基于dot1X認(rèn)證的網(wǎng)絡(luò)接入部署方案

■ 山東廣播電視臺 周雁智 邱建朋 李巖

編者按：隨著網(wǎng)絡(luò)安全問題日益凸顯，接入安全越來越被重視，對接入終端進(jìn)行認(rèn)證是安全防護(hù)的第一道防線。本文主要講述通過部署Windows 2008 R2 RADIUS服務(wù)器和使用Windows自帶dot1X客戶端，實(shí)現(xiàn)dot1X接入認(rèn)證，防止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò)。

dot1X是IEEE 802.1X的縮寫，是基于 Client/Server的訪問控制和認(rèn)證協(xié)議。簡單地講，dot1X是一種認(rèn)證技術(shù)，是對連接到交換機(jī)上的終端進(jìn)行認(rèn)證。

如果交換機(jī)開啟了dot1X認(rèn)證，終端連接到交換機(jī)的接口上進(jìn)行二層通信時(shí)首先要進(jìn)行身份驗(yàn)證，在通過認(rèn)證之前只有認(rèn)證消息和協(xié)議報(bào)文可以通過，其他訪問均被交換機(jī)拒絕。dot1X認(rèn)證系統(tǒng)包括三個部分 ：客戶端（Client）、設(shè)備端（Device）和認(rèn)證服務(wù)器（Server）。

客戶端：連接網(wǎng)絡(luò)的終端設(shè)備，本文使用Windows 7旗艦版系統(tǒng)的PC為例。

設(shè)備端：與客戶端連接的設(shè)備，對客戶端進(jìn)行認(rèn)證，比如交換機(jī)，本文使用H3C 5500交換機(jī)為例。

圖1 配置客戶端

認(rèn)證服務(wù)器：為設(shè)備端提供認(rèn)證服務(wù)的設(shè)備，本文使用Windows 2008 R2 RADIUS服務(wù)器為例。

dot1X認(rèn)證過程這里就不再贅述，本文結(jié)合實(shí)際部署介紹客戶端、設(shè)備端與認(rèn)證服務(wù)器的具體配置和注意事項(xiàng)。

配置客戶端

以Windows 7 旗艦版系統(tǒng)為例，設(shè)置如下：

第 一步：確認(rèn)啟用Wired AutoConfig服務(wù)，該服務(wù)為有線自動配置(DOT3SVC)服務(wù)，負(fù)責(zé)對以太網(wǎng)接口執(zhí)行IEEE 802.1X身份驗(yàn)證。

如果當(dāng)前有線網(wǎng)絡(luò)部署強(qiáng)制執(zhí)行802.1X身份驗(yàn)證，則應(yīng)配置DOT3SVC服務(wù)運(yùn)行以用于建立第2層連接性或用于提供對網(wǎng)絡(luò)資源的訪問權(quán)限。DOT3SVC服務(wù)會影響到強(qiáng)制執(zhí)行802.1X身份驗(yàn)證的有線網(wǎng)絡(luò)。

第二步：打開“網(wǎng)絡(luò)和共享中心”，點(diǎn)擊“本地連接”，在彈出的選項(xiàng)頁單擊“屬性”，選擇“身份驗(yàn)證”選項(xiàng)卡，勾選“啟用IEEE802.1X身份驗(yàn)證”。點(diǎn)擊“設(shè)置”，去掉驗(yàn)證服務(wù)器證書選項(xiàng)。打開“其他設(shè)置”，勾選“制定身份驗(yàn)證模式”，選擇“用戶身份驗(yàn)證”，點(diǎn)擊“確定”。設(shè)置完成，如圖1所示。

配置設(shè)備端

以H3C5500系列交換機(jī)為例，配置如下：

#開啟全局802.1X特性dot1x

#創(chuàng) 建RADIUS方 案radiusTest并進(jìn)入其視圖

radiusschemeradiusTest

#配置主認(rèn)證/計(jì)費(fèi)RADIUS服務(wù)器的IP地址

primaryauthentication192.168.10.14

primary accounting 192.168.10.14

#配置共享密鑰為keyTest

key authentication cipher keyTest

timerresponsetimeout10

#配置發(fā)送給RADIUS服務(wù)器的用戶名不攜帶域名，是否攜帶域名需要綜合考慮服務(wù)器端的設(shè)置以及服務(wù)器端是否接受域名。

user-name-format without-domain

#配置發(fā)送RADIUS報(bào)文的源接口IP

圖2 交換機(jī)debug信息

nas-ip192.168.11.1(接入交換機(jī)的IP)

#創(chuàng)建域test并進(jìn)入其視圖

domain test

#配置802.1X用戶使用RADIUS方案radiusTest進(jìn)行認(rèn)證、授權(quán)方法

authenticationdefaultradius-scheme radiusTest

authorization default radius-scheme radiusTest

#指定域test為缺省的域。如果用戶在登錄時(shí)沒有提供域名，系統(tǒng)將把用戶歸于缺省的域。

domain default enable test

#開啟指定端口GigabitEthernet1/0/5的802.1X特性

interface GigabitEthernet1/0/5

port link-mode bridge

port access vlan 10

dot1x

#關(guān)閉在線用戶握手功能，默認(rèn)為開啟狀態(tài)。undo dot1x handshake#關(guān)閉默認(rèn)組播觸發(fā)功能

undo dot1x multicasttrigger

#開啟單播觸發(fā)功能（默認(rèn)為組播觸發(fā)功能）

dot1x unicast-trigger

在配置華三交換機(jī)的時(shí)候，接口下通過undo dot1x handshake命令，關(guān)閉在線用戶握手功能，終止客戶端后續(xù)發(fā)送的協(xié)商請求（保活消息）。如不使用該命令，會出現(xiàn)客戶端PC與認(rèn)證服務(wù)器握手失敗，導(dǎo)致認(rèn)證不成功。

