Windows 域與802.1X 協(xié)議統(tǒng)一認(rèn)證解決方案本帖最后由 網(wǎng)絡(luò)精靈 于 2010-1-3 13:52 編輯Windows 域與802.1X 協(xié)議統(tǒng)一認(rèn)證解決方案【課程星級(jí)】★★★★★【實(shí)驗(yàn)名稱

Windows 域與802.1X 協(xié)議統(tǒng)一認(rèn)證解決方案

本帖最后由 網(wǎng)絡(luò)精靈 于 2010-1-3 13:52 編輯

Windows 域與802.1X 協(xié)議統(tǒng)一認(rèn)證解決方案

【課程星級(jí)】★★★★★

【實(shí)驗(yàn)名稱】Windows 域與802.1X 協(xié)議統(tǒng)一認(rèn)證解決方案

【實(shí)驗(yàn)?zāi)康摹渴构芾砣藛T了解Windows 域與802.1X 協(xié)議結(jié)合進(jìn)行統(tǒng)一認(rèn)證的配置方法。

【背景描述】

隨著局域網(wǎng)的迅速發(fā)展, 辦公用戶的網(wǎng)絡(luò)安全問(wèn)題日益突出。目前, 各企業(yè)面臨的安全威脅之一就是外圍設(shè)備非法接入到內(nèi)部網(wǎng)絡(luò)后的破壞性攻擊行為。在許多企業(yè)的IT 管理過(guò)程中, 往往注重對(duì)來(lái)自因特網(wǎng)的外部威脅防御, 忽略了來(lái)自內(nèi)部的非法訪問(wèn)威脅。

這種威脅在大中型企業(yè)的IT 環(huán)境中影響尤其明顯。因此, 建立內(nèi)部網(wǎng)絡(luò)接入防御體系勢(shì)在必行。很多企事業(yè)單位已經(jīng)建立了基于Windows 域的信息管理系統(tǒng)，通過(guò)Windows 域管理用戶訪問(wèn)權(quán)限和應(yīng)用執(zhí)行權(quán)限。然而，基于Windows 的權(quán)限控制只能作用到應(yīng)用層，而無(wú)法實(shí)現(xiàn)對(duì)用戶的物理訪問(wèn)權(quán)限的控制，比如對(duì)網(wǎng)絡(luò)接入權(quán)限的控制，非法用戶可隨意接入用戶網(wǎng)絡(luò)，這就給企業(yè)網(wǎng)的網(wǎng)絡(luò)和應(yīng)用安全帶來(lái)很多隱患。為了更加有效地控制和管理網(wǎng)絡(luò)資源，提高網(wǎng)絡(luò)接入的安全性，很多政府和企業(yè)網(wǎng)絡(luò)的管理者希望通過(guò)802.1x 認(rèn)證實(shí)現(xiàn)對(duì)接入用戶的身份識(shí)別和權(quán)限控制。

通過(guò)802.1x 協(xié)議和活動(dòng)目錄技術(shù)相結(jié)合的方案, 來(lái)實(shí)現(xiàn)設(shè)備接入的合法驗(yàn)證和管理。只有通過(guò)了內(nèi)部域用戶驗(yàn)證的計(jì)算機(jī)才能正常進(jìn)行網(wǎng)絡(luò)通訊, 否則其接入端口數(shù)據(jù)將被阻隔。 下面我們就來(lái)看一下Windows 域與802.1X 協(xié)議統(tǒng)一認(rèn)證解決方案的實(shí)現(xiàn)過(guò)程。

【實(shí)驗(yàn)拓?fù)洹?/p>

實(shí)驗(yàn)環(huán)境說(shuō)明：本實(shí)驗(yàn)需要用到Windows 2003 Server,并且在Windows 2003 Server安裝DNS 、AD 、DHCP 、CA 、IAS 等組件，并且要求交換機(jī)支持802.1X 協(xié)議與Guest VLAN功能。 本文詳細(xì)地記錄了配置Windows 2003 Server和交換機(jī)每一個(gè)步驟的實(shí)現(xiàn)過(guò)程，并力求層次清晰。但還是希望沒(méi)有接觸過(guò)Windows 2003 Server 的讀者了解Windows 2003 ServerDNS 、 AD 、DHCP 、CA 和IAS 的相關(guān)知識(shí)，請(qǐng)參考相關(guān)書籍和網(wǎng)站。

拓?fù)湔f(shuō)明：Windows 2003 Server IP:192.168.0.254

交換機(jī)IP ：192.168.0.250

路由器LAN 接口IP:192.168.0.1

橘紅色端口所屬的VLAN 為Guest VLAN,名稱為V10, VID為10 藍(lán)色端口所屬的VLAN 名稱為V20, VID為20

綠色端口為需要進(jìn)行802.1X 認(rèn)證的端口

測(cè)試計(jì)算機(jī)的IP 為從Windows 2003 Server 自動(dòng)獲取

根據(jù)上面的拓?fù)洵h(huán)境，測(cè)試PC 通過(guò)了windows 域的認(rèn)證以后，自動(dòng)在交換機(jī)端口上進(jìn)行802.1X 認(rèn)證，認(rèn)證通過(guò)以后，PC 被交換機(jī)自動(dòng)分配到了V20里面，從而可以接入到互聯(lián)網(wǎng)中。若PC 沒(méi)有通過(guò)802.1X 認(rèn)證，則只能訪問(wèn)Guest VLAN里面的資源。

【實(shí)驗(yàn)設(shè)備】Windows 2003 Server 1臺(tái)，DES-3526 1臺(tái)，路由器1臺(tái)，測(cè)試PC1臺(tái)，網(wǎng)線若干。

【實(shí)驗(yàn)步驟】

一． 配置Windows 2003 Server

1. 安裝Windows 2003 Server AD（活動(dòng)目錄）

在Windows 2003 Server上，點(diǎn)擊“開(kāi)始”----“運(yùn)行”，輸入“dcpromo ”, 點(diǎn)“確定”, 啟動(dòng)“活動(dòng)目錄安裝向?qū)А?。如下圖：

此處選擇“新域的域控制器”，使此計(jì)算機(jī)作為此域的域控制器（DC ）。

此處選擇“在新林中的域”。

輸入“test.com ”作為新建域的域名。

設(shè)置NetBIOS 域名，此處使用默認(rèn)的“TEST ”。

設(shè)置數(shù)據(jù)庫(kù)和日志文件的保存路徑，此處選擇默認(rèn)設(shè)置。

設(shè)置共享的系統(tǒng)卷，此處使用默認(rèn)設(shè)置。

DNS 注冊(cè)診斷，由于此服務(wù)器還沒(méi)有安裝DNS 服務(wù)器組件，因此顯示診斷失敗，這里選擇“在這臺(tái)計(jì)算機(jī)安裝并配置DNS 服務(wù)器，并將這臺(tái)DNS 服務(wù)器設(shè)為計(jì)算機(jī)的首選DNS 服務(wù)器”。

設(shè)置用戶和組對(duì)象的默認(rèn)權(quán)限，此處選擇默認(rèn)設(shè)置。

設(shè)置目錄還原模式的管理員密碼。

開(kāi)始安裝和配置活動(dòng)目錄。

活動(dòng)目錄安裝完畢。

點(diǎn)擊“立即重新啟動(dòng)”，重啟windows 2003 server。

2. 安裝并配置windows 2003 server DHCP服務(wù)器