目录

前言

一、概述

1.存在问题

2. 概述

3. 基本原理

4. 策略授权

二、认证技术

1. 802.1X认证

① 认证方式（网络接入设备和认证服务器间）

② 认证流程

③ 接入控制方式

④基本配置命令

2. MAC地址认证

① 概述

② 应用场景

③ 配置命令

3. Portal认证

① 概述

② 认证方式

③ 应用场景

④ 优点

⑤ 认证流程     

基于Protal协议的认证

基于HTTP/HTTPS协议的认证

⑥ 配置外置Portal服务器

4. MAC旁路认证

5. MAC优先的Portal认证

①技术背景

②mac优先

③ 认证流程

三、用户授权与下线

1.认证授权

2. 用户下线

四、NAC配置

五、策略联动

1. 技术背景

①选择接入层设备作为认证点面临的问题

②上移面临问题

2. 策略联动

3.实现机制

总结

前言

        随着园区网络的应用和发展，病毒、木马、间谍软件、网络攻击等各种信息安全威胁也不断增加。在传统的园区网络建设思路中，一般认为园区内网是安全的，安全威胁主要来自外界。但是研究表明，80%的网络安全漏洞都存在于网络内部，他们导致的网络故障对网络的破坏程度和影响范围在持续扩大，经常引起业务系统崩溃、网络瘫痪。

        网络准入控制（NAC）从对接入网络的终端入手，将终端安全状况和网络准入控制结合在一起，通过检查、隔离、加固和审计等手段，加强网络用户终端的主动防御能力，保证园区中每个终端的安全性，进而保护园区网络的安全性。

一、概述

1.存在问题

• 防病毒软件未实现集中管理，补丁管理混乱，企业即便购买了防病毒软件，很难保证所有终端其病毒特征库都是最新的，导致一旦某台终端感染病毒或恶意代码，很快会在内网泛滥。
• 无法识别用户的身份，无法识别非法用户导致网络存在安全隐患。
• 缺乏对接入终端的访问控制，只要用户接入网络，就能够*地访问整个网络。

2. 概述

        主导思想： 只有合法的用户、安全的终端才可以接入网络。

        用户终端：PC、手机、打印机、摄像头

        网络准入设备：终端网络的认证控制点，准入设备对接入用户进行认证，是园区安全策略的实施者，按照网络指定的安全策略实施响应的准入控制。 如：交换机、路由器、无线接入点、VPN网关等

        准入服务器：实现对用户的认证和授权，用于确认尝试接入网络的终端身份是否合法，还可以指定身份合法的终端所能拥有的网络访问权限。如：RADIU服务器和用户数据源服务器（存储用户的身份信息）。

3. 基本原理

4. 策略授权

       策略管控： 终端通过认证接入网络，也并不意味着可以访问网络内的所有资源，而是需要基于用户身份对其加以区分，分别赋予其不同的网络访问权限。

二、认证技术

1. 802.1X认证

        802.1X认证是一种基于端口的网络接入控制协议，即在接入设备的端口这一级验证用户身份并控制其访问权限。使用EAPol（局域网可扩展认证协议），实现客户端、设备端和认证服务器之间认证信息的交换。

        应用场景：对安全要求较高的办公用户认证场景。

① 认证方式（网络接入设备和认证服务器间）

• EAP终结       EAP报文在设备终端终结并重新封装到RADIU报文中，利用标准RADIUS协议完成认证、授权和计费。

• EAP中继      EAP报文直接封装在RADIUS报文中，以便穿越复杂的网络到达认证服务器。

EAP中继

优点：设备端处理更简单，支持更多的认证方式

缺点：认证服务器必须支持EAP，且处理能力足够强

EAP终结

优点：  现有的RADIUS服务器基本均支持PAP和CHAP认证，无需升级服务器，

缺点：  设备端工作比较繁重 ，不仅要提取客户端信息，还要封装成RADIUS协议   

② 认证流程

③ 接入控制方式

• 基于端口模式

• 基于MAC模式

        当采用基于MAC地址方式时，该端口下的所有接入用户均需要单独认证。当某一用户下线时，不影响其他用户接入网络。

④基本配置命令

• 创建802.1x接入模板视图

[Huawei]dolt1x-access-profile name XXX

• 配置802.1X用户的认证方式

[HuHuawei-dot1x-XXX]dot1x authentication-method  chap/pap/eap

• 配置触发802.1X认证的报文类型

[Huawei-dot1x-XXX]authentication trigger-condition {dhcp | arp | dhcpv6 | any-l2-packet }

• 配置802.1X认证报文二层透明传输功能

[Huawei]l2protocol-tunnel user-defined-protocol protocol-Name  protocol-mac protocol-mac group-mac group-mac

[Huawei-ge0/0/0]l2protocol-tunnel user-defined-protocol protocol-name enable

2. MAC地址认证

① 概述

        MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法。

② 应用场景

• 不需要用户安装任何客户端软件
• 适用于IP电话、打印机等哑终端接入

③ 配置命令

• 创建MAC接入模板视图

[Huawei]mac-access-profile name access-profile-name

• 配置MAC认证用户的认证方式

[Huawei-mac-access-profile]mac-authen authentication-method {chap |  pap}

• 配置能够触发MAC认证的报文类型

[Huawei-access-profile-profilename]authentication trigger-condition { dhcp | arp | dhcpv6 | nd | any-l2-packet }

