使⽤802.1X+FreeRadius+LDAP实现⽹络准⼊⽅案
前⾔:在很多运维项⽬交流中,我们发现有⼀些运维团队还是在尝试使⽤⽹管或桌⾯管理来进⾏⽹络准⼊管理,但这两个技术有⼀定的缺点,所以本⽂分享⼀下802.1X+开源软件整合的⽹络准⼊管理的实践。
⽹络准⼊业界常⽤⽅案
为了保证⽹络资源的安全,拒绝⾮法⼊侵,现代IT⽹络总需要⼀定的⽹络准⼊⽅案,⽽⽬前业界常⽤的⽹络准⼊⽅案有:
⽅案说明优点缺点
桌⾯管理软件以⼀机两⽤等产品为代表,需
要安装agent并经过审批才能
进⼊⽹络,否则通过ARP攻
击等⼿段阻⽌⾮法终端接⼊。
控制能⼒强安装维护成本⾼;
对客户端有要求。
⽹管扫描拦截通过⽹络管理软件扫描局域⽹
终端,并通过交换机端⼝控制
来实现⾮法终端接⼊。
⽹络要求较低扫描实时性差;
cipher命令依赖拓扑发现;
实⽤性不⾜。
⽹关准⼊控制以酒店⾏业为代表,通过⽹络
接⼊时,要求进⾏登录以分配
到正确的IP地址与互联⽹访问
许可
⽹络要求低;
⽹关购买成本
⾼。
只能控制经过⽹关
的数据,不能控制
局域⽹。
⽽今天给⼤家介绍的802.1X+FreeRadius+LDAP⽹络准⼊⽅案,则避免了上述⽅案中的缺点,是⼀套低成本,控制能⼒强,符合⾏业标准的⼀套⽹络准⼊认证体系。
什么是802.1X
802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的⽤户/设备通过接⼊端⼝(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机
或AP上的设备进⾏认证。在认证通过之前,802.1x只允许EAPoL(基于局域⽹的扩展认证协议)数据通过设备连接的交换机端⼝;认证通过以后,正常的数据可以顺利地通过以太⽹端⼝。
部署结构
该⽅案的部署包括客户端、接⼊⽹络、论证与帐户系统。
客户端:可以是Windows、OSX与移动终端。⽬前Windows与OSX均⽀持802.1x协议,并且移动端也⽀持企业级WPA(⽀持⽤户名与密码)并与RADIUS服务集成;
接⼊⽹络:⽀持802.1x与Radius的交换机与⽆线AP即可,由于802.1x是⼀个已经普遍⽀持的⾏业标准,所以⽬前⼏乎所有主流的交换机与AP都可以⽀持;
论证与帐户系统:⼀个Radius服务器(本案例使⽤FreeRadius),与提供帐户管理的数据库(本案例使⽤LDAP服务器),同时也⽀持在LDAP服务器中设置下发VLAN与ACL信息。
⽅案优点
统⼀配置:对于运维⼈员来说减少⽹络管理维护⼯作,通过LDAP统⼀帐户管理。
安全可靠:在⼆层⽹络上实现⽤户认证,结合端⼝、账户、VLAN和密码等;绑定技术具有很⾼的安全性与实时性;
更灵活:不需要绑定mac、与客户端⽆关,使⽤⽤户名与密码认证就可以接⼊⽹络,⽤户可以⽀持多个终端,在⼿机、笔记本、台式机上登录,都可以分配到对应的VLAN与ACL,避免VLAN规划的调整。
符合标准:802.1x属于IEEE标准,和以太⽹标准同源,可以实现和以太⽹技术的⽆缝融合,⼏乎所有的主流数据设备⼚商在其设备,包括路由器、交换机和⽆线AP上都提供对该协议的⽀持。在客户端⽅⾯微软操作系统内置⽀持,Linux也提供了对该协议的⽀持。
⽤户审计:结合radius的计费功能,还可以实现⽤户的在线的审计、在线时长的统计。
⽅案缺点
需要部署认证与帐户系统:⽬前很多单位都已有⾃⼰的帐户系统,只需要启动LDAP⽀持,安装FreeRadius即可。
⾸次接⼊⽹络需要⼀些配置:好在配置后,后续接⼊就可以实现⾃动登录。同时即使配置失败,设备也可以⽀持⼀个“临时访客VLAN”,以提供基础的⽹络通信功能。
关键配置
1. 部署认证服务器FreeRadius服务器和LDAP服务器(本⽂略)。
2. 在⽹络设备设备上开启802.1X认证和认证服务器RADIUS的配置,本⽂以H3C⽹络设备为例。
第⼀步:H3C进⼊特权模式后,开启802.1X认证协议和认证⽅式,命令如下:
dot1x
dot1x authentication-method eap
第⼆步:与认证服务器RADIUS的配置,命令如下:
radius scheme demo
primary authentication IP //radius服务器的IP
primary accounting IP //radius服务器的IP
key authentication cipher 密码 //radius服务器认证密码
key accounting cipher密码 //radius服务器计费密码
user-name-format without-domain
第三步:配置3A认证,最好是每个认证都开启,我们在配置过程中没有配置计费认证,结果导致认证总是失败,命令如下:
domain system
authentication lan-accessradius-scheme demo
authorization lan-accessradius-scheme demo
accounting lan-access radius-schemedemo
access-limit disable
state active
idle-cut disable
self-service-url disable
第四步:开启端⼝的802.1X的认证,命令如下:
interface GigabitEthernet1/0/10
dot1x guest-vlan ID //认证失败下发⼀个guest VLAN
undo dot1x handshake //这个握⼿协议要关闭,避免windows认证⼀段时间后⼜会掉线,要求重连dot1x port-method portbased
dot1x
idle-cut disable
self-service-url disable
终端接⼊效果
下⾯以win7有线⽹络的接⼊为例进⾏说明。
第⼀步:插⼊⽹线,点击右下⾓⽹络连接处弹出的提⽰。如下图所⽰:
第⼆步:在弹出的对话框中,⽤户名输⼊LDAP帐号和密码,如下图所⽰:
第三步:认证成功后如下图所⽰,⼊⽹就是这么so easy!
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论