亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于dot1X認(rèn)證的網(wǎng)絡(luò)接入部署方案

        2018-11-22 06:09:58山東廣播電視臺(tái)周雁智邱建朋李巖
        網(wǎng)絡(luò)安全和信息化 2018年11期
        關(guān)鍵詞:身份驗(yàn)證域名交換機(jī)

        ■ 山東廣播電視臺(tái) 周雁智 邱建朋 李巖

        編者按:隨著網(wǎng)絡(luò)安全問(wèn)題日益凸顯,接入安全越來(lái)越被重視,對(duì)接入終端進(jìn)行認(rèn)證是安全防護(hù)的第一道防線(xiàn)。本文主要講述通過(guò)部署Windows 2008 R2 RADIUS服務(wù)器和使用Windows自帶dot1X客戶(hù)端,實(shí)現(xiàn)dot1X接入認(rèn)證,防止非授權(quán)用戶(hù)進(jìn)入網(wǎng)絡(luò)。

        dot1X是IEEE 802.1X的縮寫(xiě),是基于 Client/Server的訪(fǎng)問(wèn)控制和認(rèn)證協(xié)議。簡(jiǎn)單地講,dot1X是一種認(rèn)證技術(shù),是對(duì)連接到交換機(jī)上的終端進(jìn)行認(rèn)證。

        如果交換機(jī)開(kāi)啟了dot1X認(rèn)證,終端連接到交換機(jī)的接口上進(jìn)行二層通信時(shí)首先要進(jìn)行身份驗(yàn)證,在通過(guò)認(rèn)證之前只有認(rèn)證消息和協(xié)議報(bào)文可以通過(guò),其他訪(fǎng)問(wèn)均被交換機(jī)拒絕。dot1X認(rèn)證系統(tǒng)包括三個(gè)部分 :客戶(hù)端(Client)、設(shè)備端(Device)和認(rèn)證服務(wù)器(Server)。

        客戶(hù)端:連接網(wǎng)絡(luò)的終端設(shè)備,本文使用Windows 7旗艦版系統(tǒng)的PC為例。

        設(shè)備端:與客戶(hù)端連接的設(shè)備,對(duì)客戶(hù)端進(jìn)行認(rèn)證,比如交換機(jī),本文使用H3C 5500交換機(jī)為例。

        圖1 配置客戶(hù)端

        認(rèn)證服務(wù)器:為設(shè)備端提供認(rèn)證服務(wù)的設(shè)備,本文使用Windows 2008 R2 RADIUS服務(wù)器為例。

        dot1X認(rèn)證過(guò)程這里就不再贅述,本文結(jié)合實(shí)際部署介紹客戶(hù)端、設(shè)備端與認(rèn)證服務(wù)器的具體配置和注意事項(xiàng)。

        配置客戶(hù)端

        以Windows 7 旗艦版系統(tǒng)為例,設(shè)置如下:

        第 一步:確認(rèn)啟用Wired AutoConfig服務(wù),該服務(wù)為有線(xiàn)自動(dòng)配置(DOT3SVC)服務(wù),負(fù)責(zé)對(duì)以太網(wǎng)接口執(zhí)行IEEE 802.1X身份驗(yàn)證。

        如果當(dāng)前有線(xiàn)網(wǎng)絡(luò)部署強(qiáng)制執(zhí)行802.1X身份驗(yàn)證,則應(yīng)配置DOT3SVC服務(wù)運(yùn)行以用于建立第2層連接性或用于提供對(duì)網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)權(quán)限。DOT3SVC服務(wù)會(huì)影響到強(qiáng)制執(zhí)行802.1X身份驗(yàn)證的有線(xiàn)網(wǎng)絡(luò)。

        第二步:打開(kāi)“網(wǎng)絡(luò)和共享中心”,點(diǎn)擊“本地連接”,在彈出的選項(xiàng)頁(yè)單擊“屬性”,選擇“身份驗(yàn)證”選項(xiàng)卡,勾選“啟用IEEE802.1X身份驗(yàn)證”。點(diǎn)擊“設(shè)置”,去掉驗(yàn)證服務(wù)器證書(shū)選項(xiàng)。打開(kāi)“其他設(shè)置”,勾選“制定身份驗(yàn)證模式”,選擇“用戶(hù)身份驗(yàn)證”,點(diǎn)擊“確定”。設(shè)置完成,如圖1所示。

        配置設(shè)備端

        以H3C5500系列交換機(jī)為例,配置如下:

