基于dot1X認證的網(wǎng)絡接入部署方案

■ 山東廣播電視臺 周雁智 邱建朋 李巖

編者按：隨著網(wǎng)絡安全問題日益凸顯，接入安全越來越被重視，對接入終端進行認證是安全防護的第一道防線。本文主要講述通過部署Windows 2008 R2 RADIUS服務器和使用Windows自帶dot1X客戶端，實現(xiàn)dot1X接入認證，防止非授權用戶進入網(wǎng)絡。

dot1X是IEEE 802.1X的縮寫，是基于 Client/Server的訪問控制和認證協(xié)議。簡單地講，dot1X是一種認證技術，是對連接到交換機上的終端進行認證。

如果交換機開啟了dot1X認證，終端連接到交換機的接口上進行二層通信時首先要進行身份驗證，在通過認證之前只有認證消息和協(xié)議報文可以通過，其他訪問均被交換機拒絕。dot1X認證系統(tǒng)包括三個部分 ：客戶端（Client）、設備端（Device）和認證服務器（Server）。

客戶端：連接網(wǎng)絡的終端設備，本文使用Windows 7旗艦版系統(tǒng)的PC為例。

設備端：與客戶端連接的設備，對客戶端進行認證，比如交換機，本文使用H3C 5500交換機為例。

圖1 配置客戶端

認證服務器：為設備端提供認證服務的設備，本文使用Windows 2008 R2 RADIUS服務器為例。

dot1X認證過程這里就不再贅述，本文結合實際部署介紹客戶端、設備端與認證服務器的具體配置和注意事項。

配置客戶端

以Windows 7 旗艦版系統(tǒng)為例，設置如下：

第 一步：確認啟用Wired AutoConfig服務，該服務為有線自動配置(DOT3SVC)服務，負責對以太網(wǎng)接口執(zhí)行IEEE 802.1X身份驗證。

如果當前有線網(wǎng)絡部署強制執(zhí)行802.1X身份驗證，則應配置DOT3SVC服務運行以用于建立第2層連接性或用于提供對網(wǎng)絡資源的訪問權限。DOT3SVC服務會影響到強制執(zhí)行802.1X身份驗證的有線網(wǎng)絡。

第二步：打開“網(wǎng)絡和共享中心”，點擊“本地連接”，在彈出的選項頁單擊“屬性”，選擇“身份驗證”選項卡，勾選“啟用IEEE802.1X身份驗證”。點擊“設置”，去掉驗證服務器證書選項。打開“其他設置”，勾選“制定身份驗證模式”，選擇“用戶身份驗證”，點擊“確定”。設置完成，如圖1所示。

配置設備端

以H3C5500系列交換機為例，配置如下：

#開啟全局802.1X特性dot1x

#創(chuàng) 建RADIUS方 案radiusTest并進入其視圖

radiusschemeradiusTest

#配置主認證/計費RADIUS服務器的IP地址

primaryauthentication192.168.10.14

primary accounting 192.168.10.14

#配置共享密鑰為keyTest

key authentication cipher keyTest

timerresponsetimeout10

#配置發(fā)送給RADIUS服務器的用戶名不攜帶域名，是否攜帶域名需要綜合考慮服務器端的設置以及服務器端是否接受域名。

user-name-format without-domain

#配置發(fā)送RADIUS報文的源接口IP

圖2 交換機debug信息

nas-ip192.168.11.1(接入交換機的IP)

#創(chuàng)建域test并進入其視圖

domain test

#配置802.1X用戶使用RADIUS方案radiusTest進行認證、授權方法

authenticationdefaultradius-scheme radiusTest

authorization default radius-scheme radiusTest

#指定域test為缺省的域。如果用戶在登錄時沒有提供域名，系統(tǒng)將把用戶歸于缺省的域。

domain default enable test

#開啟指定端口GigabitEthernet1/0/5的802.1X特性

interface GigabitEthernet1/0/5

port link-mode bridge

port access vlan 10

dot1x

#關閉在線用戶握手功能，默認為開啟狀態(tài)。undo dot1x handshake#關閉默認組播觸發(fā)功能

undo dot1x multicasttrigger

#開啟單播觸發(fā)功能（默認為組播觸發(fā)功能）

dot1x unicast-trigger

在配置華三交換機的時候，接口下通過undo dot1x handshake命令，關閉在線用戶握手功能，終止客戶端后續(xù)發(fā)送的協(xié)商請求（?；钕ⅲ?。如不使用該命令，會出現(xiàn)客戶端PC與認證服務器握手失敗，導致認證不成功。

