|
|
|
|
移动端

使用802.1X+FreeRadius+LDAP实现网络准入方案

在很多运维项目交流中,我们发现有一些运维团队还是在尝试使用网管或桌面管理来进行网络准入管理,但这两个技术有一定的缺点,所以本文分享一下802.1X+开源软件整合的网络准入管理的实践。

作者:邓小林来源:广通运维|2016-03-02 11:27

【新品产上线啦】51CTO播客,随时随地,碎片化学习

网络准入业界常用方案

为了保证网络资源的安全,拒绝非法入侵,现代IT网络总需要一定的网络准入方案,而目前业界常用的网络准入方案有:

而今天给大家介绍的802.1X+FreeRadius+LDAP网络准入方案,则避免了上述方案中的缺点,是一套低成本,控制能力强,符合行业标准的一套网络准入认证体系。

什么是802.1X

802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机或AP上的设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。

部署结构

该方案的部署包括客户端、接入网络、论证与帐户系统。

客户端:可以是Windows、OSX与移动终端。目前Windows与OSX均支持802.1x协议,并且移动端也支持企业级WPA(支持用户名与密码)并与RADIUS服务集成;

接入网络:支持802.1x与Radius的交换机与无线AP即可,由于802.1x是一个已经普遍支持的行业标准,所以目前几乎所有主流的交换机与AP都可以支持;

论证与帐户系统:一个Radius服务器(本案例使用FreeRadius),与提供帐户管理的数据库(本案例使用LDAP服务器),同时也支持在LDAP服务器中设置下发VLAN与ACL信息。

方案优点

统一配置:对于运维人员来说减少网络管理维护工作,通过LDAP统一帐户管理。

安全可靠:在二层网络上实现用户认证,结合端口、账户、VLAN和密码等;绑定技术具有很高的安全性与实时性;

更灵活:不需要绑定mac、与客户端无关,使用用户名与密码认证就可以接入网络,用户可以支持多个终端,在手机、笔记本、台式机上登录,都可以分配到对应的VLAN与ACL,避免VLAN规划的调整。

符合标准:802.1x属于IEEE标准,和以太网标准同源,可以实现和以太网技术的无缝融合,几乎所有的主流数据设备厂商在其设备,包括路由器、交换机和无线AP上都提供对该协议的支持。在客户端方面微软操作系统内置支持,Linux也提供了对该协议的支持。

用户审计:结合radius的计费功能,还可以实现用户的在线的审计、在线时长的统计。

方案缺点

需要部署认证与帐户系统:目前很多单位都已有自己的帐户系统,只需要启动LDAP支持,安装FreeRadius即可。

首次接入网络需要一些配置:好在配置后,后续接入就可以实现自动登录。同时即使配置失败,设备也可以支持一个“临时访客VLAN”,以提供基础的网络通信功能。

关键配置

1.部署认证服务器FreeRadius服务器和LDAP服务器(本文略)。

2.在网络设备设备上开启802.1X认证和认证服务器RADIUS的配置,本文以H3C网络设备为例。

第一步:H3C进入特权模式后,开启802.1X认证协议和认证方式,命令如下:

dot1x

dot1x authentication-method eap

第二步:与认证服务器RADIUS的配置,命令如下:

radius scheme demo

primary authentication IP //radius服务器的IP

primary accounting IP //radius服务器的IP

key authentication cipher 密码 //radius服务器认证密码

key accounting cipher密码 //radius服务器计费密码

user-name-format without-domain

第三步:配置3A认证,最好是每个认证都开启,我们在配置过程中没有配置计费认证,结果导致认证总是失败,命令如下:

domain system  

authentication lan-access radius-scheme demo

authorization lan-access radius-scheme demo

accounting lan-access radius-scheme demo

access-limit disable

state active  

idle-cut disable

self-service-url disable

第四步:开启端口的802.1X的认证,命令如下:

interface GigabitEthernet1/0/10

dot1x guest-vlan ID //认证失败下发一个guest VLAN

undo dot1x handshake //这个握手协议要关闭,避免windows认证一段时间后又会掉线,要求重连

dot1x port-method portbased

dot1x  

idle-cut disable

self-service-url disable

终端接入效果

下面以win7有线网络的接入为例进行说明。

第一步:插入网线,点击右下角网络连接处弹出的提示。如下图所示:

第二步:在弹出的对话框中,用户名输入LDAP帐号和密码,如下图所示:

第三步:认证成功后如下图所示,入网就是这么so easy!

【责任编辑:张存 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

热门职位+更多

读 书 +更多

Struts 2权威指南:基于WebWork核心的MVC开发

本书所介绍的Struts 2已经完全超出了Struts 1框架原有的高度,Struts 2建立在Struts 1和WebWork两个框架整合的基础之上,因此提供了更多优...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