使用802.1X+FreeRadius+LDAP实现网络准入方案

前言:在很多运维项目交流中,我们发现有一些运维团队还是在尝试使用网管或桌面管理来进行网络准入管理,但这两个技术有一定的缺点,所以本文分享一下802.1X+开源软件整合的网络准入管理的实践。

网络准入业界常用方案

为了保证网络资源的安全,拒绝非法入侵,现代IT网络总需要一定的网络准入方案,而目前业界常用的网络准入方案有:


方案
说明
优点
缺点

桌面管理软件
以一机两用等产品为代表,需要安装agent并经过审批才能进入网络,否则通过ARP攻击等手段阻止非法终端接入。
控制能力强
安装维护成本高;

对客户端有要求。

网管扫描拦截
通过网络管理软件扫描局域网终端,并通过交换机端口控制来实现非法终端接入。
网络要求较低
扫描实时性差;

依赖拓扑发现;

实用性不足。

网关准入控制
以酒店行业为代表,通过网络接入时,要求进行登录以分配到正确的IP地址与互联网访问许可
网络要求低;

网关购买成本高。
只能控制经过网关的数据,不能控制局域网。

而今天给大家介绍的802.1X+FreeRadius+LDAP网络准入方案,则避免了上述方案中的缺点,是一套低成本,控制能力强,符合行业标准的一套网络准入认证体系。

什么是802.1X

802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机或AP上的设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。

部署结构

该方案的部署包括客户端、接入网络、论证与帐户系统。

  • 客户端:可以是Windows、OSX与移动终端。目前Windows与OSX均支持802.1x协议,并且移动端也支持企业级WPA(支持用户名与密码)并与RADIUS服务集成;
  • 接入网络:支持802.1x与Radius的交换机与无线AP即可,由于802.1x是一个已经普遍支持的行业标准,所以目前几乎所有主流的交换机与AP都可以支持;
  • 论证与帐户系统:一个Radius服务器(本案例使用FreeRadius),与提供帐户管理的数据库(本案例使用LDAP服务器),同时也支持在LDAP服务器中设置下发VLAN与ACL信息。

方案优点

  • 统一配置:对于运维人员来说减少网络管理维护工作,通过LDAP统一帐户管理。
  • 安全可靠:在二层网络上实现用户认证,结合端口、账户、VLAN和密码等;绑定技术具有很高的安全性与实时性;
  • 更灵活:不需要绑定mac、与客户端无关,使用用户名与密码认证就可以接入网络,用户可以支持多个终端,在手机、笔记本、台式机上登录,都可以分配到对应的VLAN与ACL,避免VLAN规划的调整。
  • 符合标准:802.1x属于IEEE标准,和以太网标准同源,可以实现和以太网技术的无缝融合,几乎所有的主流数据设备厂商在其设备,包括路由器、交换机和无线AP上都提供对该协议的支持。在客户端方面微软操作系统内置支持,Linux也提供了对该协议的支持。
  • 用户审计:结合radius的计费功能,还可以实现用户的在线的审计、在线时长的统计。

方案缺点

  • 需要部署认证与帐户系统:目前很多单位都已有自己的帐户系统,只需要启动LDAP支持,安装FreeRadius即可。
  • 首次接入网络需要一些配置:好在配置后,后续接入就可以实现自动登录。同时即使配置失败,设备也可以支持一个“临时访客VLAN”,以提供基础的网络通信功能。

关键配置

  1. 部署认证服务器FreeRadius服务器和LDAP服务器(本文略)。
  2. 在网络设备设备上开启802.1X认证和认证服务器RADIUS的配置,本文以H3C网络设备为例。

第一步:H3C进入特权模式后,开启802.1X认证协议和认证方式,命令如下:

dot1xdot1x authentication-method eap

第二步:与认证服务器RADIUS的配置,命令如下:

radius scheme demoprimary authentication IP //radius服务器的IPprimary accounting IP //radius服务器的IPkey authentication cipher 密码 //radius服务器认证密码key accounting cipher密码 //radius服务器计费密码user-name-format without-domain

第三步:配置3A认证,最好是每个认证都开启,我们在配置过程中没有配置计费认证,结果导致认证总是失败,命令如下:

domain system  authentication lan-accessradius-scheme demoauthorization lan-accessradius-scheme demoaccounting lan-access radius-schemedemoaccess-limit disablestate active  idle-cut disableself-service-url disable

第四步:开启端口的802.1X的认证,命令如下:

interface GigabitEthernet1/0/10dot1x guest-vlan ID //认证失败下发一个guest VLANundo dot1x handshake //这个握手协议要关闭,避免windows认证一段时间后又会掉线,要求重连dot1x port-method portbaseddot1x   idle-cut disableself-service-url disable

终端接入效果

下面以win7有线网络的接入为例进行说明。

第一步:插入网线,点击右下角网络连接处弹出的提示。如下图所示:

第二步:在弹出的对话框中,用户名输入LDAP帐号和密码,如下图所示:

第三步:认证成功后如下图所示,入网就是这么so easy!