通過debugging radius packet命令查看交換機的debug信息發(fā)現(xiàn)Receive EAPOL-START but user has online. Authentication timeout，如圖2所示。這是因為認證成功后，客戶端仍發(fā)送認證協(xié)商報文。因為用戶已在線，本地連接身份驗證最終超時。

配置RADIUS服務

以Windows 2008 R2 Server操作系統(tǒng)為例，配置步驟如下：

第一步：安裝網(wǎng)絡策略服務

1.登錄Windows 2008 R2 Server操作系統(tǒng)，選擇“服務器管理器”中的“角色”點擊“添加角色”。

2.選擇“添加角色向導”點擊“開始之前”，進入“下一步”。

3.選擇“服務器角色”，勾選“網(wǎng)絡策略和訪問服務”，進入“下一步”。

4.選擇“網(wǎng)絡策略和訪問服務”，進入“下一步”。

5.選擇“角色服務”，勾選“網(wǎng)絡策略服務器”，進入“下一步”。

6.選擇“確認”，進入“安裝”，安裝完畢，點擊“關閉”。

第二步：建立賬戶及賬戶組

1.在桌面選擇“開始”進入“管理工具”內的“計算機管理”，選擇“本地用戶和組”進入“用戶”，右擊選擇“新用戶”。

2. 設置用戶名 ：test、密碼 ：123456，點擊“創(chuàng)建”。

3.右擊新建的用戶，選擇“屬性”，進入“撥入”選項卡，設置網(wǎng)絡訪問權限選擇為“允許訪問”，點擊“應用”再“確定”。

4.右擊“本地用戶和組”內的“組”，選擇“新建組”，設置 組 名 ：radiusTestGroup，在成員選項中點擊“添加”。

5.選擇用戶，將添加的用戶test添加到該組radiusTestGroup中，點 擊“創(chuàng)建”。

第三步：建立Radius服務器

1.在桌面選擇“開始”進入“管理工具”內的“網(wǎng)絡策略服務器”，選擇“用于撥號或VPN連接的RADIUS服務器”，點擊“配置VPN或撥號”。

2.設置連接類型為“撥號連接”，選擇“下一步”。

3.在“指定撥號或VPN服務器”選項中，點擊“添加”RADIUS客戶端。

4.在彈出的窗口中，“地址（IP或DNS）”一欄中輸入設備端的IP地址（此處為交換機發(fā)送RADIUS報文的源接口 IP ：192.168.11.1），設定共享機密（此處“共享機密”需同交換機中的“共享密鑰”相同，為 ：keyTest），點擊“確定”，進入“下一步”。

5.在“入配置身份驗證方法”中，勾選MS-CHAP、MSCHAP2兩種加密方式，進入“下一步”。

6.指定用戶組，點擊“添加”，在彈出的窗口中，點擊“高級”,再選擇“立即查找”，將之前建立的用戶組radiusTestGroup添加進來，然后點擊“確定”，進入“下一步”。

7.進入“IP篩選器”，點擊“下一步”，進入“指定加密設置”點擊“下一步”，進入“指定一個領域”名稱，添加域名稱test，選擇“下一步”，點擊“完成”。

通過以上配置，使用Windows 2008 R2 Server操作系統(tǒng)成功搭建Radius服務器，作為dot1X認證的外部認證服務器。

測試

配置交換機nas-ip與Radius服務器網(wǎng)絡可達，客戶端連接交換機的1/0/5口，在客戶端彈出的身份驗證窗口輸入用戶名、密碼。認證成功后即可訪問網(wǎng)絡，同時可以在交換機上查看到用戶登錄信息。