Windows域与802.1x统一认证技术白皮书

RG-WS6008高性能无线控制器锐捷网络股份有限公司了解更多产品信息，欢迎登陆，咨询电话：400-620-8818。

产品概述RG-WS6008高性能无线控制器是锐捷网络推出的面向下一代高速无线网络的无线控制器产品。

可突破三层网络保持与AP的通信，部署在任何2层或3层网络结构中，无需改动任何网络架构和硬件设备，从而提供无缝的安全无线网络控制。

RG-WS6008起始支持32个无线接入点的管理，通过license 的升级，最大可支持224个AP的管理。

RG-WS6008可针对无线网络实施强大的集中式可视化的管理和控制，显著简化原本实施困难、部署复杂的无线网络。

通过与锐捷网络有线无线统一集中管理平台RG-SNC以及无线接入点的配合，灵活地控制无线接入点的配置，优化射频覆盖效果和性能，同时还可实现集群化管理，将网络中的设备部署工作量将至最低。

RG-WS6008产品采用增强的安全和集群技术，通过基于身份的组网来提供网络服务。

集群中的多台无线控制器可共享用户数据库，实现无线用户在跨越整个网络不同区域的过程中无缝的漫游，彻底满足移动漫游中的安全性和会话完整性，充分满足Wi-Fi语音通信的数据交互和语音流畅。

产品特性高智能的无线体验终端智能识别RG-WS6008内置Portal服务器，能根据终端特点，智能识别终端类型，自适应弹出不同大小、页面格局的Portal认证页面。

终端智能识别技术免去了用户多次拖动，调整屏幕的操作，为用户提供更加智能的无线体验，并且全面支持苹果iOS、安卓和windows等主流智能终端操作系统。

终端公平访问RG-WS6008协同锐捷无线接入点为802.11g、802.11n、802.11ac等不同类型的终端提供相同的访问时间，极大的解决了因终端无线网卡老旧或终端离AP较远而导致用户无线上网延时大、速度慢、AP整机性能低下的问题，有效的提升了低速终端的性能，保证用户无论使用何种类型的终端，都将在相同的位置上获得同样良好的无线上网体验。

矩阵内网安全管理系统产品白皮书© 2007 绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，并受到有关产权及版权法保护。

任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

■商标信息绿盟科技、NSFOCUS、绿盟矩阵是绿盟科技的商标。

目录一. 前言 (1)二. 为什么需要内网安全管理系统 (1)2.1内网安全面临挑战 (1)2.2传统安全技术局限性 (2)三. 如何评价内网安全管理系统 (3)四. 绿盟内网安全管理系统 (4)4.1系统功能 (4)4.1.1 终端保护 (4)4.1.2 桌面管理 (5)4.1.3 行为管理 (6)4.1.4 综合管理 (7)4.2系统特性 (8)4.2.1 先进模型、纵深防护体系 (8)4.2.2 灵活内网行为管理 (9)4.2.3 集中统一策略强制控制 (9)4.2.4 实时丰富告警与报表 (10)4.2.5 核心防护引擎、自动修复机制 (10)4.3系统构架 (11)4.4部署方式 (12)五. 结论 (12)插图索引图 4.1 矩阵安全保护模型图 (8)图 4.2 系统架构 (11)图 4.3 产品部署方式 (12)一. 前言随着网络技术应用的不断深入，信息安全发展也进入到一个全新的时代，传统的安全解决方案都是把目标重点放到边界上，往往忽略了内部网络安全，特别在政府机关、保密部门、科研机构、银行与证券、企事业等单位的办公网、内部业务网、涉密网中的终端设备安全管理非常薄弱，存在很大安全隐患。

现有的安全措施没有发挥应有的作用，网络管理人员无法了解每个网络端点的安全状况，疲于奔命也无法解决各种终端安全与管理问题。

尽管有些单位制订严格的安全管理制度，但是由于缺乏有效的技术手段，安全策略无法有效落实，导致机密信息泄露、黑客攻击、蠕虫病毒传播等安全事件频繁发生，对内网安全提出新的挑战。

