802.1x准入控制技术使用手册(北信源).doc

北信源桌面终端标准化管理系统 准入控制技术 使用手册 2010年5月 目录 TOC \o 1-2 \h \z \u 一、802.1x认证模块原理 2 1-1. 802.1x的工作机制 2 1-2. 802.1x的认证过程 3 二、VRVEDP-NAC系统硬件配置及实施方案 4 2-1.VRVEDP-NAC相关系统硬件配置 4 2-2.VRVEDP-NAC实施方案 4 三、802.1x认证应用注册事项 23 四、802.1x认证应急预案 25 4-1.预案流程 25 4-2.应急事件处理方法 25 一、802.1x认证模块原理 1-1. 802.1x的工作机制 IEEE 802.1x认证系统利用EAP（Extensible Authentication Protocol，可扩展认证协议）协议，作为在客户端和认证服务器之间交换认证信息的手段。 802.1x认证系统的工作机制 在客户端PAE与设备端PAE之间，EAP协议报文使用EAPOL封装格式，直接承载于LAN环境中。 ?? 在设备端PAE与RADIUS服务器之间，EAP协议报文可以使用EAPOR封装格式（EAP over RADIUS），承载于RADIUS协议中；也可以由设备端PAE进行终结，而在设备端PAE与RADIUS服务器之间传送PAP协议报文或CHAP协议报文。 ?? 当用户通过认证后，认证服务器会把用户的相关信息传递给设备端，设备端PAE根据RADIUS服务器的指示（Accept或Reject）决定受控端口的授权/非授权状态。 1-2. 802.1x的认证过程 802.1x认证系统的认证过程 1. 当用户有上网需求时打开802.1x客户端，输入已经申请、登记过的用户名和口令，发起连接请求（EAPOL-Start报文）。此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。 2. 交换机收到请求认证的数据帧后，将发出一个请求帧（EAP-Request/Identity报文）要求用户的客户端程序发送输入的用户名。 3. 客户端程序响应交换机发出的请求，将用户名信息通过数据帧（EAP-Response/Identity报文）送给交换机。交换机将客户端送上来的数据帧经过封包处理后（RADIUS Access-Request报文）送给RADIUS服务器进行处理。 4. RADIUS服务器收到交换机转发的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字通过RADIUS Access-Challenge报文传送给交换机，由交换机传给客户端程序。 5. 客户端程序收到由交换机传来的加密字（EAP-Request/MD5 Challenge报文）后，用该加密字对口令部分进行加密处理（此种加密算法通常是不可逆的，生成EAP-Response/MD5 Challenge报文），并通过交换机传给RADIUS服务器。 6. RADIUS服务器将加密后的口令信息（RADIUS Access-Requeset报文）和自己经过加密运算后的口令信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息（RADIUS Access-Accept报文和EAP-Success报文）。交换机将端口状态改为授权状态，允许用户通过该端口访问网络。如果用户名和口令不正确，则将该端口状态改为非授权状态，将将该端口跳转到guest-vlan. 7. 客户端也可以发送EAPoL-Logoff报文给交换机，主动终止已认证状态，交换机将端口状态从授权状态改变成未授权状态。 二、VRVEDP-NAC系统硬件配置及实施方案 2-1.VRVEDP-NAC相关系统硬件配置 策略服务器（VRVEDP-SERVER）：专用服务器，即安装桌面终端标准化管理系统的服务器。配置要求如下，PentiumⅢ 800 以上CPU，1G以上内存, 硬盘80G，10/100BaseTX网络接口。Windows2000/2003 server（ServicePack4.0）操作系统、IE6.0。 Radius认证服务器：微软的IAS，CISCO ACS可同策略服务器使用同一台服务器。LINUX FREE RADIUS需要单独一台PC计算机：PentiumⅢ 800 以上CPU，512M以上内存, 硬盘20G。同时为保证RADIUS服务器能够同网络中的交换机正常通讯，RADIUS服务器需要开启 1812、1813、1645、1646端口。若在本地网络中RADIUS服务器同交换机之间安装网络防火墙，或桌面终端主机同管理服务器之间存在防火墙，请注意注意端口开放问题（管理服务器TCP 88