选择该课题的目的,意义及有关研究动态
题目:园区网NAC 方案:汇聚层802.1X 认证
目的:IT技术在企业应用越来越广泛,极大地提高了工作效率,给管理员带来越来越多挑战。
缺乏身份认证机制,无法识别接入园区网用户的身份,没办法阻止身份不合法终端用户接入园区网,容易造成泄密。
缺乏技术手段,检查终端安全状况是否达到企业统一的要求,监督终端用户的行为,确保终端用户专注于工作。
缺乏授权机制,无法为指定角色的终端用户(领导、普通员工和访客)授予特定的网络访问权限,容易产生越权访问的问题。
新搭建的无线局域网如何与有线网络进行融合,提供有线用户、无线用户统一授权的手段。
意义:本方案用于指导管理员如何通过实施有线终端和无线终端混合接入园区网。
课题主要内容目的,研究方法,创新之处
(一) 课程目的
解决终端接入网络的关键在于引入认证和授权机制。
(二)研究内容:园区网中的终端大体可以分成如下几类:
固定终端,通过有线网络方式接入的终端。例如台式机。
移动终端,通过无线网络方式接入的终端。例如平板电脑、智能手机、便携
机。
哑终端,功能比PC弱,本身不具有处理器和硬盘,需要依赖主机才能进行处理
业务的终端。例如网络打印机、IP电话。
华为技术有限公司推出,专门用于解决园区网终端用户的接入和授权问题。
在园区网部署,提供统一的认证和授权平台。接入网络的控制点在汇聚层交换机和侧挂在汇聚层交换机的AC。汇聚层交换机负责有线终端的接入和授权,AC负责无线终端的接入和授权。
固定终端由汇聚层交换机启用802.1X认证作统一准入控制。在这些固定终端上安装的客户端软件作为802.1X认证客户端,方便终端用户输入密码进行身份认证,然后自动下载策略进行安全检查,以便配合完成身份认证和网络授权,最终达到接入园区网的目的。
对于哑终端,没有办法在这些哑终端上安装802.1X客户端,也没有办法在802.1X客户端输入账号和密码主动发起802.1X认证,只能以哑终端的MAC地址作为账号进行认证,才能确保这些哑终端接入网络正常提供服务。在汇聚层交换机启用802.1X时,需要启用MAC地址认证,方便哑终端获得接入网络的授权。
移动终端由汇聚层交换机侧的AC启用802.1X认证作统一准入控制。对于便携机,可在便携要机上安装进行身份认证。对于平板电脑、智能手机,可通过自带的802.1X认证客户端进行认证。
充当RADIUS服务器角色,负责对终端用户进行认证和授权。
(三)研究方法:
文献研究方式:通过搜索以及参考园区网实例,园区网NAC,以及802.1x认
证。
(四)研究手段:通过华为ensp模拟机进行相关实验,并在实验过程中得出结
果。
研究条件及存在问题
研究过程出现的错误大致在实验设备运用ensp模拟器客户端,而这个客户端存在漏洞问题需要进行多次试验。
设计方案或论文撰写提纲
整体论文分为四大部分:
(一) 理论介绍
1、 园区网
2、 园区网nac
3、 802.1x认证
(二) 基础实验
1、 配置nac实例
1.1 配置三层Portal 认证示例
1.2 配置内置Portal 认证示例
(三) 园区网NAC 方案:汇聚层802.1X 认证
(四) 得出结论
进度安排
2017/09/10~2017/10/15 理论知识学习
2017/10/15~2017/10/30 理论知识复习
2017/10/30~2017/11/5 编写论文理论部分
2017/11/15~2017/11/25 编写论文基础实验
2017/10/30~2017/11/5 编写园区网NAC 方案:汇聚层802.1X 认证
2017/11/15~2017/11/20 得出结论
2017/11/20~2017/11/23 论文排版
预期效果
对尝试接入园区网的所有终端进行统一的身份认证,拒绝身份不合法的终端接入园区网。
结合工作相关和权限最小化原则,管理员能够根据终端用户身份分配网络访问权限,实现网络权限的统一化管理。
相比于在接入层实施802.1X准入控制,选择在汇聚层实施802.1X准入,优点在于控制点比在接入层实施802.1X准入控制少,方便管理员统一管理和维护。
采用802.1X和MAC地址这两种混合认证方式,管理员无须关注终端的设备类型。
参考文献
[1]魏楚元 《大型园区网络建设与管理》【M】 机械工业 2015-03-01 256
[2]高小能 《 园区网络方案设计及系统集成》【M】 浙江大学出版社 2013-05-01 222
[3]王达 《华为ICT认证系列丛书:华为交换机学习指南》【M】 人民邮电出版社 2013-12-01 960
【4】yonggang_zhu 《802.1X认证在网络中的应用》【J】2008-11-11