802.1x是IEEE为了解决基于端口的接入控制而定义的一个标准，用于解决局域网用户的接入认证与安全问题，现在已广泛应用于网络认证安全领域。

在802.1x出现之前，企业依靠防火墙建立内外网分隔保护屏障，员工办公位固定，且仅能使用企业统一分配设备进行办公，外加在802.1x在win7系统上配置相当复杂，802.1x认证技术一度被孤置。

随着Windows10 、iOS及Android终端开始拥抱802.1X，802.1X认证在无线网络环境中重燃生机。

一、员工有线无线网络身份认证a、手机端员工802.1X认证android 802.1x认证iOS 802.1x 认证b、PC端Windows10 802.1X认证（非客户端）win10 802.1x认证二、无线访客（BYOD）认证接入场景1、长期性访客（外包商员工）：802.1x＋AD认证认证服务器设有临时账号申请与权限管理系统。

访客在提交个人信息、访问有效期及所用应用后，后由IT部门进行审核并为其创建AD账号及相应权限（默认只能访问互联网）。

用户接收账号密码后，采用802.1x＋AD认证接入。

2、临时访客：无线Portal认证（协助扫码、短信认证、一键认证），只允许访问外网∙协助扫码是基于访客与被访人追溯而设的认证方式，即访客的portal二维码需要被访人（或特殊员工）扫描通过才可以。

∙短信认证：用户在输入手机号验证码之后才可进入企业。

通过实名认证，与行为审计联动实现实名审计，有效保障企业办公环境的网络安全。

临时性协助扫码认证临时性访客短信认证三、终端准入安全合规终端准入控制（windows笔记本）：企业原则上禁止员工自带windows笔记本电脑（或未加入AD电脑）接入，并对所有接入网络的笔记本进行终端安全检测，非接入域，或不满足企业网络接入条例（如：未加入域、未安装企业必须软件、安装非合规软件、软件补丁未更新…）的终端一律拒绝接入。

终端安全检测与802.1x认证结合的价值优势：1、丰富的认证方式：除满足员工网络身份认证外，还提供多样化访客认证方案；2、细粒度权限控制：建立高级授权通道，在企业应用与网络之间的匹配关系，通过ACL及VLAN 在802.1x认证的同时实现细力度授权；3、802.1X认证与终端准入设备联动，除检测用户身份外，增强对终端的合规性检测，借助DACL实现非合规终端（（未加入域、未安装企业授权软件、安装非合规软件、补丁版本过期….）动态网络隔离。

北信源网络接入控制管理系统产品白皮书北信源软件股份声明本手册的所有容，其属于北信源软件股份（以下简称北信源公司）所有，未经北信源许可，任何人不得仿制、拷贝、转译或任意引用。

本手册没有任何形式的担保、立场倾向或其他暗示。

商标声明本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。

产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异，由此可能产生的差异为正常现象，相关问题请咨询北信源公司技术服务人员。

免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，北信源公司及其员工均不承担任何责任。

目录1.系统概述 (4)2.系统架构 (4)3.系统组成 (6)3.1.策略服务器 (6)3.2.认证客户端 (6)3.3.Radius认证服务器 (7)3.4.Radius认证系统 (7)3.5.硬件接入网关（可选配） (8)4.系统特性 (8)4.1.全面的安全检查 (8)4.2.技术的先进性 (8)4.3.功能的可扩展性 (8)4.4.系统可整合性 (9)4.5.无缝扩展与升级 (9)5.系统功能 (9)5.1.准入身份认证 (9)5.2.完整性检查功能 (10)5.3.安全修复功能 (10)5.4.管理与报表 (11)5.5.终端安全策略设置 (12)6.典型应用 (13)6.1.802.1x环境应用 (13)6.2.非802.1x环境应用 (14)6.3.VPN环境应用 (15)6.4.域环境应用 (15)1.系统概述北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全，保证企业网络保护机制不被间断，使网络安全得到更有效提升。

与此同时，还可以对于远程接入企业部网络的计算机进行身份、唯一性及安全认证。

通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外，还能够覆盖到企业网络的每一个角落，甚至是当使用者的移动设备离开企业网络时，仍能有效的提供终端设备接入控制的执行。

