

本版达人