原文

时间: 2024-10-03 15:56:18

使用802.1X+FreeRadius+LDAP实现网络准入方案的相关文章

FreeRadius+Cisco交换机+Windows AD实现802.1X认证

(一)概述本文档描述了如何设置FreeRadius服务器,以便对windows客户端网络用户透明的对ActiveDirectory进行身份验证. 1.1.原理:FrReRADIUS通过基于端口的访问控制提供身份验证.只有当认证服务器验证了证书时,用户才能连接到网络.用户证书通过使用802.1x标准的特殊认证协议来验证.(FreeRADIUS offers authentication via port based access control. A user can connect to the

Freeradius+Cisco2960S+windows AD实现有线802.1x认证

概述 feeradius是一个免费开源的 AAA服务器,更能强大,很多功能不输商业化软件.曾经试过很多类似的软件,如Cisco的ACS,微软的NAP等,思科的不错就是太贵,微软的感觉不好用.本例主要实现freeradius3版本通过windows AD 及证书验证,实现在Cisco系列交换机上基于端口的802.1x认证,只有加入域的计算机和用户并且开启了认证才可以联网,否则交换机端口将其划入guest Vlan进行隔离修补.这里借鉴了官方文档的部分图片和内容,但官网有些方面说的还是不够完整,有些

FreeRadius + Daloradius + Ubuntu Server 实现的无线802.1x的radius验证

介绍 FreeRadius 是目前开源应用中使用最广泛的软件.它支持目前普遍使用的各种验证协议,服务器是运行在PHP为基础的web平台上提供一种叫dialupadmin的用户管理工具.它为近500家企业提供了AAA访问需求提供了免费的解决方案. daloRADIUS是高级的RADIUS页面管理应用目的是对于hotspots和ISP的部署进行管理.同时还提供了用户管理,图形化的报告.报表引擎以及于google地图的集成. 背景知识: -基础的Linux命名行 -基础的网络知识 实现的软件环境: O

windows找不到证书来让您登陆到网络,启用IEEE 802.1X验证为灰色

网上的解决办法要么是针对SP2,打补丁. 要么禁止IEEE 802.1X验证. 但也有很多人,像我一样用SP3,且上述验证是灰色.在网上搜索很久未果,今天终于在高手帮助下解决了,过程发出来,希望能帮助到有同样问题的朋友. 无线网络属性 无线网络配置 选择要连接的网络,属性 验证 EAP类型 (受保护的EAP),属性 受信任的根证书颁发机构(GTE CyberTrust Global Root),选择身份验证方法,属性,不自动选择登录名和密码 确定. 转自:http://blog.sina.com

CERT网络 802.1x客户端源代码 (北京科技技术职业学院)

2006年在学校的时候对CERT教育网络的802.1X的逆向工程.写出的802.1x客户但,协议完全兼容.包括心跳机制. 2006年在学校上网cert网络提供的802.1X客户端做出了很多的限制,禁止一切代理工具,所以出于好奇业余时间进行了逆向工程,使用工具ollydbg,ida pro 开发是基于mfc完成的,使用ibpcap,编译的时候请自行下载libpcap http://files.cnblogs.com/raffeale/802_1X_Connector_2006-03-01_Stab

Packetfence 开源网络准入系统

Packetfence 网络准入系统: 开源的准入系统,我公司现在有6-7百人吧,正在用.版本是5.7.现在最新的都出到6.多了 主要用户体验是:用户电脑接入网络,网页任何打开一个网页会自动跳转到一个登陆页面,注册后才可以进入内网. 主要特点: 1.旁路接入 2.支持802.1x或MAB认证 3.完美支持思科2960交换机,可分配VLAN 4.可以查到一个IP地址.MAC地址所在的交换机 5.其它功能可以自己发掘. 发现中国用这个系统的人也比较少.文档也很少. 安装参考:或者直接下载官网上做好的

802.1x细节2

零.AD DC CA 组策略 AD类似个数据库.存放用户名密码计算机等信息.IAS读取AD中的用户名密码做验证. 用户vs计算机: 用户,如在AD里建一个lanny用户.该用户可以登录许多计算机. 计算机:某个物理实体. 网络中计算机两种组织形式 1,工作组 域(统一管理&统一身份验证) 统一管理:组策略.如批量给域中计算机部署软件,禁用软件.下发证书等. 统一身份验证:帐号集中管理,通用. 3,DC:装了AD的server2008 4,CA:CA颁发证书,802.1x环节即EAPOL&R

Ubuntu16.04 802.1x 有线连接 输入账号密码,为什么连接不上?

ubuntu16.04,在网络配置下找到802.1x安全性,输入账号密码,为什么连接不上? 这是系统的一个bug解决办法:假设你有一定的ubuntu基础,首先你先建立好一个不能用的协议,就是按照之前的方法建立就好,要记住它的名字,它会一直提示你输入密码,不过不影响,关掉就行,但必须建立好. 1. Ctrl+Alt+t 打开终端2. cd /etc/NetworkManager/system-connections3. ls 一下,你可以看到之前创建的配置文件(按上面的步骤,这里应该能找到ethe

802.1X认证配置

1. 组网需求 用户通过Device的端口Ethernet1/0/1接入网络,设备对该端口接入的用户进行802.1X认证以控制其访问Internet,具体要求如下: ·     由两台RADIUS服务器组成的服务器组与Device相连,其IP地址分别为10.1.1.1/24和10.1.1.2/24,使用前者作为主认证/计费服务器,使用后者作为备份认证/计费服务器. ·     端口Ethernet1/0/1下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络. ·