二层网管交换机应用——802.1x认证（网络安全接入控制）802.1x认证介绍802.1x协议作为局域网端口的接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。

802.1x 协议是一种基于端口的网络接入控制协议，“基于端口的网络接入控制”是指在局域网接入设备的端口这一级，对所接入的用户设备进行认证和控制。

连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。

TL-SL5428 802.1x认证接入实现示例拓扑结构图中以TL-SG2224E做为中心交换机，TL-SL5428做为接入交换机，802.1x认证服务器接在TL-SG2224E上。

下面将介绍实现局域网中每台设备通过802.1x认证接入的配置过程。

1.搭建Radius认证服务器本文以试用版的WinRadius做为认证服务端。

（也可以在Windows Server 上搭建Radius认证服务器。

有关服务器的搭建方法请在网上参考相关资料）认证服务器上的配置：● 服务器IP地址：192.168.1.250● 认证端口：1812● 计费端口：1813● 密钥：fae● 服务器上设置用户账号2.配置TL-SL5428的802.1x功能● Radius配置将服务器上的相关设置对应配置在交换机上。

如果不需要进行上网计费，则不需要启用计费功能。

● 端口配置i. 不启用TL-SL5428级联端口(28端口)的802.1x认证，使认证服务器的在任何时候都能通过该端口接入网络以便认证客户端。

ii.配置其它需要认证的端口。

（TL-SL5428可同时支持基于MAC和Port的认证，这里均采用基于MAC的认证方式）注：● 如果端口的“状态”处于禁用，则该端口下的设备不需要进行认证，始终处于接入网络的状态。

● 控制类型中，“基于MAC”意为着该端口下的所有设备必需单独进行认证，认证通过后才能接入网络；“基于Port”意味着该端口下只要有一台设备认证通过，其它设备不再需要认证也能接入网络。

