终端准入--802.1X准入实施方案.doc

宝界 准入解决方案陈涛扣扣 1204673254 0510-81018135 一、需求背景 、为什么要用 准入? 在一些军队或保密的企事业, 对接入内网的终端主机非常严格时才要用到 准入。 、什么样的网络环境需要 准入? 准入控制需要所有交换机支持 协议, 接入终端都能支持 , 能够真正的做到对网络边界的保护。二、解决方案 、 准入工作原理 协议是基于 Client/Server 的访问控制和认证协议。它可以限制未经授权的用户/ 设备通过接入端口访问 LAN/ W AN 。在获得交换机或 LAN 提供的各种业务之前, 对连接到交换机端口上的用户/ 设备进行认证。在认证通过之前, 只允许 EAPoL (基于局域网的扩展认证协议) 数据通过设备连接的交换机端口; 认证通过以后, 正常的数据可以顺利地通过以太网端口。 、 准入部署拓朴图网络拓朴结构网络拓朴说明: 1 设备是接在三层核心交换机上,旁路方式。 2 交换机都要开启 ,下面不允许接入非网管交换机等。 、 准入服务相关设置 、宝界 准入基本参数设置【启用 准入】此复选框勾选,代表与交换机的联动的 认证服务启动,终端准入网关做为一个独立的 RADIUS 认证服务器运行。 、宝界 RADIUS 服务设置在 准入环境中,宝界终端准入网关,充当 RADIUS 服务器,, 客户端到与宝界终端准入系统中的用户库进行对比与认证。增加、删除监控的交换机交换机 RADIUS 参数设置 、 交换机相关设置 华为交换机?配置管理 VlanIP 地址 system-view // 进入软件管理模式 interface vlan-interface 1 // 创建并进入管理 VLAN1 接口视图 ip address yourip yourmask // 为管理 Vlan 接口指定 IP 地址、子网掩码?配置 登录用户 system-view // 进入软件管理模式 user-interfave vty0 // 进入虚拟连接端口 0 管理 set authentication password simple yourpassword // 添加管理 Vlan 密码 user privilege level <0-3> // 提升密码权限 3 最高?保存信息 quit // 退出至最低级权限 save // 保存配置?配置 802dot1x system-view // 进入软件管理模式 802dot1x // 开启 模式 dot1x interface 0/1 // 开启指定端口 认证 dot1x authentication-method chap // 指定认证方式 chap dot1x port-control auto // 使配置生效?配置 Radius 服务器 system-view // 进入软件管理模式 radius scheme // 创建 RADIUS 服务器组并进入其视图 primary authentication // 设置主 RADIUS 认证/ 授权的 IP 地址 key authentication BJ-RadiusServer // 设置 RADIUS 认证/ 授权的加密密钥, BJ-RadiusServer 密钥不能随便更改否则导致接入控制认证失败?配置 Domain system-view // 进入软件管理模式 domain DomainName // 创建 Domain 并进入其视图 radius-scheme YourRadiusSchemeName // 使用的 Radius 方案名 domain default enable DomainName // 配置为默认的 Domain ?调试信息 terminal monitor terminal debugging debugging radius packet H3C 交换机<H3C> system-view System View: return to User View with Ctrl+Z. # (可选)为交换机配置能够与服务器通讯的 IP 地址。[H3C] interface vlan-interface 1 [H3C-Vlan-int