本文,将为大家分享运维前沿在网络准入管理方面的实践经验。
网络准入业界常用方案
为了保证网络资源的安全,拒绝非法入侵,现代IT网络总需要一定的网络准入方案,而目前业界常用的网络准入方案有:
而今天给大家介绍的802.1X+FreeRadius+LDAP网络准入方案,则避免了上述方案中的缺点,是一套低成本,控制能力强,符合行业标准的一套网络准入认证体系。
什么是802.1X
802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机或AP上的设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
部署结构
该方案的部署包括客户端、接入网络、论证与帐户系统。
客户端:可以是Windows、OSX与移动终端。目前Windows与OSX均支持802.1x协议,并且移动端也支持企业级WPA(支持用户名与密码)并与RADIUS服务集成;
接入网络:支持802.1x与Radius的交换机与无线AP即可,由于802.1x是一个已经普遍支持的行业标准,所以目前几乎所有主流的交换机与AP都可以支持;
论证与帐户系统:一个Radius服务器(本案例使用FreeRadius),与提供帐户管理的数据库(本案例使用LDAP服务器),同时也支持在LDAP服务器中设置下发VLAN与ACL信息。
方案优点
统一配置:对于运维人员来说减少网络管理维护工作,通过LDAP统一帐户管理。
安全可靠:在二层网络上实现用户认证,结合端口、账户、VLAN和密码等;绑定技术具有很高的安全性与实时性;
更灵活:不需要绑定mac、与客户端无关,使用用户名与密码认证就可以接入网络,用户可以支持多个终端,在手机、笔记本、台式机上登录,都可以分配到对应的VLAN与ACL,避免VLAN规划的调整。
符合标准:802.1x属于IEEE标准,和以太网标准同源,可以实现和以太网技术的无缝融合,几乎所有的主流数据设备厂商在其设备,包括路由器、交换机和无线AP上都提供对该协议的支持。在客户端方面微软操作系统内置支持,Linux也提供了对该协议的支持。
用户审计:结合radius的计费功能,还可以实现用户的在线的审计、在线时长的统计。
方案缺点
需要部署认证与帐户系统:目前很多单位都已有自己的帐户系统,只需要启动LDAP支持,安装FreeRadius即可。
首次接入网络需要一些配置:好在配置后,后续接入就可以实现自动登录。同时即使配置失败,设备也可以支持一个“临时访客VLAN”,以提供基础的网络通信功能。
关键配置
1.部署认证服务器FreeRadius服务器和LDAP服务器(本文略)。
2.在网络设备设备上开启802.1X认证和认证服务器RADIUS的配置,本文以H3C网络设备为例。
第一步:H3C进入特权模式后,开启802.1X认证协议和认证方式,命令如下:
dot1x
dot1x authentication-method eap
第二步:与认证服务器RADIUS的配置,命令如下:
radius scheme demo
primary authentication IP //radius服务器的IP
primary accounting IP //radius服务器的IP
key authentication cipher 密码 //radius服务器认证密码
key accounting cipher密码 //radius服务器计费密码
user-name-format without-domain
第三步:配置3A认证,最好是每个认证都开启,我们在配置过程中没有配置计费认证,结果导致认证总是失败,命令如下:
domain system
authentication lan-accessradius-scheme demo
authorization lan-accessradius-scheme demo
accounting lan-access radius-schemedemo
access-limit disable
state active
idle-cut disable
self-service-url disable
第四步:开启端口的802.1X的认证,命令如下:
interface GigabitEthernet1/0/10
dot1x guest-vlan ID //认证失败下发一个guest VLAN
undo dot1x handshake //这个握手协议要关闭,避免windows认证一段时间后又会掉线,要求重连
dot1x port-method portbased
dot1x
idle-cut disable
self-service-url disable
终端接入效果
下面以win7有线网络的接入为例进行说明。
第一步:插入网线,点击右下角网络连接处弹出的提示。如下图所示:
第二步:在弹出的对话框中,用户名输入LDAP帐号和密码,如下图所示:
第三步:认证成功后如下图所示,入网就是这么so easy!
作者简介:邓小林,现任优云软件运维测试工程师,在运维的浩瀚海洋中耕耘着学习着积累着,希望能在运维领域与同行多多交流,与时俱进~
优云软件:秉承devops的理念,从监控、到应用体验,到自动化持续交付,全栈运维解决方案服务商 https://uyun.cn
原创文章,作者:uyunops,如若转载,请注明出处:http://www.178linux.com/21190
评论列表(1条)
图好赞