本文,将為大家分享運維前沿在網絡準入管理方面的實踐經驗。
網絡準入業界常用方案
為了保證網絡資源的安全,拒絕非法入侵,現代it網絡總需要一定的網絡準入方案,而目前業界常用的網絡準入方案有:
而今天給大家介紹的802.1x+freeradius+ldap網絡準入方案,則避免了上述方案中的缺點,是一套低成本,控制能力強,符合行業标準的一套網絡準入認證體系。
什麼是802.1x
802.1x協定是基于client/server的通路控制和認證協定。它可以限制未經授權的使用者/裝置通過接入端口(access port)通路lan/wlan。在獲得交換機或lan提供的各種業務之前,802.1x對連接配接到交換機或ap上的裝置進行認證。在認證通過之前,802.1x隻允許eapol(基于區域網路的擴充認證協定)資料通過裝置連接配接的交換機端口;認證通過以後,正常的資料可以順利地通過以太網端口。
部署結構
該方案的部署包括用戶端、接入網絡、論證與帳戶系統。
用戶端:可以是windows、osx與移動終端。目前windows與osx均支援802.1x協定,并且移動端也支援企業級wpa(支援使用者名與密碼)并與radius服務內建;
接入網絡:支援802.1x與radius的交換機與無線ap即可,由于802.1x是一個已經普遍支援的行業标準,是以目前幾乎所有主流的交換機與ap都可以支援;
論證與帳戶系統:一個radius伺服器(本案例使用freeradius),與提供帳戶管理的資料庫(本案例使用ldap伺服器),同時也支援在ldap伺服器中設定下發vlan與acl資訊。
方案優點
統一配置:對于運維人員來說減少網絡管理維護工作,通過ldap統一帳戶管理。
安全可靠:在二層網絡上實作使用者認證,結合端口、賬戶、vlan和密碼等;綁定技術具有很高的安全性與實時性;
更靈活:不需要綁定mac、與用戶端無關,使用使用者名與密碼認證就可以接入網絡,使用者可以支援多個終端,在手機、筆記本、桌上型電腦上登入,都可以配置設定到對應的vlan與acl,避免vlan規劃的調整。
符合标準:802.1x屬于ieee标準,和以太網标準同源,可以實作和以太網技術的無縫融合,幾乎所有的主流資料裝置廠商在其裝置,包括路由器、交換機和無線ap上都提供對該協定的支援。在用戶端方面微軟作業系統内置支援,linux也提供了對該協定的支援。
使用者審計:結合radius的計費功能,還可以實作使用者的線上的審計、線上時長的統計。
方案缺點
需要部署認證與帳戶系統:目前很多機關都已有自己的帳戶系統,隻需要啟動ldap支援,安裝freeradius即可。
首次接入網絡需要一些配置:好在配置後,後續接入就可以實作自動登入。同時即使配置失敗,裝置也可以支援一個“臨時訪客vlan”,以提供基礎的網絡通信功能。
關鍵配置
1.部署認證伺服器freeradius伺服器和ldap伺服器(本文略)。
2.在網絡裝置裝置上開啟802.1x認證和認證伺服器radius的配置,本文以h3c網絡裝置為例。
第一步:h3c進入特權模式後,開啟802.1x認證協定和認證方式,指令如下:
dot1x
dot1x authentication-method eap
第二步:與認證伺服器radius的配置,指令如下:
radius scheme demo
primary authentication ip //radius伺服器的ip
primary accounting ip //radius伺服器的ip
key authentication cipher 密碼 //radius伺服器認證密碼
key accounting cipher密碼 //radius伺服器計費密碼
user-name-format without-domain
第三步:配置3a認證,最好是每個認證都開啟,我們在配置過程中沒有配置計費認證,結果導緻認證總是失敗,指令如下:
domain system
authentication lan-accessradius-scheme demo
authorization lan-accessradius-scheme demo
accounting lan-access radius-schemedemo
access-limit disable
state active
idle-cut disable
self-service-url disable
第四步:開啟端口的802.1x的認證,指令如下:
interface gigabitethernet1/0/10
dot1x guest-vlan id //認證失敗下發一個guest vlan
undo dot1x handshake //這個握手協定要關閉,避免windows認證一段時間後又會掉線,要求重連
dot1x port-method portbased
dot1x
終端接入效果
下面以win7有線網絡的接入為例進行說明。
第一步:插入網線,點選右下角網絡連接配接處彈出的提示。如下圖所示:
第二步:在彈出的對話框中,使用者名輸入ldap帳号和密碼,如下圖所示:
第三步:認證成功後如下圖所示,入網就是這麼so easy!
作者簡介:鄧小林,現任優雲軟體運維測試工程師,在運維的浩瀚海洋中耕耘着學習着積累着,希望能在運維領域與同行多多交流,與時俱進~