■ 山東廣播電視臺(tái) 周雁智 邱建朋 李巖
編者按:隨著網(wǎng)絡(luò)安全問(wèn)題日益凸顯,接入安全越來(lái)越被重視,對(duì)接入終端進(jìn)行認(rèn)證是安全防護(hù)的第一道防線(xiàn)。本文主要講述通過(guò)部署Windows 2008 R2 RADIUS服務(wù)器和使用Windows自帶dot1X客戶(hù)端,實(shí)現(xiàn)dot1X接入認(rèn)證,防止非授權(quán)用戶(hù)進(jìn)入網(wǎng)絡(luò)。
dot1X是IEEE 802.1X的縮寫(xiě),是基于 Client/Server的訪(fǎng)問(wèn)控制和認(rèn)證協(xié)議。簡(jiǎn)單地講,dot1X是一種認(rèn)證技術(shù),是對(duì)連接到交換機(jī)上的終端進(jìn)行認(rèn)證。
如果交換機(jī)開(kāi)啟了dot1X認(rèn)證,終端連接到交換機(jī)的接口上進(jìn)行二層通信時(shí)首先要進(jìn)行身份驗(yàn)證,在通過(guò)認(rèn)證之前只有認(rèn)證消息和協(xié)議報(bào)文可以通過(guò),其他訪(fǎng)問(wèn)均被交換機(jī)拒絕。dot1X認(rèn)證系統(tǒng)包括三個(gè)部分 :客戶(hù)端(Client)、設(shè)備端(Device)和認(rèn)證服務(wù)器(Server)。
客戶(hù)端:連接網(wǎng)絡(luò)的終端設(shè)備,本文使用Windows 7旗艦版系統(tǒng)的PC為例。
設(shè)備端:與客戶(hù)端連接的設(shè)備,對(duì)客戶(hù)端進(jìn)行認(rèn)證,比如交換機(jī),本文使用H3C 5500交換機(jī)為例。
圖1 配置客戶(hù)端
認(rèn)證服務(wù)器:為設(shè)備端提供認(rèn)證服務(wù)的設(shè)備,本文使用Windows 2008 R2 RADIUS服務(wù)器為例。
dot1X認(rèn)證過(guò)程這里就不再贅述,本文結(jié)合實(shí)際部署介紹客戶(hù)端、設(shè)備端與認(rèn)證服務(wù)器的具體配置和注意事項(xiàng)。
以Windows 7 旗艦版系統(tǒng)為例,設(shè)置如下:
第 一步:確認(rèn)啟用Wired AutoConfig服務(wù),該服務(wù)為有線(xiàn)自動(dòng)配置(DOT3SVC)服務(wù),負(fù)責(zé)對(duì)以太網(wǎng)接口執(zhí)行IEEE 802.1X身份驗(yàn)證。
如果當(dāng)前有線(xiàn)網(wǎng)絡(luò)部署強(qiáng)制執(zhí)行802.1X身份驗(yàn)證,則應(yīng)配置DOT3SVC服務(wù)運(yùn)行以用于建立第2層連接性或用于提供對(duì)網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)權(quán)限。DOT3SVC服務(wù)會(huì)影響到強(qiáng)制執(zhí)行802.1X身份驗(yàn)證的有線(xiàn)網(wǎng)絡(luò)。
第二步:打開(kāi)“網(wǎng)絡(luò)和共享中心”,點(diǎn)擊“本地連接”,在彈出的選項(xiàng)頁(yè)單擊“屬性”,選擇“身份驗(yàn)證”選項(xiàng)卡,勾選“啟用IEEE802.1X身份驗(yàn)證”。點(diǎn)擊“設(shè)置”,去掉驗(yàn)證服務(wù)器證書(shū)選項(xiàng)。打開(kāi)“其他設(shè)置”,勾選“制定身份驗(yàn)證模式”,選擇“用戶(hù)身份驗(yàn)證”,點(diǎn)擊“確定”。設(shè)置完成,如圖1所示。
以H3C5500系列交換機(jī)為例,配置如下:
#開(kāi)啟全局802.1X特性dot1x
#創(chuàng) 建RADIUS方 案radiusTest并進(jìn)入其視圖
radiusschemeradiusTest
#配置主認(rèn)證/計(jì)費(fèi)RADIUS服務(wù)器的IP地址
primaryauthentication192.168.10.14
primary accounting 192.168.10.14
#配置共享密鑰為keyTest
key authentication cipher keyTest
timerresponsetimeout10
#配置發(fā)送給RADIUS服務(wù)器的用戶(hù)名不攜帶域名,是否攜帶域名需要綜合考慮服務(wù)器端的設(shè)置以及服務(wù)器端是否接受域名。
user-name-format without-domain
#配置發(fā)送RADIUS報(bào)文的源接口IP
圖2 交換機(jī)debug信息
nas-ip192.168.11.1(接入交換機(jī)的IP)
#創(chuàng)建域test并進(jìn)入其視圖
domain test
#配置802.1X用戶(hù)使用RADIUS方案radiusTest進(jìn)行認(rèn)證、授權(quán)方法
authenticationdefaultradius-scheme radiusTest
authorization default radius-scheme radiusTest
#指定域test為缺省的域。如果用戶(hù)在登錄時(shí)沒(méi)有提供域名,系統(tǒng)將把用戶(hù)歸于缺省的域。
domain default enable test
#開(kāi)啟指定端口GigabitEthernet1/0/5的802.1X特性
interface GigabitEthernet1/0/5
