■ 山東廣播電視臺(tái) 周雁智 邱建朋 李巖

編者按：隨著網(wǎng)絡(luò)安全問(wèn)題日益凸顯，接入安全越來(lái)越被重視，對(duì)接入終端進(jìn)行認(rèn)證是安全防護(hù)的第一道防線(xiàn)。本文主要講述通過(guò)部署Windows 2008 R2 RADIUS服務(wù)器和使用Windows自帶dot1X客戶(hù)端，實(shí)現(xiàn)dot1X接入認(rèn)證，防止非授權(quán)用戶(hù)進(jìn)入網(wǎng)絡(luò)。

dot1X是IEEE 802.1X的縮寫(xiě)，是基于 Client/Server的訪(fǎng)問(wèn)控制和認(rèn)證協(xié)議。簡(jiǎn)單地講，dot1X是一種認(rèn)證技術(shù)，是對(duì)連接到交換機(jī)上的終端進(jìn)行認(rèn)證。

如果交換機(jī)開(kāi)啟了dot1X認(rèn)證，終端連接到交換機(jī)的接口上進(jìn)行二層通信時(shí)首先要進(jìn)行身份驗(yàn)證，在通過(guò)認(rèn)證之前只有認(rèn)證消息和協(xié)議報(bào)文可以通過(guò)，其他訪(fǎng)問(wèn)均被交換機(jī)拒絕。dot1X認(rèn)證系統(tǒng)包括三個(gè)部分 ：客戶(hù)端（Client）、設(shè)備端（Device）和認(rèn)證服務(wù)器（Server）。

客戶(hù)端：連接網(wǎng)絡(luò)的終端設(shè)備，本文使用Windows 7旗艦版系統(tǒng)的PC為例。

設(shè)備端：與客戶(hù)端連接的設(shè)備，對(duì)客戶(hù)端進(jìn)行認(rèn)證，比如交換機(jī)，本文使用H3C 5500交換機(jī)為例。

圖1 配置客戶(hù)端

認(rèn)證服務(wù)器：為設(shè)備端提供認(rèn)證服務(wù)的設(shè)備，本文使用Windows 2008 R2 RADIUS服務(wù)器為例。

dot1X認(rèn)證過(guò)程這里就不再贅述，本文結(jié)合實(shí)際部署介紹客戶(hù)端、設(shè)備端與認(rèn)證服務(wù)器的具體配置和注意事項(xiàng)。

配置客戶(hù)端

以Windows 7 旗艦版系統(tǒng)為例，設(shè)置如下：

第 一步：確認(rèn)啟用Wired AutoConfig服務(wù)，該服務(wù)為有線(xiàn)自動(dòng)配置(DOT3SVC)服務(wù)，負(fù)責(zé)對(duì)以太網(wǎng)接口執(zhí)行IEEE 802.1X身份驗(yàn)證。

如果當(dāng)前有線(xiàn)網(wǎng)絡(luò)部署強(qiáng)制執(zhí)行802.1X身份驗(yàn)證，則應(yīng)配置DOT3SVC服務(wù)運(yùn)行以用于建立第2層連接性或用于提供對(duì)網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)權(quán)限。DOT3SVC服務(wù)會(huì)影響到強(qiáng)制執(zhí)行802.1X身份驗(yàn)證的有線(xiàn)網(wǎng)絡(luò)。

第二步：打開(kāi)“網(wǎng)絡(luò)和共享中心”，點(diǎn)擊“本地連接”，在彈出的選項(xiàng)頁(yè)單擊“屬性”，選擇“身份驗(yàn)證”選項(xiàng)卡，勾選“啟用IEEE802.1X身份驗(yàn)證”。點(diǎn)擊“設(shè)置”，去掉驗(yàn)證服務(wù)器證書(shū)選項(xiàng)。打開(kāi)“其他設(shè)置”，勾選“制定身份驗(yàn)證模式”，選擇“用戶(hù)身份驗(yàn)證”，點(diǎn)擊“確定”。設(shè)置完成，如圖1所示。

