使用802.1X+FreeRadius+LDAP實現網絡准入方案

前言：在很多運維項目交流中，我們發現有一些運維團隊還是在嘗試使用網管或桌面管理來進行網絡准入管理，但這兩個技術有一定的缺點，所以本文分享一下802.1X+開源軟件整合的網絡准入管理的實踐。

 

網絡准入業界常用方案

 

為了保證網絡資源的安全，拒絕非法入侵，現代IT網絡總需要一定的網絡准入方案，而目前業界常用的網絡准入方案有：

 

方案	說明	優點	缺點
桌面管理軟件	以一機兩用等產品為代表，需要安裝agent並經過審批才能進入網絡，否則通過ARP攻擊等手段阻止非法終端接入。	控制能力強	安裝維護成本高； 對客戶端有要求。
網管掃描攔截	通過網絡管理軟件掃描局域網終端，並通過交換機端口控制來實現非法終端接入。	網絡要求較低	掃描實時性差； 依賴拓撲發現； 實用性不足。
網關准入控制	以酒店行業為代表，通過網絡接入時，要求進行登錄以分配到正確的IP地址與互聯網訪問許可	網絡要求低； 網關購買成本高。	只能控制經過網關的數據，不能控制局域網。

 

而今天給大家介紹的802.1X+FreeRadius+LDAP網絡准入方案，則避免了上述方案中的缺點，是一套低成本，控制能力強，符合行業標准的一套網絡准入認證體系。

 

什么是802.1X

 

802.1x協議是基於Client/Server的訪問控制和認證協議。它可以限制未經授權的用戶/設備通過接入端口(access port)訪問LAN/WLAN。在獲得交換機或LAN提供的各種業務之前，802.1x對連接到交換機或AP上的設備進行認證。在認證通過之前，802.1x只允許EAPoL（基於局域網的擴展認證協議）數據通過設備連接的交換機端口；認證通過以后，正常的數據可以順利地通過以太網端口。

 

部署結構

 

 

該方案的部署包括客戶端、接入網絡、論證與帳戶系統。

• 客戶端：可以是Windows、OSX與移動終端。目前Windows與OSX均支持802.1x協議，並且移動端也支持企業級WPA（支持用戶名與密碼）並與RADIUS服務集成；

• 接入網絡：支持802.1x與Radius的交換機與無線AP即可，由於802.1x是一個已經普遍支持的行業標准，所以目前幾乎所有主流的交換機與AP都可以支持；

• 論證與帳戶系統：一個Radius服務器（本案例使用FreeRadius），與提供帳戶管理的數據庫（本案例使用LDAP服務器），同時也支持在LDAP服務器中設置下發VLAN與ACL信息。

 

方案優點

 

• 統一配置：對於運維人員來說減少網絡管理維護工作，通過LDAP統一帳戶管理。

• 安全可靠：在二層網絡上實現用戶認證，結合端口、賬戶、VLAN和密碼等；綁定技術具有很高的安全性與實時性；

• 更靈活：不需要綁定mac、與客戶端無關，使用用戶名與密碼認證就可以接入網絡，用戶可以支持多個終端，在手機、筆記本、台式機上登錄，都可以分配到對應的VLAN與ACL，避免VLAN規划的調整。

• 符合標准：802.1x屬於IEEE標准，和以太網標准同源，可以實現和以太網技術的無縫融合，幾乎所有的主流數據設備廠商在其設備，包括路由器、交換機和無線AP上都提供對該協議的支持。在客戶端方面微軟操作系統內置支持，Linux也提供了對該協議的支持。

• 用戶審計：結合radius的計費功能，還可以實現用戶的在線的審計、在線時長的統計。

 

方案缺點

 

• 需要部署認證與帳戶系統：目前很多單位都已有自己的帳戶系統，只需要啟動LDAP支持，安裝FreeRadius即可。

• 首次接入網絡需要一些配置：好在配置后，后續接入就可以實現自動登錄。同時即使配置失敗，設備也可以支持一個“臨時訪客VLAN”，以提供基礎的網絡通信功能。

 

關鍵配置

 

1. 部署認證服務器FreeRadius服務器和LDAP服務器（本文略）。

2. 在網絡設備設備上開啟802.1X認證和認證服務器RADIUS的配置，本文以H3C網絡設備為例。

 

第一步：H3C進入特權模式后，開啟802.1X認證協議和認證方式，命令如下：

dot1x
dot1x authentication-method eap

第二步：與認證服務器RADIUS的配置，命令如下：

radius scheme demo
primary authentication IP //radius服務器的IP
primary accounting IP //radius服務器的IP
key authentication cipher 密碼 //radius服務器認證密碼
key accounting cipher密碼 //radius服務器計費密碼
user-name-format without-domain

第三步：配置3A認證，最好是每個認證都開啟，我們在配置過程中沒有配置計費認證，結果導致認證總是失敗，命令如下：

domain system  
authentication lan-accessradius-scheme demo
authorization lan-accessradius-scheme demo
accounting lan-access radius-schemedemo
access-limit disable
state active  
idle-cut disable
self-service-url disable

 

第四步：開啟端口的802.1X的認證，命令如下：

interface GigabitEthernet1/0/10
dot1x guest-vlan ID //認證失敗下發一個guest VLAN
undo dot1x handshake //這個握手協議要關閉，避免windows認證一段時間后又會掉線，要求重連
dot1x port-method portbased
dot1x   
idle-cut disable
self-service-url disable

 

終端接入效果

 

下面以win7有線網絡的接入為例進行說明。

第一步：插入網線，點擊右下角網絡連接處彈出的提示。如下圖所示：

 

第二步：在彈出的對話框中，用戶名輸入LDAP帳號和密碼，如下圖所示：

 

第三步：認證成功后如下圖所示，入網就是這么so easy！

 

原文