网络部署设备描述

网络设备型号:华为 S5700C-SI   Version 5.120 (V200R002C00SPC100)

准入服务器:联软Radius 服务器


Citrix PVS MAC+802.1X+ACL准入部署设计


090739246.png



PVS 客户端部署方案设计

交换机端口部署802.1X认证和MAC认证,PVS PXE启动通过DHCP discover广播包请求获取IP地址,交换机收到PVS广播包触发端口MAC地址认证,MAC认证成功后,Radius服务器下发受限访问认证前域服务器网络权限ACL ID1;之后PVS获取IP地址、OPtion 66 67选项,通过引导文件加载OS正常启动,PVS客户端AD认证进入系统进行802.1X客户端认证,802.1X认证成功后,Radius扶起下发认证后域服务器网络访问权限ACL ID2;

普通工作站 802.1X准入部署设计

网络设备型号:华为 S2700TP-EI

部署方案设计:

交换机端口部署802.1X认证,802.1X端口控制类型设置为MAC-based,以便允许HUB接入场景需求;

2.PVS环境准入认证过程

PVSMAC认证,获取访问认证前域权限

PVS接入桌面交换机,端口UP,交换机等待4S终端无802.1X认证请求报文,交换机封装终端MAC地址至Radius报文进行MAC认证,Radius服务器收到MAC认证报文,验证通过下发ACL(认证前域访问权限)至交换机对应端口,PVS终端获得访问认证前域PVS服务器、AD服务器访问权限,加载OS镜像正常启动系统;

PVS802.1X认证,获取访问认证后域权限

PVS 系统启动后,使用802.1X认证客户端与Radius服务器进行二次认证,认证客户端递交身份信息、客户端安全配置策略状态信息至Radius服务器,所有状态满足策略要求认证成功,通知交换机对应端口开放PVS终端访问权限,否则PVS客户端自动修复成功后继续进行认证直到完成接入;

交换机准入配置解析

无盘环境huawei交换机802.1X部署配置

<NAC-test>dis version
Huawei Versatile Routing Platform Software
VRP (R) software, Version 5.110 (S5700 V200R001C00SPC300)
Copyright (C) 2000-2012 HUAWEI TECH CO., LTD
Quidway S5700-52C-SI Routing Switch uptime is 0 week, 0 day, 8 hours, 1 minute

CX22EMGEC 0(Master) : uptime is 0 week, 0 day, 8 hours, 0 minute
256M bytes DDR Memory
32M bytes FLASH
Pcb      Version :  VER B
Basic  BOOTROM  Version :  162 Compiled at May 31 2012, 10:56:32
CPLD   Version : 5
Software Version : VRP (R) Software, Version 5.110 (V200R001C00SPC300)
FORECARD information
Pcb      Version : CX22E4GFA VER A
FPGA   Version : 0
HINDCARD information
Pcb      Version : CX22ETPB VER C
FANCARD I information
Pcb      Version : FAN VER B
PWRCARD I information
Pcb      Version : PWR VER A

<NAC-test>dis cu
#
!Software Version V200R001C00SPC300
sysname NAC-test
#
vlan batch 1 137
#
dot1x enable
dot1x authentication-method eap
dot1x quiet-period
dot1x retry 10
dot1x timer tx-period 120
#
radius-server template nap
radius-server shared-key simple *****        //radius共享密钥
radius-server authentication 10.1.0.* 1812   //主 radius server
radius-server authentication 10.1.0.* 1812 secondary   //你懂的
undo radius-server user-name domain-included
#
acl number 3000 //mac认证成功后需开放的 认证前域服务器IP
rule 47 permit ip destination 10.1.0.* 0
rule 48 permit ip destination 10.*.*.0 0.0.0.255
rule 50 deny ip
#
acl number 3001    //未安装dot1x准入客户端后需开放的 认证前域服务器IP                      
rule 47 permit ip destination 10.1.0.* 0
rule 48 permit ip destination 10.*.*.0 0.0.0.255
rule 50 deny ip
#
acl number 3002   //安装dot1x准入客户端,但认证失败后,需开放的 认证前域服务器IP
 rule 47 permit ip destination 10.1.0.* 0
rule 48 permit ip destination 10.*.*.0 0.0.0.255
rule 50 deny ip

#
acl number 3003 //安装dot1x准入客户端,认证成功,但安全检查失败需开放的 认证前域服务器IP rule 47 permit ip destination 10.1.0.* 0
rule 48 permit ip destination 10.*.*.0 0.0.0.255
rule 50 deny ip

#
acl number 4000  //准入认证成功设备 ACL
rule 10 permit
#
aaa
authentication-scheme rd
 authentication-mode radius    //认证类型配置为Radius          
domain default                //默认域关联认证方案和Radius服务器配置
 authentication-scheme rd
 radius-server  nap
domain default_admin

#
interface Vlanif1
ip address*********
#
interface GigabitEthernet0/0/1  //802.1终端接入端口
port link-type access
port default vlan 14
dot1x mac-bypass mac-auth-first //端口配置MAC+802.1双重认证
dot1x mac-bypass
             

///,H3C交换机配置需待验证成功附上!