一、主要作用
网络准入认证系统根据预定义的认证规则,如:是否从绑定设备接入,是否达到用户接入数量等,对尝试接入网络的用户进行身份识别和认证,并为通过身份认证的用户,赋于不同的网络访问权限。
二、对运维的意义
华为的网络准入认证系统Agile Controller,包含终端桌面管理功能,对于没有域管理的大规模园区网络,非常有助于桌面终端统一管理。
企业网络有了网络准入认证系统,是一次革命性的进化,除切实加强网络安全外,运维人员也将一定程度的从工作繁杂、技术含量低的桌面工作中解放出来,将精力放到更有意义的地方上。网络运维将迎来一个新的局面。
三、两大认证方式原理
1. 802.1X认证
-
802.1X认证协议属于二层协议。
-
作为认证点的交换机要支持802.1x协议(可以是二层交换机,也可以是三层交换机)。
-
如果用户与认证交换机之间还串连了其它交换机,则这些交换机必须能够透传802.1x协议的EAP认证报文。
-
开启了802.1X认证的交换机,其受控端口,用户在认证通过前,交换机端口只允许EAPoL认证报文通过,认证通过后,正常的数据报文,如:DHCP报文才可以通过。
目前发现:
-
思科2918交换机支持802.1x认证,可以作为认证交换机。但此交换机不支持透传认证报文;
-
思科2918交换机不支持准入认证服务器下发的标准VLAN和ACL号属性,即网络准入系统无法对此交换机做到根据VLAN或ACL动态地进行网络权限控制。
-
思科2918交换机只能做到交换机端口级别的认证,不做到基于终端MAC级别的认证。即此交换机下接多个终端时(如:此交换机下连了傻瓜交换机),只要第一个终端认证通过,其他接入的终端也会得网络访问权限。
-
思科2960 Lan Lite版本交换机,不支持ACL动态权限控制。
-
华为S2700-SI系列二层交换机不支持二层报文透传,EI系列以上(含EI)支持。
综上原理,以某个楼层为例,若对用户采用802.1x认证方式,最佳实践是:
-
选一台支持802.1x认证的、性能高的交换机作为认证交换机(可以是核心,也可以是二层)。
-
不建议每台交换机都作为认证点,因为:一是担心影响准入认证服务器性能;二是每台交换机都要进行802.1x的配置,管理和查错都过于麻烦。
-
用户与认证交换机之间的其它交换机,要么都是傻瓜交换机(建议使用华为的傻瓜交换机,别用其它品牌,比如NETGEAR,其报文透传有问题);要么至少是EI系列的二层交换机,在其上开启二层报文透传。
2. Portal认证
-
Portal认证又叫Web认证,一般是通过HTTP页面接受用户输入的用户名和密码,对用户进行认证。
-
Portal认证为三层协议,与二层设备无关,因此使用较802.1x方便。
-
从安全上讲,较802.1X认证,Portal认证方式,没有802.1x协议强。因为终端IP在Portal认证通过之前就会获得,无论终端是否通过认证,三层以下的,同子网的终端是可以互通的(可以采取其它手段进行隔离,如:交换机端口隔离,无线AP启用用户隔离)。
四、网络规划
-
用户区网络(包括有线、无线)全部使用DHCP方式获取IP。
-
有线,交换机启用802.1x认证;
-
无线,发射两个SSID,Office和Guest。Office启用802.1x认证,供内部员工使用。Guest启用Portal认证,供外部访客使用。
用户接入网络的几种场景
-
外部访客接入
访客连接无线Guest,用户终端会弹出连网提示 ,用户根据提示进行自助注册。
-
内部员工接入
-
使用AnyOffice网络准入客户端
没什么可说的,使用华为的网络准入客户端AnyOffice接入网络。
-
不使用AnyOffice网络准入客户端
不使用AnyOffice网络准入客户端进行认证的前提是,终端操作系统支持准入认证服务器使用的认证协议。
-
有线接入
Windows,在"服务"中,启用"Wired AutoConfig"这个系统服务(改为自动,默认为禁用)。启用后,用户接入有线网络时,电脑会出现输入用户名和密码的提示,用户可选择记住密码,这样连接一次后,以后就可以自动连接,用户无感知。
MAC和Linux,输入用户名密码认证即可。
-
无线接入
没什么可说的,输入用户名密码认证即可。
-
-
-
哑终端接入
哑终端,一般指网络打印机、IP电话等,这些设备没法输入用户名密码,无法主动进行802.1x认证(现在有很多设备也开始支持了)。
哑终端使用MAC旁路认证方式,MAC旁路不是一种专门的认证方式,它是交换机将终端的MAC地址作为参数进行802.1x认证或Portal认证。注意:无线场景下,802.1x认证方式,终端是无法进行MAC旁路认证的。
这样,需要管理员事先统计哑终端的MAC地址,将其配置到Agile Controller中。