port link-mode bridge
port access vlan 10
dot1x
#關(guān)閉在線(xiàn)用戶(hù)握手功能,默認(rèn)為開(kāi)啟狀態(tài)。undo dot1x handshake#關(guān)閉默認(rèn)組播觸發(fā)功能
undo dot1x multicasttrigger
#開(kāi)啟單播觸發(fā)功能(默認(rèn)為組播觸發(fā)功能)
dot1x unicast-trigger
在配置華三交換機(jī)的時(shí)候,接口下通過(guò)undo dot1x handshake命令,關(guān)閉在線(xiàn)用戶(hù)握手功能,終止客戶(hù)端后續(xù)發(fā)送的協(xié)商請(qǐng)求(保活消息)。如不使用該命令,會(huì)出現(xiàn)客戶(hù)端PC與認(rèn)證服務(wù)器握手失敗,導(dǎo)致認(rèn)證不成功。
通過(guò)debugging radius packet命令查看交換機(jī)的debug信息發(fā)現(xiàn)Receive EAPOL-START but user has online. Authentication timeout,如圖2所示。這是因?yàn)檎J(rèn)證成功后,客戶(hù)端仍發(fā)送認(rèn)證協(xié)商報(bào)文。因?yàn)橛脩?hù)已在線(xiàn),本地連接身份驗(yàn)證最終超時(shí)。
以Windows 2008 R2 Server操作系統(tǒng)為例,配置步驟如下:
1.登錄Windows 2008 R2 Server操作系統(tǒng),選擇“服務(wù)器管理器”中的“角色”點(diǎn)擊“添加角色”。
2.選擇“添加角色向?qū)А秉c(diǎn)擊“開(kāi)始之前”,進(jìn)入“下一步”。
3.選擇“服務(wù)器角色”,勾選“網(wǎng)絡(luò)策略和訪(fǎng)問(wèn)服務(wù)”,進(jìn)入“下一步”。
4.選擇“網(wǎng)絡(luò)策略和訪(fǎng)問(wèn)服務(wù)”,進(jìn)入“下一步”。
5.選擇“角色服務(wù)”,勾選“網(wǎng)絡(luò)策略服務(wù)器”,進(jìn)入“下一步”。
6.選擇“確認(rèn)”,進(jìn)入“安裝”,安裝完畢,點(diǎn)擊“關(guān)閉”。
1.在桌面選擇“開(kāi)始”進(jìn)入“管理工具”內(nèi)的“計(jì)算機(jī)管理”,選擇“本地用戶(hù)和組”進(jìn)入“用戶(hù)”,右擊選擇“新用戶(hù)”。
2. 設(shè)置用戶(hù)名 :test、密碼 :123456,點(diǎn)擊“創(chuàng)建”。
3.右擊新建的用戶(hù),選擇“屬性”,進(jìn)入“撥入”選項(xiàng)卡,設(shè)置網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限選擇為“允許訪(fǎng)問(wèn)”,點(diǎn)擊“應(yīng)用”再“確定”。
4.右擊“本地用戶(hù)和組”內(nèi)的“組”,選擇“新建組”,設(shè)置 組 名 :radiusTestGroup,在成員選項(xiàng)中點(diǎn)擊“添加”。
5.選擇用戶(hù),將添加的用戶(hù)test添加到該組radiusTestGroup中,點(diǎn) 擊“創(chuàng)建”。
1.在桌面選擇“開(kāi)始”進(jìn)入“管理工具”內(nèi)的“網(wǎng)絡(luò)策略服務(wù)器”,選擇“用于撥號(hào)或VPN連接的RADIUS服務(wù)器”,點(diǎn)擊“配置VPN或撥號(hào)”。
2.設(shè)置連接類(lèi)型為“撥號(hào)連接”,選擇“下一步”。
3.在“指定撥號(hào)或VPN服務(wù)器”選項(xiàng)中,點(diǎn)擊“添加”RADIUS客戶(hù)端。
4.在彈出的窗口中,“地址(IP或DNS)”一欄中輸入設(shè)備端的IP地址(此處為交換機(jī)發(fā)送RADIUS報(bào)文的源接口 IP :192.168.11.1),設(shè)定共享機(jī)密(此處“共享機(jī)密”需同交換機(jī)中的“共享密鑰”相同,為 :keyTest),點(diǎn)擊“確定”,進(jìn)入“下一步”。
5.在“入配置身份驗(yàn)證方法”中,勾選MS-CHAP、MSCHAP2兩種加密方式,進(jìn)入“下一步”。
6.指定用戶(hù)組,點(diǎn)擊“添加”,在彈出的窗口中,點(diǎn)擊“高級(jí)”,再選擇“立即查找”,將之前建立的用戶(hù)組radiusTestGroup添加進(jìn)來(lái),然后點(diǎn)擊“確定”,進(jìn)入“下一步”。
7.進(jìn)入“IP篩選器”,點(diǎn)擊“下一步”,進(jìn)入“指定加密設(shè)置”點(diǎn)擊“下一步”,進(jìn)入“指定一個(gè)領(lǐng)域”名稱(chēng),添加域名稱(chēng)test,選擇“下一步”,點(diǎn)擊“完成”。
通過(guò)以上配置,使用Windows 2008 R2 Server操作系統(tǒng)成功搭建Radius服務(wù)器,作為dot1X認(rèn)證的外部認(rèn)證服務(wù)器。
配置交換機(jī)nas-ip與Radius服務(wù)器網(wǎng)絡(luò)可達(dá),客戶(hù)端連接交換機(jī)的1/0/5口,在客戶(hù)端彈出的身份驗(yàn)證窗口輸入用戶(hù)名、密碼。認(rèn)證成功后即可訪(fǎng)問(wèn)網(wǎng)絡(luò),同時(shí)可以在交換機(jī)上查看到用戶(hù)登錄信息。