802.1X網絡部署架構

在IEEE 802.1X-2001與802.1X-2004的標準定義中，說明了提供以端口為主（portbased）的安全驗證機制，而這一項安全保護機制便是針對企業中的有線與無線網絡的聯機而來。在一個802.1X部署架構中主要由三個組件所構成，如圖1所示分別說明如下：

1.聯機要求客戶端

當有客戶端在受保護的網絡環境中需要聯機存取時，此計算機便需要以802.1X的支持聯機方式先行聯機到通行驗證器。

2.通行驗證器

這里所謂的通行驗證器，指的便是以有線方式連接的網絡交換器，或是以無線聯機方式的無線基地臺（AP），無論如何兩者都必須支持802.1x的組態配置功能。

3.驗證服務器

當欲聯機存取網絡的客戶端剛連接到通行驗證器時，通行驗證器必須與一部驗證服務器來確認此客戶端計算機是否合法，而這一部驗證服務器一般所指的就是RADIUS主機（Remote Authentication Dial-In User Service），而 它 門 之間的通訊方式便是透過延伸的驗證協議（EAP，Extensible Authentication Protocol）， 無論驗證結果如何RADIUS主機都會將訊息回報給通行驗證器，再由通行驗證器決定是否給予完成基本的聯機。

圖1 802.1x運作組件

針對802.1X的驗證處理方式，是藉由EAP over LAN（EAPoL）的組件來負責處理通行驗證器與聯機要求客戶端之間的通訊內容。

在802.1x的隔離驗證控管的網絡架構中，無論是Windows Server 2012還 是Windows Server 2008所提供的網絡原則服務器角色（NPS，Network Policy Server），皆取代了原有在Windows Server 2003中的網際網絡驗證服務（IAS，Internet Authentication Service），透過此角色來同樣提供網絡交換器或無線基地臺RADIUS聯機的驗證服務，讓不合法的客戶端聯機自動被隔離到另一個特定的VLAN網絡中，或是透過IP篩選器（IP Filter）封鎖掉所能夠存取的網絡資源，或是直接斷除實體的網絡聯機，直到客戶端計算機下一次重新插上網絡線時再進行健康原則的檢查與比對。

在接下來的NAP與801.x網絡交換器設備整合部署實作中，筆者將以一個Cisco 3560G型號的設備來作為范例解說。在這個測試的架構規劃中，在服務器部份您可以準備兩部Windows Server 2008服務器，一部擔任網絡原則服務器（NPS），一部則擔任域控制器（DC）、DNS服務器、CA憑證服務器以及DHCP服務器，當然啦！在測試環境中您也可以將這一些服務器角色全部都塞在同一部Windows Server 2008服務器上。

在測試的NAP客戶端規劃部分，建議您可以準備一部Windows 7(或Vista)以及一部Windows XP Professional SP3計算機，并且都登入到相同的網域環境中。至于CISCO的網絡組態配置部分，基本上可以規劃出三個虛擬區域網絡（VLAN）來進行這項測試計劃，分別說明如下：

VLAN1：預 設NAP客戶端連接的網絡（例如：192.168.2.0）。

VLAN2：當NAP客戶端被偵測到不符合安全規定，所會被丟到的網絡隔離區段（例如 ：192.168.3.0）。

VLAN3：當NAP客戶端被偵測到完全符合安全規定，所會被移動到的合法網絡區段（例如：192.168.4.0），來存取所有可被聯機存取的網絡資源，因此所有公司合法的網絡資源可以都置放在這個網絡區段中，例如：檔案服務器、企業入口網站、電子郵件服務器、ERP系統等等。

在VLAN的規劃上在此還要進一步說明，那就是VLAN2與VLAN3請透過ACLs的設定來讓這兩個網絡無法相互存取，而VLAN1的網絡中則必須至少提供域控制器（DC）、DNS服務器、DHCP服務器、網絡原則服務器（NPS）的聯機，在此筆者讓所有的服務器服務都使用Windows Server 2008的版本，并且也將必要的網域等級設定為Windows Server 2003。

有關于在VLAN1網絡中所要建立的DHCP服務器角色，在此筆者特別提出來說明一下幾個重點。我們可以透過[服務器管理員]接口中點選[新增角色]，來安裝DHCP服務器，并且在安裝設定的過程中，在[新增或編輯DHCP領域]的頁面中時，就可以直接來將三個測試用IP網段的VLAN先規劃出來，其中在名稱部分便可以依序設定為VLAN1、VLAN2、VLAN3。