網絡準入業界常用方案

為了保證網絡資源的安全，拒絕非法入侵，現代IT網絡總需要一定的網絡準入方案，而目前業界常用的網絡準入方案有：

而今天給大家介紹的802.1X+FreeRadius+LDAP網絡準入方案，則避免了上述方案中的缺點，是一套低成本，控制能力強，符合行業標準的一套網絡準入認證體系。

什么是802.1X

802.1x協議是基于Client/Server的訪問控制和認證協議。它可以限制未經授權的用戶/設備通過接入端口(access port)訪問LAN/WLAN。在獲得交換機或LAN提供的各種業務之前，802.1x對連接到交換機或AP上的設備進行認證。在認證通過之前，802.1x只允許EAPoL（基于局域網的擴展認證協議）數據通過設備連接的交換機端口；認證通過以后，正常的數據可以順利地通過以太網端口。

部署結構

該方案的部署包括客戶端、接入網絡、論證與帳戶系統。

客戶端：可以是Windows、OSX與移動終端。目前Windows與OSX均支持802.1x協議，并且移動端也支持企業級WPA（支持用戶名與密碼）并與RADIUS服務集成；

接入網絡：支持802.1x與Radius的交換機與無線AP即可，由于802.1x是一個已經普遍支持的行業標準，所以目前幾乎所有主流的交換機與AP都可以支持；

論證與帳戶系統：一個Radius服務器（本案例使用FreeRadius），與提供帳戶管理的數據庫（本案例使用LDAP服務器），同時也支持在LDAP服務器中設置下發VLAN與ACL信息。

方案優點

統一配置：對于運維人員來說減少網絡管理維護工作，通過LDAP統一帳戶管理。

安全可靠：在二層網絡上實現用戶認證，結合端口、賬戶、VLAN和密碼等；綁定技術具有很高的安全性與實時性；

更靈活：不需要綁定mac、與客戶端無關，使用用戶名與密碼認證就可以接入網絡，用戶可以支持多個終端，在手機、筆記本、臺式機上登錄，都可以分配到對應的VLAN與ACL，避免VLAN規劃的調整。

符合標準：802.1x屬于IEEE標準，和以太網標準同源，可以實現和以太網技術的無縫融合，幾乎所有的主流數據設備廠商在其設備，包括路由器、交換機和無線AP上都提供對該協議的支持。在客戶端方面微軟操作系統內置支持，Linux也提供了對該協議的支持。

用戶審計：結合radius的計費功能，還可以實現用戶的在線的審計、在線時長的統計。

方案缺點

需要部署認證與帳戶系統：目前很多單位都已有自己的帳戶系統，只需要啟動LDAP支持，安裝FreeRadius即可。

首次接入網絡需要一些配置：好在配置后，后續接入就可以實現自動登錄。同時即使配置失敗，設備也可以支持一個“臨時訪客VLAN”，以提供基礎的網絡通信功能。

關鍵配置

1. 部署認證服務器FreeRadius服務器和LDAP服務器（本文略）。

2. 在網絡設備設備上開啟802.1X認證和認證服務器RADIUS的配置，本文以H3C網絡設備為例。

第一步：H3C進入特權模式后，開啟802.1X認證協議和認證方式，命令如下：

dot1x

dot1x authentication-method eap

第二步：與認證服務器RADIUS的配置，命令如下：

radius scheme demo

primary authentication IP //radius服務器的IP

primary accounting IP //radius服務器的IP

key authentication cipher 密碼 //radius服務器認證密碼

key accounting cipher密碼 //radius服務器計費密碼

user-name-format without-domain

第三步：配置3A認證，最好是每個認證都開啟，我們在配置過程中沒有配置計費認證，結果導致認證總是失敗，命令如下：

domain system   

authentication lan-access radius-scheme demo

authorization lan-access radius-scheme demo

accounting lan-access radius-scheme demo

access-limit disable

state active   

idle-cut disable

self-service-url disable

第四步：開啟端口的802.1X的認證，命令如下：

interface GigabitEthernet1/0/10

dot1x guest-vlan ID //認證失敗下發一個guest VLAN

undo dot1x handshake //這個握手協議要關閉，避免windows認證一段時間后又會掉線，要求重連

dot1x port-method portbased

dot1x    

idle-cut disable

self-service-url disable

終端接入效果

下面以win7有線網絡的接入為例進行說明。

第一步：插入網線，點擊右下角網絡連接處彈出的提示。如下圖所示：

第二步：在彈出的對話框中，用戶名輸入LDAP帳號和密碼，如下圖所示：

第三步：認證成功后如下圖所示，入網就是這么so easy！