网络准入认证系统方案评估

一、主要作用

网络准入认证系统根据预定义的认证规则,如:是否从绑定设备接入,是否达到用户接入数量等,对尝试接入网络的用户进行身份识别和认证,并为通过身份认证的用户,赋于不同的网络访问权限。

二、对运维的意义

华为的网络准入认证系统Agile Controller,包含终端桌面管理功能,对于没有域管理的大规模园区网络,非常有助于桌面终端统一管理。

企业网络有了网络准入认证系统,是一次革命性的进化,除切实加强网络安全外,运维人员也将一定程度的从工作繁杂、技术含量低的桌面工作中解放出来,将精力放到更有意义的地方上。网络运维将迎来一个新的局面。

三、两大认证方式原理

1. 802.1X认证

  • 802.1X认证协议属于二层协议。

  • 作为认证点的交换机要支持802.1x协议(可以是二层交换机,也可以是三层交换机)。

  • 如果用户与认证交换机之间还串连了其它交换机,则这些交换机必须能够透传802.1x协议的EAP认证报文。

  • 开启了802.1X认证的交换机,其受控端口,用户在认证通过前,交换机端口只允许EAPoL认证报文通过,认证通过后,正常的数据报文,如:DHCP报文才可以通过。

目前发现:

  • 思科2918交换机支持802.1x认证,可以作为认证交换机。但此交换机不支持透传认证报文;

  • 思科2918交换机不支持准入认证服务器下发的标准VLAN和ACL号属性,即网络准入系统无法对此交换机做到根据VLAN或ACL动态地进行网络权限控制。

  • 思科2918交换机只能做到交换机端口级别的认证,不做到基于终端MAC级别的认证。即此交换机下接多个终端时(如:此交换机下连了傻瓜交换机),只要第一个终端认证通过,其他接入的终端也会得网络访问权限。

  • 思科2960 Lan Lite版本交换机,不支持ACL动态权限控制。

  • 华为S2700-SI系列二层交换机不支持二层报文透传,EI系列以上(含EI)支持。

综上原理,以某个楼层为例,若对用户采用802.1x认证方式,最佳实践是:

  1. 选一台支持802.1x认证的、性能高的交换机作为认证交换机(可以是核心,也可以是二层)。

  2. 不建议每台交换机都作为认证点,因为:一是担心影响准入认证服务器性能;二是每台交换机都要进行802.1x的配置,管理和查错都过于麻烦。

  3. 用户与认证交换机之间的其它交换机,要么都是傻瓜交换机(建议使用华为的傻瓜交换机,别用其它品牌,比如NETGEAR,其报文透传有问题);要么至少是EI系列的二层交换机,在其上开启二层报文透传。

2. Portal认证

  • Portal认证又叫Web认证,一般是通过HTTP页面接受用户输入的用户名和密码,对用户进行认证。

  • Portal认证为三层协议,与二层设备无关,因此使用较802.1x方便。

  • 从安全上讲,较802.1X认证,Portal认证方式,没有802.1x协议强。因为终端IP在Portal认证通过之前就会获得,无论终端是否通过认证,三层以下的,同子网的终端是可以互通的(可以采取其它手段进行隔离,如:交换机端口隔离,无线AP启用用户隔离)。

四、网络规划

  • 用户区网络(包括有线、无线)全部使用DHCP方式获取IP。

  • 有线,交换机启用802.1x认证;

  • 无线,发射两个SSID,Office和Guest。Office启用802.1x认证,供内部员工使用。Guest启用Portal认证,供外部访客使用。

用户接入网络的几种场景

  • 外部访客接入

    访客连接无线Guest,用户终端会弹出连网提示 ,用户根据提示进行自助注册。

  • 内部员工接入

    1. 使用AnyOffice网络准入客户端

      没什么可说的,使用华为的网络准入客户端AnyOffice接入网络。

    2. 不使用AnyOffice网络准入客户端

      不使用AnyOffice网络准入客户端进行认证的前提是,终端操作系统支持准入认证服务器使用的认证协议。

      1. 有线接入

        Windows,在"服务"中,启用"Wired AutoConfig"这个系统服务(改为自动,默认为禁用)。启用后,用户接入有线网络时,电脑会出现输入用户名和密码的提示,用户可选择记住密码,这样连接一次后,以后就可以自动连接,用户无感知。

        MAC和Linux,输入用户名密码认证即可。

      2. 无线接入

        没什么可说的,输入用户名密码认证即可。

  • 哑终端接入

    哑终端,一般指网络打印机、IP电话等,这些设备没法输入用户名密码,无法主动进行802.1x认证(现在有很多设备也开始支持了)。

    哑终端使用MAC旁路认证方式,MAC旁路不是一种专门的认证方式,它是交换机将终端的MAC地址作为参数进行802.1x认证或Portal认证。注意:无线场景下,802.1x认证方式,终端是无法进行MAC旁路认证的。

    这样,需要管理员事先统计哑终端的MAC地址,将其配置到Agile Controller中。

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值