网络部署设备描述
网络设备型号:华为 S5700C-SI Version 5.120 (V200R002C00SPC100)
准入服务器:联软Radius 服务器
Citrix PVS MAC+802.1X+ACL准入部署设计
PVS 客户端部署方案设计
交换机端口部署802.1X认证和MAC认证,PVS PXE启动通过DHCP discover广播包请求获取IP地址,交换机收到PVS广播包触发端口MAC地址认证,MAC认证成功后,Radius服务器下发受限访问认证前域服务器网络权限ACL ID1;之后PVS获取IP地址、OPtion 66 67选项,通过引导文件加载OS正常启动,PVS客户端AD认证进入系统进行802.1X客户端认证,802.1X认证成功后,Radius扶起下发认证后域服务器网络访问权限ACL ID2;
普通工作站 802.1X准入部署设计
网络设备型号:华为 S2700TP-EI
部署方案设计:
交换机端口部署802.1X认证,802.1X端口控制类型设置为MAC-based,以便允许HUB接入场景需求;
2.PVS环境准入认证过程
PVSMAC认证,获取访问认证前域权限
PVS接入桌面交换机,端口UP,交换机等待4S终端无802.1X认证请求报文,交换机封装终端MAC地址至Radius报文进行MAC认证,Radius服务器收到MAC认证报文,验证通过下发ACL(认证前域访问权限)至交换机对应端口,PVS终端获得访问认证前域PVS服务器、AD服务器访问权限,加载OS镜像正常启动系统;
PVS802.1X认证,获取访问认证后域权限
PVS 系统启动后,使用802.1X认证客户端与Radius服务器进行二次认证,认证客户端递交身份信息、客户端安全配置策略状态信息至Radius服务器,所有状态满足策略要求认证成功,通知交换机对应端口开放PVS终端访问权限,否则PVS客户端自动修复成功后继续进行认证直到完成接入;
交换机准入配置解析
无盘环境huawei交换机802.1X部署配置
<NAC-test>dis version
Huawei Versatile Routing Platform Software
VRP (R) software, Version 5.110 (S5700 V200R001C00SPC300)
Copyright (C) 2000-2012 HUAWEI TECH CO., LTD
Quidway S5700-52C-SI Routing Switch uptime is 0 week, 0 day, 8 hours, 1 minute
CX22EMGEC 0(Master) : uptime is 0 week, 0 day, 8 hours, 0 minute
256M bytes DDR Memory
32M bytes FLASH
Pcb Version : VER B
Basic BOOTROM Version : 162 Compiled at May 31 2012, 10:56:32
CPLD Version : 5
Software Version : VRP (R) Software, Version 5.110 (V200R001C00SPC300)
FORECARD information
Pcb Version : CX22E4GFA VER A
FPGA Version : 0
HINDCARD information
Pcb Version : CX22ETPB VER C
FANCARD I information
Pcb Version : FAN VER B
PWRCARD I information
Pcb Version : PWR VER A
<NAC-test>dis cu
#
!Software Version V200R001C00SPC300
sysname NAC-test
#
vlan batch 1 137
#
dot1x enable
dot1x authentication-method eap
dot1x quiet-period
dot1x retry 10
dot1x timer tx-period 120
#
radius-server template nap
radius-server shared-key simple ***** //radius共享密钥
radius-server authentication 10.1.0.* 1812 //主 radius server
radius-server authentication 10.1.0.* 1812 secondary //你懂的
undo radius-server user-name domain-included
#
acl number 3000 //mac认证成功后需开放的 认证前域服务器IP
rule 47 permit ip destination 10.1.0.* 0
rule 48 permit ip destination 10.*.*.0 0.0.0.255
rule 50 deny ip
#
acl number 3001 //未安装dot1x准入客户端后需开放的 认证前域服务器IP
rule 47 permit ip destination 10.1.0.* 0
rule 48 permit ip destination 10.*.*.0 0.0.0.255
rule 50 deny ip
#
acl number 3002 //安装dot1x准入客户端,但认证失败后,需开放的 认证前域服务器IP
rule 47 permit ip destination 10.1.0.* 0
rule 48 permit ip destination 10.*.*.0 0.0.0.255
rule 50 deny ip
#
acl number 3003 //安装dot1x准入客户端,认证成功,但安全检查失败需开放的 认证前域服务器IP rule 47 permit ip destination 10.1.0.* 0
rule 48 permit ip destination 10.*.*.0 0.0.0.255
rule 50 deny ip
#
acl number 4000 //准入认证成功设备 ACL
rule 10 permit
#
aaa
authentication-scheme rd
authentication-mode radius //认证类型配置为Radius
domain default //默认域关联认证方案和Radius服务器配置
authentication-scheme rd
radius-server nap
domain default_admin
#
interface Vlanif1
ip address*********
#
interface GigabitEthernet0/0/1 //802.1终端接入端口
port link-type access
port default vlan 14
dot1x mac-bypass mac-auth-first //端口配置MAC+802.1双重认证
dot1x mac-bypass
///,H3C交换机配置需待验证成功附上!