配置設(shè)備端

以H3C5500系列交換機(jī)為例，配置如下：

#開(kāi)啟全局802.1X特性dot1x

#創(chuàng) 建RADIUS方 案radiusTest并進(jìn)入其視圖

radiusschemeradiusTest

#配置主認(rèn)證/計(jì)費(fèi)RADIUS服務(wù)器的IP地址

primaryauthentication192.168.10.14

primary accounting 192.168.10.14

#配置共享密鑰為keyTest

key authentication cipher keyTest

timerresponsetimeout10

#配置發(fā)送給RADIUS服務(wù)器的用戶(hù)名不攜帶域名，是否攜帶域名需要綜合考慮服務(wù)器端的設(shè)置以及服務(wù)器端是否接受域名。

user-name-format without-domain

#配置發(fā)送RADIUS報(bào)文的源接口IP

圖2 交換機(jī)debug信息

nas-ip192.168.11.1(接入交換機(jī)的IP)

#創(chuàng)建域test并進(jìn)入其視圖

domain test

#配置802.1X用戶(hù)使用RADIUS方案radiusTest進(jìn)行認(rèn)證、授權(quán)方法

authenticationdefaultradius-scheme radiusTest

authorization default radius-scheme radiusTest

#指定域test為缺省的域。如果用戶(hù)在登錄時(shí)沒(méi)有提供域名，系統(tǒng)將把用戶(hù)歸于缺省的域。

domain default enable test

#開(kāi)啟指定端口GigabitEthernet1/0/5的802.1X特性

interface GigabitEthernet1/0/5

port link-mode bridge

port access vlan 10

dot1x

#關(guān)閉在線(xiàn)用戶(hù)握手功能，默認(rèn)為開(kāi)啟狀態(tài)。undo dot1x handshake#關(guān)閉默認(rèn)組播觸發(fā)功能

undo dot1x multicasttrigger

#開(kāi)啟單播觸發(fā)功能（默認(rèn)為組播觸發(fā)功能）

dot1x unicast-trigger

在配置華三交換機(jī)的時(shí)候，接口下通過(guò)undo dot1x handshake命令，關(guān)閉在線(xiàn)用戶(hù)握手功能，終止客戶(hù)端后續(xù)發(fā)送的協(xié)商請(qǐng)求（保活消息）。如不使用該命令，會(huì)出現(xiàn)客戶(hù)端PC與認(rèn)證服務(wù)器握手失敗，導(dǎo)致認(rèn)證不成功。

通過(guò)debugging radius packet命令查看交換機(jī)的debug信息發(fā)現(xiàn)Receive EAPOL-START but user has online. Authentication timeout，如圖2所示。這是因?yàn)檎J(rèn)證成功后，客戶(hù)端仍發(fā)送認(rèn)證協(xié)商報(bào)文。因?yàn)橛脩?hù)已在線(xiàn)，本地連接身份驗(yàn)證最終超時(shí)。

配置RADIUS服務(wù)

以Windows 2008 R2 Server操作系統(tǒng)為例，配置步驟如下：

第一步：安裝網(wǎng)絡(luò)策略服務(wù)

1.登錄Windows 2008 R2 Server操作系統(tǒng)，選擇“服務(wù)器管理器”中的“角色”點(diǎn)擊“添加角色”。

2.選擇“添加角色向?qū)А秉c(diǎn)擊“開(kāi)始之前”，進(jìn)入“下一步”。

3.選擇“服務(wù)器角色”，勾選“網(wǎng)絡(luò)策略和訪(fǎng)問(wèn)服務(wù)”，進(jìn)入“下一步”。

4.選擇“網(wǎng)絡(luò)策略和訪(fǎng)問(wèn)服務(wù)”，進(jìn)入“下一步”。

5.選擇“角色服務(wù)”，勾選“網(wǎng)絡(luò)策略服務(wù)器”，進(jìn)入“下一步”。

6.選擇“確認(rèn)”，進(jìn)入“安裝”，安裝完畢，點(diǎn)擊“關(guān)閉”。

第二步：建立賬戶(hù)及賬戶(hù)組

1.在桌面選擇“開(kāi)始”進(jìn)入“管理工具”內(nèi)的“計(jì)算機(jī)管理”，選擇“本地用戶(hù)和組”進(jìn)入“用戶(hù)”，右擊選擇“新用戶(hù)”。

