802.1x认证主要用于内网强管控场景,该场景的需求是在没有认证之前不能访问内网(包括二层网络也不能接入),也不能经过二层交换机。优点是做到严格的入网控制,如果没有认证,二层网络也无法正常接入,杜绝非法用户和非法终端接入网络,未通过认证则无法接入内网。
802.1x认证主要包括了802.1x入网控制、联动交换机、VLAN关联用户三大模块,主要用于设置802.1x认证的相关功能。
802.1x认证主要用于内网强管控场景,该场景的需求是:在没有认证之前不能访问内网(包括二层网络也不能接入),也不能经过二层交换机。优点是做到严格的入网控制,如果入网未通过认证,则二层网络也无法正常接入。达到杜绝非法用户和非法终端接入网络的效果。
开启802.1X逃生功能:启用该功能需要同时在交换机上开启逃生VLAN功能。
若启用该功能,AC会把逃生以后的用户划分到逃生VLAN;
若该功能未启用且交换机上配置了且逃生VLAN,当AC宕机、长时间断开连接、终端用户会自动进入逃生VLAN,确保正常的网络接入。
:
请确认已在交换机上配置好逃生功能,交换机未配置逃生功能时开启802.1x逃生功能将导致终端无法接入网络。
基础设置
该配置设置AC作为Radius服务器使用的认证和计费端口,认证端口默认为1812,服务器密钥需与交换机上配置的密钥一致,计费端口默认1813。
准入客户端下载
更新准入客户端功能配置后请先点击提交再进行下载,客户端的安装包方式有两种:MSI安装包、EXE安装包。(MSI安装包中内置AD域透明安装准入配置方法文档)。
:
1.MSI安装的准入客户端无法防止卸载,通常用于结合域控推送。
2.EXE包用于准入客户端防卸载,需要结合[接入关联/准入客户端配置]中的<设置准入客户端卸载密码>使用。
认证方式
• 账号密码认证
可选本地用户和AD域账号。本地用户的用户来源为本地,需要在用户管理中新建本地用户。用户来源为AD域,AC设备本身需要加入域,客户端提交用户名密码后,由AC到AD域校验,AD域返回校验结果后再由AC根据结果通知交换机是否允许接入。
• 外部证书认证
用于企业已有CA证书中心且向用户签发了受信任的个人证书的情景下,AC结合企业的CA证书,在接入交换机上开启802.1X认证,入网终端在准入客户端上选择证书认证,然后导入企业签发的个人证书完成认证。
• AD域单点登录
适用于与企业现有的AD域进行无缝对接,当用户成功登录AD域后,自动通过AC与交换机的802.1X认证,不需要再次输入账号密码认证。
开启802.1X认证前重定向提醒
DNS重定向:配置DNS重定向功能来实现802.1X的认证前重定向功能,用于认证前推送准入客户端和自注册等功能。
服务器IP地址:用于DNS重定向的服务器IP地址必须与AC的DMZ管理口地址同网段,且不能复用管理口的IP地址。
TTL(秒):默认为30秒,范围:1-86400秒。
提醒页面设置:用于设置提醒用户安装准入客户端页面。
认证后处理
认证后处理用来设置用户通过认证之后的用户组。
• 高级选项
启用强制注销用户功能:用于在AC上强制注销802.1X用户,启用该功能需要在交换机上配置RADIUS CoA/DM功能。(CoA报文用于在用户不下线的情况动态改变入网用户属性,DM报文用于中断用户连接。)
联动交换机在[接入认证/802.1x接入认证/联动交换机],主要查看目前对接的交换机状态,其中包括交换机名称、IP地址、状态(是否在线)、厂商名称、接入时间等信息。
该页面无配置按钮,AC收到交换机发送的认证报文之后自动显示交换机相关信息。
在[接入认证/802.1x接入认证/VLAN关联用户],VLAN关联用户主要用于动态设置用户所属的VLAN,包括删除策略,启用/禁用和对策略上移下移设置。
