本文,将为大家分享运维前沿在网络准入管理方面的实践经验。
网络准入业界常用方案
为了保证网络资源的安全,拒绝非法入侵,现代it网络总需要一定的网络准入方案,而目前业界常用的网络准入方案有:
而今天给大家介绍的802.1x+freeradius+ldap网络准入方案,则避免了上述方案中的缺点,是一套低成本,控制能力强,符合行业标准的一套网络准入认证体系。
什么是802.1x
802.1x协议是基于client/server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问lan/wlan。在获得交换机或lan提供的各种业务之前,802.1x对连接到交换机或ap上的设备进行认证。在认证通过之前,802.1x只允许eapol(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
部署结构
该方案的部署包括客户端、接入网络、论证与帐户系统。
客户端:可以是windows、osx与移动终端。目前windows与osx均支持802.1x协议,并且移动端也支持企业级wpa(支持用户名与密码)并与radius服务集成;
接入网络:支持802.1x与radius的交换机与无线ap即可,由于802.1x是一个已经普遍支持的行业标准,所以目前几乎所有主流的交换机与ap都可以支持;
论证与帐户系统:一个radius服务器(本案例使用freeradius),与提供帐户管理的数据库(本案例使用ldap服务器),同时也支持在ldap服务器中设置下发vlan与acl信息。
方案优点
统一配置:对于运维人员来说减少网络管理维护工作,通过ldap统一帐户管理。
安全可靠:在二层网络上实现用户认证,结合端口、账户、vlan和密码等;绑定技术具有很高的安全性与实时性;
更灵活:不需要绑定mac、与客户端无关,使用用户名与密码认证就可以接入网络,用户可以支持多个终端,在手机、笔记本、台式机上登录,都可以分配到对应的vlan与acl,避免vlan规划的调整。
符合标准:802.1x属于ieee标准,和以太网标准同源,可以实现和以太网技术的无缝融合,几乎所有的主流数据设备厂商在其设备,包括路由器、交换机和无线ap上都提供对该协议的支持。在客户端方面微软操作系统内置支持,linux也提供了对该协议的支持。
用户审计:结合radius的计费功能,还可以实现用户的在线的审计、在线时长的统计。
方案缺点
需要部署认证与帐户系统:目前很多单位都已有自己的帐户系统,只需要启动ldap支持,安装freeradius即可。
首次接入网络需要一些配置:好在配置后,后续接入就可以实现自动登录。同时即使配置失败,设备也可以支持一个“临时访客vlan”,以提供基础的网络通信功能。
关键配置
1.部署认证服务器freeradius服务器和ldap服务器(本文略)。
2.在网络设备设备上开启802.1x认证和认证服务器radius的配置,本文以h3c网络设备为例。
第一步:h3c进入特权模式后,开启802.1x认证协议和认证方式,命令如下:
dot1x
dot1x authentication-method eap
第二步:与认证服务器radius的配置,命令如下:
radius scheme demo
primary authentication ip //radius服务器的ip
primary accounting ip //radius服务器的ip
key authentication cipher 密码 //radius服务器认证密码
key accounting cipher密码 //radius服务器计费密码
user-name-format without-domain
第三步:配置3a认证,最好是每个认证都开启,我们在配置过程中没有配置计费认证,结果导致认证总是失败,命令如下:
domain system
authentication lan-accessradius-scheme demo
authorization lan-accessradius-scheme demo
accounting lan-access radius-schemedemo
access-limit disable
state active
idle-cut disable
self-service-url disable
第四步:开启端口的802.1x的认证,命令如下:
interface gigabitethernet1/0/10
dot1x guest-vlan id //认证失败下发一个guest vlan
undo dot1x handshake //这个握手协议要关闭,避免windows认证一段时间后又会掉线,要求重连
dot1x port-method portbased
dot1x
终端接入效果
下面以win7有线网络的接入为例进行说明。
第一步:插入网线,点击右下角网络连接处弹出的提示。如下图所示:
第二步:在弹出的对话框中,用户名输入ldap帐号和密码,如下图所示:
第三步:认证成功后如下图所示,入网就是这么so easy!
作者简介:邓小林,现任优云软件运维测试工程师,在运维的浩瀚海洋中耕耘着学习着积累着,希望能在运维领域与同行多多交流,与时俱进~