通過debugging radius packet命令查看交換機(jī)的debug信息發(fā)現(xiàn)Receive EAPOL-START but user has online. Authentication timeout，如圖2所示。這是因?yàn)檎J(rèn)證成功后，客戶端仍發(fā)送認(rèn)證協(xié)商報(bào)文。因?yàn)橛脩粢言诰€，本地連接身份驗(yàn)證最終超時(shí)。

配置RADIUS服務(wù)

以Windows 2008 R2 Server操作系統(tǒng)為例，配置步驟如下：

第一步：安裝網(wǎng)絡(luò)策略服務(wù)

1.登錄Windows 2008 R2 Server操作系統(tǒng)，選擇“服務(wù)器管理器”中的“角色”點(diǎn)擊“添加角色”。

2.選擇“添加角色向?qū)А秉c(diǎn)擊“開始之前”，進(jìn)入“下一步”。

3.選擇“服務(wù)器角色”，勾選“網(wǎng)絡(luò)策略和訪問服務(wù)”，進(jìn)入“下一步”。

4.選擇“網(wǎng)絡(luò)策略和訪問服務(wù)”，進(jìn)入“下一步”。

5.選擇“角色服務(wù)”，勾選“網(wǎng)絡(luò)策略服務(wù)器”，進(jìn)入“下一步”。

6.選擇“確認(rèn)”，進(jìn)入“安裝”，安裝完畢，點(diǎn)擊“關(guān)閉”。

第二步：建立賬戶及賬戶組

1.在桌面選擇“開始”進(jìn)入“管理工具”內(nèi)的“計(jì)算機(jī)管理”，選擇“本地用戶和組”進(jìn)入“用戶”，右擊選擇“新用戶”。

2. 設(shè)置用戶名 ：test、密碼 ：123456，點(diǎn)擊“創(chuàng)建”。

3.右擊新建的用戶，選擇“屬性”，進(jìn)入“撥入”選項(xiàng)卡，設(shè)置網(wǎng)絡(luò)訪問權(quán)限選擇為“允許訪問”，點(diǎn)擊“應(yīng)用”再“確定”。

4.右擊“本地用戶和組”內(nèi)的“組”，選擇“新建組”，設(shè)置 組 名 ：radiusTestGroup，在成員選項(xiàng)中點(diǎn)擊“添加”。

5.選擇用戶，將添加的用戶test添加到該組radiusTestGroup中，點(diǎn) 擊“創(chuàng)建”。

第三步：建立Radius服務(wù)器

1.在桌面選擇“開始”進(jìn)入“管理工具”內(nèi)的“網(wǎng)絡(luò)策略服務(wù)器”，選擇“用于撥號或VPN連接的RADIUS服務(wù)器”，點(diǎn)擊“配置VPN或撥號”。

2.設(shè)置連接類型為“撥號連接”，選擇“下一步”。

3.在“指定撥號或VPN服務(wù)器”選項(xiàng)中，點(diǎn)擊“添加”RADIUS客戶端。

4.在彈出的窗口中，“地址（IP或DNS）”一欄中輸入設(shè)備端的IP地址（此處為交換機(jī)發(fā)送RADIUS報(bào)文的源接口 IP ：192.168.11.1），設(shè)定共享機(jī)密（此處“共享機(jī)密”需同交換機(jī)中的“共享密鑰”相同，為 ：keyTest），點(diǎn)擊“確定”，進(jìn)入“下一步”。

5.在“入配置身份驗(yàn)證方法”中，勾選MS-CHAP、MSCHAP2兩種加密方式，進(jìn)入“下一步”。

6.指定用戶組，點(diǎn)擊“添加”，在彈出的窗口中，點(diǎn)擊“高級”,再選擇“立即查找”，將之前建立的用戶組radiusTestGroup添加進(jìn)來，然后點(diǎn)擊“確定”，進(jìn)入“下一步”。

7.進(jìn)入“IP篩選器”，點(diǎn)擊“下一步”，進(jìn)入“指定加密設(shè)置”點(diǎn)擊“下一步”，進(jìn)入“指定一個領(lǐng)域”名稱，添加域名稱test，選擇“下一步”，點(diǎn)擊“完成”。

通過以上配置，使用Windows 2008 R2 Server操作系統(tǒng)成功搭建Radius服務(wù)器，作為dot1X認(rèn)證的外部認(rèn)證服務(wù)器。

測試

配置交換機(jī)nas-ip與Radius服務(wù)器網(wǎng)絡(luò)可達(dá)，客戶端連接交換機(jī)的1/0/5口，在客戶端彈出的身份驗(yàn)證窗口輸入用戶名、密碼。認(rèn)證成功后即可訪問網(wǎng)絡(luò)，同時(shí)可以在交換機(jī)上查看到用戶登錄信息。