网络接入行业常用方案现代IT网络为了保证网络资源的安全,拒绝非法入侵,总是需要一定的网络接入方案,而目前业界常用的网络接入方案包括:今天为大家介绍的802.1X+FreeRadius+LDAP网络接入方案,避免了上述方案的不足。是一套低成本、控制能力强、符合行业标准的网络接入。认证体系。什么是802.1X?802.1x协议是一种基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过访问端口访问局域网/无线局域网。在获得交换机或LAN提供的各种服务之前,802.1x会对连接到交换机或AP的设备进行身份验证。在认证通过之前,802.1x只允许EAPoL(ExtensibleAuthenticationProtocolforLAN)数据通过连接到设备的交换机端口;认证通过后,正常数据可以顺利通过以太网口。部署结构本方案的部署包括客户端、接入网、证书和账户系统。客户端:可以是Windows、OSX和移动端。目前Windows和OSX均支持802.1x协议,移动端还支持企业级WPA(支持用户名密码),并集成RADIUS服务;接入网:只支持802.1x和Radius的交换机和无线AP,因为802.1x是已经被普遍支持的行业标准,所以目前几乎所有主流的交换机和AP都可以支持;演示及账号系统:一个Radius服务器(本案例使用FreeRadius),一个提供账号管理的数据库(本案例使用LDAP服务器),同时支持在LDAP服务器中设置和发送VLAN和ACL信息。方案优势统一配置:对于运维人员来说,减少网络管理和维护工作,通过LDAP统一管理账号。安全可靠:实现二层网络用户认证,结合端口、账号、VLAN、密码;绑定技术安全性和实时性高;更灵活:无需绑定mac,与客户端无关,使用用户名密码认证后即可上网。用户可以支持多终端,手机、笔记本、台式机登录,都可以分配到相应的VLAN和ACL,避免了VLAN规划的调整。符合标准:802.1x属于IEEE标准,与以太网标准同源,可实现与以太网技术的无缝结合。几乎所有主流数据设备厂商都在其设备上提供了该功能,包括路由器、交换机和无线AP。协议支持。在客户端,微软操作系统内置了支持,Linux也提供了对协议的支持。用户审计:结合radius的记账功能,还可以实现用户在线审计,在线时间统计。该方案的缺点是需要部署认证和账号系统:目前很多单位都有自己的账号系统,只需要开启LDAP支持,安装FreeRadius即可。首次访问网络需要一些配置:幸好配置后,后续访问可以实现自动登录。同时,即使配置失败,设备也可以支持“临时访客VLAN”,提供基本的网络通信功能。重点配置1.部署认证服务器FreeRadius服务器和LDAP服务器(本文从略)。2.在网络设备上启用802.1X认证和认证服务器RADIUS的配置。本文以H3C网络设备为例。第一步:H3C进入特权模式后,启用802.1X认证协议和认证方式,命令如下:dot1xdot1xauthentication-methodeap步骤二:配置认证服务器RADIUS,命令如下:radiusschemedemoprimaryauthenticationIP//radiusserverIPprimaryaccountingIP//radiusserverIPkeyauthenticationcipherpassword//radiusserverauthenticationpasswordkeyaccountingcipherpassword//radiusserveraccountingpassworduser-name-formatwithout-domain第三步:配置3A认证,最好every两种身份验证都已启用。我们在配置过程中没有配置计费认证。结果,认证总是失败。命令如下:domainsystemauthenticationlan-accessradius-schemedemoauthorizationlan-accessradius-schemedemoaccountinglan-accessradius-schemedemoaccess-limitdisablestateactiveidle-cutdisableself-service-urldisable步骤四:启用802.1X认证在端口上,命令如下:interfaceGigabitEthernet1/0/10dot1xguest-vlanID//如果认证失败,下发guestVLANundodot1xhandshake//这个握手协议要关闭,以免windows认证后断开dot1xport-methodportbaseddot1xidle-cutdisableself-service-urldisable终端接入效果下面以win7有线网络接入为例进行说明。第一步:插入网线,点击网络连接右下角弹出提示。如下图:Step2:在弹出的对话框中,输入用户名的LDAP账号和密码,如下图:Step3:认证成功后,如图下面,上网就是这么简单!