2. 設(shè)置用戶(hù)名 ：test、密碼 ：123456，點(diǎn)擊“創(chuàng)建”。

3.右擊新建的用戶(hù)，選擇“屬性”，進(jìn)入“撥入”選項(xiàng)卡，設(shè)置網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限選擇為“允許訪(fǎng)問(wèn)”，點(diǎn)擊“應(yīng)用”再“確定”。

4.右擊“本地用戶(hù)和組”內(nèi)的“組”，選擇“新建組”，設(shè)置 組 名 ：radiusTestGroup，在成員選項(xiàng)中點(diǎn)擊“添加”。

5.選擇用戶(hù)，將添加的用戶(hù)test添加到該組radiusTestGroup中，點(diǎn) 擊“創(chuàng)建”。

第三步：建立Radius服務(wù)器

1.在桌面選擇“開(kāi)始”進(jìn)入“管理工具”內(nèi)的“網(wǎng)絡(luò)策略服務(wù)器”，選擇“用于撥號(hào)或VPN連接的RADIUS服務(wù)器”，點(diǎn)擊“配置VPN或撥號(hào)”。

2.設(shè)置連接類(lèi)型為“撥號(hào)連接”，選擇“下一步”。

3.在“指定撥號(hào)或VPN服務(wù)器”選項(xiàng)中，點(diǎn)擊“添加”RADIUS客戶(hù)端。

4.在彈出的窗口中，“地址（IP或DNS）”一欄中輸入設(shè)備端的IP地址（此處為交換機(jī)發(fā)送RADIUS報(bào)文的源接口 IP ：192.168.11.1），設(shè)定共享機(jī)密（此處“共享機(jī)密”需同交換機(jī)中的“共享密鑰”相同，為 ：keyTest），點(diǎn)擊“確定”，進(jìn)入“下一步”。

5.在“入配置身份驗(yàn)證方法”中，勾選MS-CHAP、MSCHAP2兩種加密方式，進(jìn)入“下一步”。

6.指定用戶(hù)組，點(diǎn)擊“添加”，在彈出的窗口中，點(diǎn)擊“高級(jí)”,再選擇“立即查找”，將之前建立的用戶(hù)組radiusTestGroup添加進(jìn)來(lái)，然后點(diǎn)擊“確定”，進(jìn)入“下一步”。

7.進(jìn)入“IP篩選器”，點(diǎn)擊“下一步”，進(jìn)入“指定加密設(shè)置”點(diǎn)擊“下一步”，進(jìn)入“指定一個(gè)領(lǐng)域”名稱(chēng)，添加域名稱(chēng)test，選擇“下一步”，點(diǎn)擊“完成”。

通過(guò)以上配置，使用Windows 2008 R2 Server操作系統(tǒng)成功搭建Radius服務(wù)器，作為dot1X認(rèn)證的外部認(rèn)證服務(wù)器。

測(cè)試

配置交換機(jī)nas-ip與Radius服務(wù)器網(wǎng)絡(luò)可達(dá)，客戶(hù)端連接交換機(jī)的1/0/5口，在客戶(hù)端彈出的身份驗(yàn)證窗口輸入用戶(hù)名、密碼。認(rèn)證成功后即可訪(fǎng)問(wèn)網(wǎng)絡(luò)，同時(shí)可以在交換機(jī)上查看到用戶(hù)登錄信息。