802.1X網(wǎng)絡(luò)部署架構(gòu)

在IEEE 802.1X-2001與802.1X-2004的標(biāo)準(zhǔn)定義中，說明了提供以端口為主（portbased）的安全驗(yàn)證機(jī)制，而這一項(xiàng)安全保護(hù)機(jī)制便是針對企業(yè)中的有線與無線網(wǎng)絡(luò)的聯(lián)機(jī)而來。在一個(gè)802.1X部署架構(gòu)中主要由三個(gè)組件所構(gòu)成，如圖1所示分別說明如下：

1.聯(lián)機(jī)要求客戶端

當(dāng)有客戶端在受保護(hù)的網(wǎng)絡(luò)環(huán)境中需要聯(lián)機(jī)存取時(shí)，此計(jì)算機(jī)便需要以802.1X的支持聯(lián)機(jī)方式先行聯(lián)機(jī)到通行驗(yàn)證器。

2.通行驗(yàn)證器

這里所謂的通行驗(yàn)證器，指的便是以有線方式連接的網(wǎng)絡(luò)交換器，或是以無線聯(lián)機(jī)方式的無線基地臺（AP），無論如何兩者都必須支持802.1x的組態(tài)配置功能。

3.驗(yàn)證服務(wù)器

當(dāng)欲聯(lián)機(jī)存取網(wǎng)絡(luò)的客戶端剛連接到通行驗(yàn)證器時(shí)，通行驗(yàn)證器必須與一部驗(yàn)證服務(wù)器來確認(rèn)此客戶端計(jì)算機(jī)是否合法，而這一部驗(yàn)證服務(wù)器一般所指的就是RADIUS主機(jī)（Remote Authentication Dial-In User Service），而 它 門 之間的通訊方式便是透過延伸的驗(yàn)證協(xié)議（EAP，Extensible Authentication Protocol）， 無論驗(yàn)證結(jié)果如何RADIUS主機(jī)都會(huì)將訊息回報(bào)給通行驗(yàn)證器，再由通行驗(yàn)證器決定是否給予完成基本的聯(lián)機(jī)。

圖1 802.1x運(yùn)作組件

針對802.1X的驗(yàn)證處理方式，是藉由EAP over LAN（EAPoL）的組件來負(fù)責(zé)處理通行驗(yàn)證器與聯(lián)機(jī)要求客戶端之間的通訊內(nèi)容。

在802.1x的隔離驗(yàn)證控管的網(wǎng)絡(luò)架構(gòu)中，無論是Windows Server 2012還 是Windows Server 2008所提供的網(wǎng)絡(luò)原則服務(wù)器角色（NPS，Network Policy Server），皆取代了原有在Windows Server 2003中的網(wǎng)際網(wǎng)絡(luò)驗(yàn)證服務(wù)（IAS，Internet Authentication Service），透過此角色來同樣提供網(wǎng)絡(luò)交換器或無線基地臺RADIUS聯(lián)機(jī)的驗(yàn)證服務(wù)，讓不合法的客戶端聯(lián)機(jī)自動(dòng)被隔離到另一個(gè)特定的VLAN網(wǎng)絡(luò)中，或是透過IP篩選器（IP Filter）封鎖掉所能夠存取的網(wǎng)絡(luò)資源，或是直接斷除實(shí)體的網(wǎng)絡(luò)聯(lián)機(jī)，直到客戶端計(jì)算機(jī)下一次重新插上網(wǎng)絡(luò)線時(shí)再進(jìn)行健康原則的檢查與比對。

在接下來的NAP與801.x網(wǎng)絡(luò)交換器設(shè)備整合部署實(shí)作中，筆者將以一個(gè)Cisco 3560G型號的設(shè)備來作為范例解說。在這個(gè)測試的架構(gòu)規(guī)劃中，在服務(wù)器部份您可以準(zhǔn)備兩部Windows Server 2008服務(wù)器，一部擔(dān)任網(wǎng)絡(luò)原則服務(wù)器（NPS），一部則擔(dān)任域控制器（DC）、DNS服務(wù)器、CA憑證服務(wù)器以及DHCP服務(wù)器，當(dāng)然啦！在測試環(huán)境中您也可以將這一些服務(wù)器角色全部都塞在同一部Windows Server 2008服務(wù)器上。

在測試的NAP客戶端規(guī)劃部分，建議您可以準(zhǔn)備一部Windows 7(或Vista)以及一部Windows XP Professional SP3計(jì)算機(jī)，并且都登入到相同的網(wǎng)域環(huán)境中。至于CISCO的網(wǎng)絡(luò)組態(tài)配置部分，基本上可以規(guī)劃出三個(gè)虛擬區(qū)域網(wǎng)絡(luò)（VLAN）來進(jìn)行這項(xiàng)測試計(jì)劃，分別說明如下：

VLAN1：預(yù) 設(shè)NAP客戶端連接的網(wǎng)絡(luò)（例如：192.168.2.0）。

VLAN2：當(dāng)NAP客戶端被偵測到不符合安全規(guī)定，所會(huì)被丟到的網(wǎng)絡(luò)隔離區(qū)段（例如 ：192.168.3.0）。

VLAN3：當(dāng)NAP客戶端被偵測到完全符合安全規(guī)定，所會(huì)被移動(dòng)到的合法網(wǎng)絡(luò)區(qū)段（例如：192.168.4.0），來存取所有可被聯(lián)機(jī)存取的網(wǎng)絡(luò)資源，因此所有公司合法的網(wǎng)絡(luò)資源可以都置放在這個(gè)網(wǎng)絡(luò)區(qū)段中，例如：檔案服務(wù)器、企業(yè)入口網(wǎng)站、電子郵件服務(wù)器、ERP系統(tǒng)等等。

在VLAN的規(guī)劃上在此還要進(jìn)一步說明，那就是VLAN2與VLAN3請透過ACLs的設(shè)定來讓這兩個(gè)網(wǎng)絡(luò)無法相互存取，而VLAN1的網(wǎng)絡(luò)中則必須至少提供域控制器（DC）、DNS服務(wù)器、DHCP服務(wù)器、網(wǎng)絡(luò)原則服務(wù)器（NPS）的聯(lián)機(jī)，在此筆者讓所有的服務(wù)器服務(wù)都使用Windows Server 2008的版本，并且也將必要的網(wǎng)域等級設(shè)定為Windows Server 2003。

有關(guān)于在VLAN1網(wǎng)絡(luò)中所要建立的DHCP服務(wù)器角色，在此筆者特別提出來說明一下幾個(gè)重點(diǎn)。我們可以透過[服務(wù)器管理員]接口中點(diǎn)選[新增角色]，來安裝DHCP服務(wù)器，并且在安裝設(shè)定的過程中，在[新增或編輯DHCP領(lǐng)域]的頁面中時(shí)，就可以直接來將三個(gè)測試用IP網(wǎng)段的VLAN先規(guī)劃出來，其中在名稱部分便可以依序設(shè)定為VLAN1、VLAN2、VLAN3。