近年,网络安全被企业经常所提及,对安全越来越重视。在企业组建局域网中如何能对网络接入用户身份进行确认,用户接入网络后,如何能随着办公地点的转移而保证网络权限不变,在本方案进行阐述和表达,本方案在公司内已经运行多年,成熟、稳定,希望能帮助那些还在奔波在手动调整网络权限、识别接入网络用户身份的同学脱离水深火热的“坑”走向自动化,提高企业网络准入的安全性。
组网规划方案
需求描述
1.1 LDAP统一帐户管理,无终端管理软件
1.2 使用用户名与密码认证就接入网络
1.3 用户可支持多个终端,在手机、笔记本、台式机上登录,具有同样网络权限
1.4 各部门获得自己独立IP网段,且具有各自网络权限
1.5 方便部署后运维管理,减少网络维护工作
实现方案
2.1 基于802.1x协议,实现端口访问控制和认证
2.2 搭建Windows Server系统环境,实现AD+DHCP+NP(Radius)统一用户认证管理以及方便运维管理
2.3 选择支持802.1x协议认证网络设备,实现动态VLAN实现获得各终端网络登录具有各自网络权限,减少网络维护工作
3.组网环境
IBM服务器
Cisco网络设备
客户端网络
注:在核心网络交换机中把划分的VLAN对应到用户所在安全组,这样在调整用户所在安全组后,即继承了划分VLAN的网络权限。
4、架构图
一、 组网实施部署
这里AD、DHCP、无线AC服务配置本文忽略,本文主要介绍关键配置有线网络设备上开启802.1X认证和认证服务器NPS(Radius)的配置。
接入交换机(WS-C2960X-48LPS-L)开启802.1x认证,以Cisco 2960为例(注:不同IOS版本命令略有差异)
第一步:进入配置模式开启802.1x认证、指定radius-server
aaa new-model
! 启用 aaa
aaa authentication dot1x default group radius
! dot1x使用radius做认证
aaa authorization network default group radius
! 使用802.1x协议去动态分配vlan的话,上边的这句命令一定要有
dot1x system-auth-control
! 允许802.1x port-based 认证
dot1x guest-vlan supplicant
! 允许交换机在端口802.1x认证失败后,指定vlan到guest-vlan
radius-server host IP auth-port 1812 acct-port 1813 key Password
! 指定radius服务器IP、端口号和进行交互的使用的密码
radius-server retry method reorder
! 允许有多个radius服务器冗余切换
radius-server timeout 10
! 指定radius服务认证超时时间
注:把预规划好的所有部门VLAN配置到每台接入交换机和无线AC控制器上,并在核心交换机中配置指向到DHCP服务器地址,这样既可实现不同用户安全组获得动态VLAN地址。
第二步进入网络端口下启用802.1x配置
interface GigabitEthernet1/0/46
switchport mode access
! dot1x指定vlan, switchport mode必须为access
switchport voice vlan 195
! dot1x指定语音vlan
authentication event fail action authorize vlan 107
! 认证失败获得隔离vlan
authentication event no-response action authorize vlan 107
! 认证无响应获得隔离vlan
authentication port-control auto
! 端口认证控制
authentication timer inactivity 30
! 认证响应超时
dot1x pae authenticator
! 认证端口开启
2.NPS(Radius)策略配置
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
