项目需求: 最近公司为了加强 网络内部安全,,用户电脑在接入网络的时候,需要通过用户名、密码的方式验证用户是否合法,只有拥有正确的用户名、密码的用户才能访问研发网络,同时检查防病毒软件是否升级最新病毒库和提交电脑资产。
解决方法: 通过NAC安全解决方案中的802.1x认证从接入网络的终端安全控制入手,将终端安全状况和网络准入控制结合在一起,通过检查、隔离、加固和审计等手段,加强网络用户终端的主动防御能力,保证企业中每个终端的安全性,进而保护企业整网的安全性。
实施方案: 办公用户必须通过dot1x认证才能接入网络。部署两台AAA服务器作为冗余, 详细需求如下: · 802.1X基本认证:PC使用使用客户端完成802.1X认证。 · radius服务器冗余:使用双radius服务器
网络拓扑:
配置步骤:
全局: 上面端口配置是基于统一模式配置,需要确定设备的版本
对应xx设备配置 # radius-server template radius radius-server shared-key cipher x.x.x.x//此shared-key一定要和服务器添加设备时配置radius服务器一致 radius-server authentication x.x.x.x 1812 weight 80 radius-server accounting x.x.x.x 1813 weight 80 radius-server authentication x.x.x.x1812 weight 50 radius-server accounting x.x.x.x 1813 weight 50 # aaa authentication-scheme default authentication-scheme radius authorization-scheme default accounting-scheme default accounting-mode radius accounting start-fail online domain default//如果配置了自定义域,在自定义域下绑定认证计费及服务器模板,全局通过domain xxx修改默认域 authentication-scheme default accounting-scheme default radius-server radius # interface GigabitEthernet0/0/1 port link-type access port default vlan 11//VLAN ID根据现网需求具体部署,如果需要下发动态VLAN信息,把接口改为hybrid类型 authentication dot1x dot1x reauthenticate dot1x authentication-method eap #//
[size=13.3333px] | 
发表于 2018-8-20 09:27
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师2级