一、 产品研发背景
IEEE 802.1X标准认证协议和动态VLAN的引入,在以太网交换机端口实现对用户认证、授权,以其实现技术简单、灵活成为企业局域网的首选。利用 802.1X和RADIUS认证服务器的授权控制,根据用户不同动态分配交换机端口VLAN属性实现较灵活的控制,实现了一定范围内的移动办公需求。整套方案应用成熟,易于实现,给企业局域网安全管理提供了一种有效的解决途径。
二、产品技术简介
1、IEEE 802.1X认证协议
它是基于C/S结构面向端口的访问控制认证协议。交换机端口有几种状态Block、Listen、Learn和Forward,如果端口不配置认证,PC配 置相应的地址即可访问网络。通过对端口802.1X的配置,端口处于受控状态Authen和UNAuthen,在未认证状态下,端口仅收发EAPoL等认证包信息,不允许访问网络,如果未配置VLAN,端口处于那个VLAN都未知;在认证通过后,根据用户在服务器上的配置,端口分配相应特性,才可以访问网络。这正是我们所需要的特性。
802.1X体系有三部分构成:8.2.1X拨号客户端、网络接入设备(支持8.2.1X交换机)和认证服务器(宝界终端准入网关)。
8.2.1X客户端:实现EAPoL的请求和应答,目前Win2000SP4、WIN XP 、WIN2003均内置了认证客户端软件,也可选用宝界802.1X客户端软件,或选用第三方的802.1X认证软件。
网络设备:认证存取点,可以选取支持802.1X认证的无线AP和二层以上的交换机。应注意支持的兼容性,对802.1x和RFC RADIUS支持良好。尽管许多厂商都宣称支持802.1X,存在很多兼容性问题,往往引起工程实施中的难度。
认证服务器:宝界终端准入网关实现客户端身份认证,并下发RADIUS的属性。
2、动态VLAN
是指根据交换机的某个设定,将端口划分到一个VLAN中。划分VLAN的条件有很多,根据MAC地址(MACBase)、不同的身份认证。RFC RADIUS服务器支持VLAN信息属性,可以把基于064(Tunnel-Type),065(Tunnel-Medium- Type),081(Tunnel-Private-Group-ID)的VLAN设定端口。所有用户及相关信息存于RADIUS服务器上,可以根据用户的变化调整用户的配置.
三、相关要求
1、认证服务器:支持IETF标准的服务器,本方案采用宝界终端准入网关作为认证服务器
2、交换机支持VLAN划分和802.1X协议,为了实现动态VLAN和多个二层交换机的Trunk接入,核心应选用三层交换机。
3、 客户端操作系统比较常用的Windws,Linux等。Win 2000SP4,Win XP以上,Win2003均内置了对802.1X的支持,也可采宝界的802.1X客户端,它同时支持cisco、华为等常见的交换机。
四、产品部署拓朴结构
标签: 准入控制, 宝界, 宝界准入, 终端准入控制