[互联网]D-Link安全接入认证解决方案.ppt

金炜 提纲 为什么需要网络安全接入 网络安全接入建设目标 D-Link网络安全接入解决方案 案例分析 网络安全接入解决方案 校园网认证、计费解决方案： 纯802.1x的认证、计费解决方案 纯BAS网关的认证、计费解决方案 802.1x＋BAS二次认证、计费解决方案 企业网认证解决方案： 802.1x认证解决方案 WAC认证解决方案 MAC认证解决方案 优点： 可实现多元素绑定认证，安全可靠； 通过端口来控制，安全性较高，不会发生IP地址冲突等； 非网关架构，没有网络瓶颈问题； 由于控制流和业务流完全分离，设备负荷较小； 支持组播等新业务 防止代理 优点： 采用网关认证，支持PPPoE、WEB和Client认证方式，接入方式灵活多样，充分满足不同用户需求； 兼容性好，保护用户投资。对交换机的选择不受限制，避免了选择认证系统后对交换机选型的束缚； 对用户的管控能力比较强，支持P2P限制、支持用户带宽限制、支持上网日志记录等； 计费方式灵活多样，可提供流量计费、时间计费、区分内外网计费等； 持组播等新业务。 优点： 可兼容任何厂家交换机，保护用户投资； 接入方案灵活，可选择PPPoE方式接入、802.1x方式接入、web接入、client等接入方式； 它是结合802.1x认证与BAS认证的优点，采用了802.1x技术中最具价值的根本上杜绝IP地址冲突的功能，屏弃私有的不兼容的属性，在BAS上实现网络元素的绑定及各种灵活的控制功能。 在接入层采用802.1x认证方式，用户可访问内网；在外网出口采用bas网关型认证，用户可访问外网。 灵活的计费模式，可按时长、按流量灵活计费；并可通过二次认证，内外网区别计费。 灵活设置不同时段上网可控机制，杜绝学生长时间上网 可对用户带宽进行限制、可限制P2P下载 完全记录上网用户行为日志 灵活支持“即时消息”、“广告消息”及通知发布 具备网络自助服务模式，并可与校园“一卡通”实现对接，解决学生缴费问题 网络安全接入解决方案 校园网认证、计费解决方案： 纯802.1x的认证、计费解决方案 纯BAS网关的认证、计费解决方案 802.1x＋BAS二次认证、计费解决方案 企业网认证解决方案： 802.1x认证解决方案 非802.1x认证解决方案 WAC认证解决方案 MAC认证解决方案 这种认证方式，需要交换机具备几个功能： 认证：802.1x 授权： Guest VLAN 、动态VLAN分配（Dynamic VLAN Assignment） 关于认证数据库这一端，有两种选择： 采用Windows 2003 Server的Radius功能。需要每次接入网络时输入网络授权密码； 采用Windows AD域认证。用户每次登录Windows时输入的用户名和密码，可同时对网络的接入进行认证，也就是说一套用户名和密码可同时登录Windows电脑系统和网络系统。 关于授权： 如果用户认证成功，则根据用户身份，自动归置到相应部门VLAN之中，可以访问相应的网络资源； 如果用户网络认证失败，则自动归置到Guest VLAN之中，只能对Internet资源访问。 802.1X与 Windows AD 认证的无缝整合，其配置说明如下： 1. 在 Windows AD上安装 IAS server. IAS 是 Radius 服务器，可以读取 AD 中的用户信息。 2. 在交换机上启用 802.1X + Guest VLAN. 3. 若使用 MS-CHAPv2, 你可以配置用户计算机, 使用 Windows Domain 的用户名和密码来进行 802.1X 登入。当用户完成 Windows Logon, Windows 会自动开始 802.1X MS-CHAPv2 对交换机端口做认证。注意你必须将 AD 放在 Guest VLAN, 所以在端口未认证前，用户仍能登入网域。这是较简单的方式。 4. 若不想把 AD 放在 Guest VLAN, 可以用 EAP-TLS。未 Windows Logon 之前, 用户计算机会用 Computer cert 对端口做802.1X认证，并可被配置到一个 VLAN, 你可以将AD放置在此VLAN上. Windows Logon 之后, Windows 会使用 User cert. 对端口再做一次认证，此时可以拿到此用户的 VLAN。 5. 无论是使用 PEAP-MSCHAPv2 还是 EAP-TLS, 非域管理范围的用户都会归属到 Guest VLAN. 同理，对于无线交换机的认证，也可以采用IAS来进行整合，使用户在登录Windows系统时就能对网络进行认证。 交换机的配置并不复杂，参考 PMD 上 ： Product LiteratureSwitchManagement Switch