        #開(kāi)啟全局802.1X特性dot1x

        #創(chuàng) 建RADIUS方 案radiusTest并進(jìn)入其視圖

        radiusschemeradiusTest

        #配置主認(rèn)證/計(jì)費(fèi)RADIUS服務(wù)器的IP地址

        primaryauthentication192.168.10.14

        primary accounting 192.168.10.14

        #配置共享密鑰為keyTest

        key authentication cipher keyTest

        timerresponsetimeout10

        #配置發(fā)送給RADIUS服務(wù)器的用戶(hù)名不攜帶域名,是否攜帶域名需要綜合考慮服務(wù)器端的設(shè)置以及服務(wù)器端是否接受域名。

        user-name-format without-domain

        #配置發(fā)送RADIUS報(bào)文的源接口IP

        圖2 交換機(jī)debug信息

        nas-ip192.168.11.1(接入交換機(jī)的IP)

        #創(chuàng)建域test并進(jìn)入其視圖

        domain test

        #配置802.1X用戶(hù)使用RADIUS方案radiusTest進(jìn)行認(rèn)證、授權(quán)方法

        authenticationdefaultradius-scheme radiusTest

        authorization default radius-scheme radiusTest

        #指定域test為缺省的域。如果用戶(hù)在登錄時(shí)沒(méi)有提供域名,系統(tǒng)將把用戶(hù)歸于缺省的域。

        domain default enable test

        #開(kāi)啟指定端口GigabitEthernet1/0/5的802.1X特性

        interface GigabitEthernet1/0/5

        port link-mode bridge

        port access vlan 10

        dot1x

        #關(guān)閉在線(xiàn)用戶(hù)握手功能,默認(rèn)為開(kāi)啟狀態(tài)。undo dot1x handshake#關(guān)閉默認(rèn)組播觸發(fā)功能

        undo dot1x multicasttrigger

        #開(kāi)啟單播觸發(fā)功能(默認(rèn)為組播觸發(fā)功能)

        dot1x unicast-trigger

        在配置華三交換機(jī)的時(shí)候,接口下通過(guò)undo dot1x handshake命令,關(guān)閉在線(xiàn)用戶(hù)握手功能,終止客戶(hù)端后續(xù)發(fā)送的協(xié)商請(qǐng)求(保活消息)。如不使用該命令,會(huì)出現(xiàn)客戶(hù)端PC與認(rèn)證服務(wù)器握手失敗,導(dǎo)致認(rèn)證不成功。

        通過(guò)debugging radius packet命令查看交換機(jī)的debug信息發(fā)現(xiàn)Receive EAPOL-START but user has online. Authentication timeout,如圖2所示。這是因?yàn)檎J(rèn)證成功后,客戶(hù)端仍發(fā)送認(rèn)證協(xié)商報(bào)文。因?yàn)橛脩?hù)已在線(xiàn),本地連接身份驗(yàn)證最終超時(shí)。

        配置RADIUS服務(wù)

        以Windows 2008 R2 Server操作系統(tǒng)為例,配置步驟如下:

        第一步:安裝網(wǎng)絡(luò)策略服務(wù)

        1.登錄Windows 2008 R2 Server操作系統(tǒng),選擇“服務(wù)器管理器”中的“角色”點(diǎn)擊“添加角色”。

        2.選擇“添加角色向?qū)А秉c(diǎn)擊“開(kāi)始之前”,進(jìn)入“下一步”。

        3.選擇“服務(wù)器角色”,勾選“網(wǎng)絡(luò)策略和訪(fǎng)問(wèn)服務(wù)”,進(jìn)入“下一步”。

        4.選擇“網(wǎng)絡(luò)策略和訪(fǎng)問(wèn)服務(wù)”,進(jìn)入“下一步”。

        5.選擇“角色服務(wù)”,勾選“網(wǎng)絡(luò)策略服務(wù)器”,進(jìn)入“下一步”。

        6.選擇“確認(rèn)”,進(jìn)入“安裝”,安裝完畢,點(diǎn)擊“關(guān)閉”。

        第二步:建立賬戶(hù)及賬戶(hù)組

        1.在桌面選擇“開(kāi)始”進(jìn)入“管理工具”內(nèi)的“計(jì)算機(jī)管理”,選擇“本地用戶(hù)和組”進(jìn)入“用戶(hù)”,右擊選擇“新用戶(hù)”。

        2. 設(shè)置用戶(hù)名 :test、密碼 :123456,點(diǎn)擊“創(chuàng)建”。

        3.右擊新建的用戶(hù),選擇“屬性”,進(jìn)入“撥入”選項(xiàng)卡,設(shè)置網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限選擇為“允許訪(fǎng)問(wèn)”,點(diǎn)擊“應(yīng)用”再“確定”。

        4.右擊“本地用戶(hù)和組”內(nèi)的“組”,選擇“新建組”,設(shè)置 組 名 :radiusTestGroup,在成員選項(xiàng)中點(diǎn)擊“添加”。

        5.選擇用戶(hù),將添加的用戶(hù)test添加到該組radiusTestGroup中,點(diǎn) 擊“創(chuàng)建”。

        第三步:建立Radius服務(wù)器

        1.在桌面選擇“開(kāi)始”進(jìn)入“管理工具”內(nèi)的“網(wǎng)絡(luò)策略服務(wù)器”,選擇“用于撥號(hào)或VPN連接的RADIUS服務(wù)器”,點(diǎn)擊“配置VPN或撥號(hào)”。