点击<新增>可新增VLAN策略设置,填写策略名称、策略描述,适用用户是设置拥有动态VLAN权限的用户范围,VLAN ID是设置802.1x用户成功认证后的VLAN归属。
某企业近期出现内网有未通过Portal认证的不明IP访问内网服务器读取机密文件的记录,需要对内网接入终端进行强管控,接入终端未通过认证前,内外网资源均不能访问,认证使用账号密码认证。确保终端入网均需认证,提高内网的安全性。
需求分析
该需求结合AC本地用户对接入终端做802.1x认证,交换机开启802.1x,终端输入AC本地创建的用户名和密码完成认证上线,未认证前接入终端不能访问内网资源。
• 802.1x认证需要先启用AC的802.1x入网控制功能,将AC作为Radius服务器,配置相应的端口和服务器密钥;
• 选择用户来源,可选本地用户和AD域用户;
• 最后配置认证后处理的策略,包括用户所属组,是否绑定用户,是否限制用户登录等配置。
操作步骤
步骤1.AC开启802.1x认证。
在导航菜单中的[接入管理/802.1x接入认证]点击开始配置。启用802.1X入网控制功能,并配置Radius认证端口为1812和计费端口为1813,服务器密钥为123。认证服务器启用本地密码认证。
:
1.配置的 Radius端口不能与联动对接设置中Radius认证服务器冲突。
2. AC内置两套Radius服务器,802.1x认证使用Free Radius,联动对接设置中的Radius是在Portal对接中使用,两者端口不冲突的情况下可以同时开启。
3.若冲突,请修改联动对接设置中Radius认证服务器的端口,配置为其他端口。
步骤2.当有认证数据发到AC时[接入管理/802.1x接入认证/联动交换机]会显示交换机的状态。
步骤3.在[接入管理/用户管理/本地组/用户]中点击<新增>按钮创建本地用户,填写登录名和密码并点击<提交>。
步骤4.对接交换机802.1x配置。
对应交换机启用802.1x功能,认证服务器选择radius,radius服务器指向AC,交换机配置请参考《交换机802.1x配置工具V2.0》。该工具集成了多种主流交换机厂商配置。
步骤5.AC需要获取到终端的IP与MAC地址的对应关系用以用户上线。共有四种方式上线:1、交换机Radius计费报文携带IP信息并发送到AC(大部分厂商计费报文都会携带IP信息,如发现未携带,请联系厂商工程师);2、交换机配置镜像口接入到AC镜像口流量上线;3、通过从ARP、DHCP报文获取MAC,或通过SNMP跨三层获取MAC地址;4、使用认证助手登录802.1x的终端会上报IP和MAC地址信息到AC设备。建议通过计费报文的方式。(若该厂商交换机计费报文中不携带IP,请参考SNMP配置章节)。
步骤6.认证助手配置。
在[接入管理/准入客户端配置]中依次勾选[开启准入客户端802.1x功能]、[设置准入客户端卸载密码]并填写密码、[设置准入客户端网关地址]并在[网关主IP地址]中填入AC设备的IP地址、[系统推送准入客户端]、[允许上网]。(在AC控制台勾选[开启准入认证客户端802.1x功能]后下载的认证助手才会生成认证助手快捷方式,用于输入账号密码)。
步骤7.在AC设备Web控制台下载认证助手(准入客户端),以管理员权限安装singress.exe,注意勾选开启准入认证客户端802.1x功能才会生成快捷方式。
步骤8.安装完成之后会在桌面生成快捷方式,双击运行。
步骤9.使用认证助手时注意右上角选择正确的网卡,并点击<登录>上线。
效果展示
说明:802.1X详细配置(包括802.1x+AD域用户、802.1x+CA认证、MAB免认证等场景配置)请参考文档《深信服全网行为管理准入功能配置指导》
建议使用Chrome浏览器访问!