• mac认证用户采用的用户名形式

[Huawei-mac-access-profileName]mac-authen username { fixed username [ password cipher password ] | macaddress [ format { with-hyphen | without-hyphen } [ password cipher password ] ]}

3. Portal认证

① 概述

        Portal认证也称为Web认证。用户可以通过Web认证页面，输入用户账号和密码信息，实现对终端用户身份的认证。

② 认证方式

• 主动认证： 通过浏览器主动访问Portal认证网站
• 重定向认证： 用户输入的访问地址不是Portal认证网站地址，被接入设备强制访问Portal认证网站。

③ 应用场景

        Protal认证不需要安装专门的客户端软件，因此主要用于无客户端软件要求的接入场景或访客接入场景。

④ 优点

• 一般情况下，客户端不需要安装额外的软件，直接在网页上认证，简单方便
• 便于运营，可以在网页上进行广告发布、企业宣传等业务拓展
• 技术成熟，被广泛应用于运营商、连锁快餐、酒店、学校等网络
• 部署位置灵活，可基于用户名与VLAN/IP地址/MAC地址的组合对用户进行认证

⑤ 认证流程     

基于Protal协议的认证

基于HTTP/HTTPS协议的认证

⑥ 配置外置Portal服务器

Ⅰ.开启HTTP/HTTPS协议的Portal对接功能

[Huawei]portal web-authen-server { https | http ssl-policy policy-name } [port port-name]

Ⅱ. 创建/进入Portal服务器模板

[Huawei]web-auth-server server-name

Ⅲ. 配置Portal认证时所使用的协议

[Huawei-web-auth-server-ServerName]protocol {http [password-encrypt] {none | uam }| portal }

Ⅳ.基于Portal协议的Portal服务器参数配置

[Huawei-web-auth-server-ServerName] server-ip server-ip-address
[Huawei-web-auth-server-ServerName] source-ip ip-address
[Huawei-web-auth-server-ServerName] shared-key cipher key-string
[Huawei-web-auth-server-ServerName] url url-string

 Ⅴ. 基于HTTTP/HTTPS协议的Portal服务器参数配置

[Huawei-web-auth-server-ServerName] url url-string

⑦ 配置Portal接入模板

Ⅰ. 创建/进入Portal接入模板

[Huawei] portal-access-profile name access-profile-name

Ⅱ. 配置Portal接入模板使用的Portal服务器模板

[Huawei-portal-acces-profile-ProfileName] web-auth-server server-name  { direct | layer3 }

4. MAC旁路认证

        当接入设备接口下同时存在PC和打印机/传真机等哑终端时，可以通过MAC旁路认证功能，使不具备802.1x认证功能的哑终端能够通过MAC认证方式接入网络。

5. MAC优先的Portal认证

①技术背景

        用户进行Portal认证成功后，如果断开网络，重新连接时需要再次输入用户名、密码，体验差。

②mac优先

        用户进行Portal认证成功后，在一定时间内断开网络重新连接，能够直接通过MAC认证接入，无需输入用户名、密码重新认证。

③ 认证流程

三、用户授权与下线

1.认证授权

       vlan： 为了将受限的网络资源与未认证用户隔离，通常将受限的网络资源和未认证的用户划分到不同的vlan。

        acl: 用户认证成功后，认证服务器将指定ACL授权给用户，则设备会根据该ACL对用户报文进行控制。

        UCL: User Control List,用户控制列表，是网络成员的集合。

2. 用户下线

• 客户端主动下线
• 接入设备控制用户下线
• 服务器控制用户下线

四、NAC配置

        用户接入认证配置思路

五、策略联动

1. 技术背景

①选择接入层设备作为认证点面临的问题

• 接入层设备数量多，配置工作量大，运维难度大
• 接入层设备数量多，增加AAA服务器的负担
• 用户必须在固定位置接入网络

②上移面临问题

• 接入层设备需透传BPDU报文，否则用户的802.1X认证将失败
• 准入管控太高，同一层接入设备上相同vlan用户之间的访问不受控制
• 用户接入的具体位置无法感知、不易于故障定位
• 网关设备无法实时感知用户下线

2. 策略联动

        通过在网关设备上统一管理用户的访问策略，并且在网关设备和接入设备执行用户的访问策略，来解决大型园区策略强度与复杂度之间矛盾的一种解决方案。

        认证控制点与认证执行点之间建立CAPWAP隧道，完成设备之间用户关联、消息通信、用户授权策略下发、用户同步等处理。

3.实现机制

典型场景：

• 用户接入:  认证执行点建立用户关联表，用户与认证控制点之间进行认证交互，认证成功后认证控制点下发授权信息到认证执行点。
• 用户离开: 用户断开与接入设备连接，认证执行点实时通过CAPWAP隧道通知认证控制点，认证执行点清除用户表项。
• 用户移动：用户连接到新的网络之后，重新完成认证操作。

总结