        2.設(shè)置連接類(lèi)型為“撥號(hào)連接”,選擇“下一步”。

        3.在“指定撥號(hào)或VPN服務(wù)器”選項(xiàng)中,點(diǎn)擊“添加”RADIUS客戶(hù)端。

        4.在彈出的窗口中,“地址(IP或DNS)”一欄中輸入設(shè)備端的IP地址(此處為交換機(jī)發(fā)送RADIUS報(bào)文的源接口 IP :192.168.11.1),設(shè)定共享機(jī)密(此處“共享機(jī)密”需同交換機(jī)中的“共享密鑰”相同,為 :keyTest),點(diǎn)擊“確定”,進(jìn)入“下一步”。

        5.在“入配置身份驗(yàn)證方法”中,勾選MS-CHAP、MSCHAP2兩種加密方式,進(jìn)入“下一步”。

        6.指定用戶(hù)組,點(diǎn)擊“添加”,在彈出的窗口中,點(diǎn)擊“高級(jí)”,再選擇“立即查找”,將之前建立的用戶(hù)組radiusTestGroup添加進(jìn)來(lái),然后點(diǎn)擊“確定”,進(jìn)入“下一步”。

        7.進(jìn)入“IP篩選器”,點(diǎn)擊“下一步”,進(jìn)入“指定加密設(shè)置”點(diǎn)擊“下一步”,進(jìn)入“指定一個(gè)領(lǐng)域”名稱(chēng),添加域名稱(chēng)test,選擇“下一步”,點(diǎn)擊“完成”。

        通過(guò)以上配置,使用Windows 2008 R2 Server操作系統(tǒng)成功搭建Radius服務(wù)器,作為dot1X認(rèn)證的外部認(rèn)證服務(wù)器。

        測(cè)試

        配置交換機(jī)nas-ip與Radius服務(wù)器網(wǎng)絡(luò)可達(dá),客戶(hù)端連接交換機(jī)的1/0/5口,在客戶(hù)端彈出的身份驗(yàn)證窗口輸入用戶(hù)名、密碼。認(rèn)證成功后即可訪(fǎng)問(wèn)網(wǎng)絡(luò),同時(shí)可以在交換機(jī)上查看到用戶(hù)登錄信息。

        猜你喜歡
        身份驗(yàn)證域名交換機(jī)
        修復(fù)損壞的交換機(jī)NOS
        如何購(gòu)買(mǎi)WordPress網(wǎng)站域名及綁定域名
        使用鏈路聚合進(jìn)行交換機(jī)互聯(lián)
        HID Global收購(gòu)Arjo Systems擴(kuò)大政府身份驗(yàn)證業(yè)務(wù)
        騰訊八百萬(wàn)美元收購(gòu)域名
        更安全的雙重密碼保護(hù)
        CHIP新電腦(2015年3期)2015-04-02 17:55:46
        PoE交換機(jī)雷擊浪涌防護(hù)設(shè)計(jì)
        羅克韋爾自動(dòng)化交換機(jī)Allen-Bradley ArmorStratix 5700
        身份驗(yàn)證中基于主動(dòng)外觀(guān)模型的手形匹配
        ASP.NET中的Forms身份驗(yàn)證的研究
        亚洲色偷偷综合亚洲avyp| 欧美—iGAO视频网| 国内国外日产一区二区| 亚洲人成综合第一网站| 久久久久亚洲av无码专区首jn| 亚洲精品第一页国产精品| 日韩精品有码在线视频| 日本一二三区免费在线| 久久久国产乱子伦精品作者| 97色伦图片97综合影院久久 | 精品粉嫩国产一区二区三区| 97超碰精品成人国产| 人妻哺乳奶头奶水| 香蕉视频在线观看国产| 亚洲一区精品一区在线观看| 中文字幕一区二区中文| 欧美精品videossex少妇| 伊人精品无码AV一区二区三区 | 午夜福利理论片在线观看| 国产女合集小岁9三部| 亚洲一二三四五区中文字幕| 激情五月我也去也色婷婷| 私人毛片免费高清影视院| 狠狠躁夜夜躁AV网站中文字幕| 男女后入式在线观看视频| www夜片内射视频在观看视频| 色视频www在线播放国产人成 | 亚洲天堂av免费在线| 久久无码潮喷a片无码高潮| 波多野结衣av手机在线观看 | 无码国产精品一区二区vr老人| 国产91第一页| 久久精品国产69国产精品亚洲| 无码人妻精品一区二区蜜桃网站| 亚洲色图视频在线| 亚洲大片一区二区三区四区| 九九综合va免费看| 人妻少妇av无码一区二区| 中文亚洲成a人片在线观看| 一本久道竹内纱里奈中文字幕| 精品国产一区av天美传媒|