1PON技术回顾和50G-PON展望1.1PON技术发展史回顾PON技术是一种基于无源ODN的宽带接入技术，上下行传输波长独立，数据时分复用。

PON 网络采用P2MP点到多点拓扑，一个PON口可以接多个ONU，有效节省局端资源。

连接OLT和ONU的ODN网络采用纯光介质，全程无源，避免了电磁干扰，环境适应性强，易于扩展和升级。

PON技术已经大规模应用，并具有高带宽、高可靠性、多业务承载和低成本等优点。

在PON技术的发展历程中，标准组织FSAN/ITU-T和IEEE起到了巨大的推动作用。

PON技术起源于早期的APON/BPON，商用PON技术历经3代发展，GPON和EPON已经大规模商用部署。

目前10G-EPON和XG(S)-PON设备已经成熟并步入大规模商用窗口期。

表1-1 PON技术演进第一代GPON/EPON技术可以为用户提供百兆带宽接入能力，逐步替换原有铜线接入技术。

第二代10G PON可以为用户提供300Mbps-1Gbps带宽，满足4K/8K视频业务规模应用，以及VR/AR业务的前期导入。

面向未来1G以上带宽需求业务如极致AR、政企接入、5G Fronthaul/Backhaul等，并对PON技术的带宽和延迟提出更高要求。

10G PON之后的下一代PON技术发展趋势主要有两种方向：方向一是提高单波长速率；方向二是多波长复用提高总速率。

业界普遍认可将下一代光接入网容量提升至50Gbps，因此如何简单、高效地实现系统容量升级成为目前PON领域研究的热点。

IEEE和ITU-T就是基于这个思路来研究PON技术的后续演进，并在积极推动中。

IEEE率先启动了下一代PON技术的标准制定，在单根光纤上支持25Gbps下行速率，同时上行支持10Gbps或25Gbps速率，并支持和10G-EPON的兼容。

对于50Gbps带宽需求，采用多波长叠加技术和通道绑定技术提供2个25Gbps通道，实现50Gbps速率。

无线EAD解决方案技术白皮书杭州华三通信技术有限公司目录1.EAD解决方案概述 (4)2.无线网络安全概述 (5)2.1.802.1X (5)2.2.EAP(Extensible Authentication Protocol) (5)2.2.1.EAP协议报文介绍 (5)2.2.2.EAP协议的组成 (6)2.2.3.基于EAP的无线用户接入流程 (7)2.2.4.WPA (7)2.2.5.IEEE 802.11i (8)3.无线EAD解决方案介绍 (9)3.1.无线EAD解决方案典型组网1 (9)3.1.1.组网特点介绍 (10)3.1.2.无线用户的认证流程 (11)3.1.3.无线EAD典型组网1实施效果 (11)3.1.4.无线EAD典型组网1中涉及的设备 (12)3.2.无线EAD解决方案典型组网2 (12)3.2.1.组网特点介绍 (13)3.2.2.无线用户上线流程 (13)3.2.3.无线EAD典型组网2实施效果 (13)3.2.4.无线EAD典型组网2中涉及的设备 (13)3.3.两种组网的比较 (13)4.参考资料 (14)本文档描述了在无线网络环境中集成EAD解决方案，为无线接入用户提供安全可靠的网络环境。

包括在无线网络环境中EAD的组网方案，数据流程及对应的设备型号。

缩略语清单List of abbreviations：Full spelling 英文全名Chinese explanation 中文解释Abbreviations缩略语WPA Wi-Fi Protected Access Wi-Fi网络安全访问WPA2 Wi-Fi Protected Access2Wi-Fi网络安全访问第二版EAD Endpoint Admission Defense 端点准入防御1. EAD解决方案概述目前，针对病毒、蠕虫的防御体系还是以孤立的单点防御为主，如在个人计算机上安装防病毒软件、防火墙软件等。

802.1x协议是基于Client/Server的访问控制和认证协议。

它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。

在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。

在认证通过之前，802.1x 只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

802.1X工作过程（1）.当用户有上网需求时打开802.1X客户端程序，输入已经申请、登记过的用户名和口令，发起连接请求。

此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。

（2）.交换机收到请求认证的数据帧后，将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。

（3）.客户端程序响应交换机发出的请求，将用户名信息通过数据帧送给交换机。

交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。

（4）.认证服务器收到交换机转发上来的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字传送给交换机，由交换机传给客户端程序。

（5）.客户端程序收到由交换机传来的加密字后，用该加密字对口令部分进行加密处理（此种加密算法通常是不可逆的），并通过交换机传给认证服务器。

（6）.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息，并向交换机发出打开端口的指令，允许用户的业务流通过端口访问网络。

否则，反馈认证失败的消息，并保持交换机端口的关闭状态，只允许认证信息数据通过而不允许业务数据通过。

802.1X认证标准Template:Expand IEEE 802.1X是IEEE制定关于用户接入网络的认证标准（注意：此处X是大写，详细请参看IEEE关于命名的解释）。

第一章802.1X简介 (2)概述： (2)体系结构 (3)端口PAE (3)受控端口 (3)受控方向 (4)工作机制 (4)第二章802.1X中的EAPOL封装 (5)EAPOL帧格式 (5)各字段的含义 (5)第三章802.1X的认证过程 (6)认证过程 (6)第四章802.1X中的主要状态机 (8)设备端PAE状态机： (8)后台认证状态机： (11)客户端PAE状态机： (13)摘要：802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。

现在已经开始被应用于一般的有线LAN的接入（微软的Windows XP，以及cisco，锐捷网络，北电等厂商的设备已经开始支持802.1X协议）。

IEEE 802 LAN 中，用户只要能接到网络设备上，不需要经过认证和授权即可直接使用。

这样，一个未经授权的用户，他可以没有任何阻碍地通过连接到局域网的设备进入网络。

随着局域网技术的广泛应用，特别是在运营网络的出现，对网络的安全认证的需求已经提到了议事日程上。

如何在以太网技术简单、廉价的组网特点的基础上，提供用户对网络或设备访问合法性认证的手段，已经成为业界关注的焦点。

IEEE 802.1x 协议正是在这样的背景下提出的。

关键词：authenticatorauthentication server:network access port:port access entity (PAE):supplicant:systemEAPOL第一章802.1X简介概述：IEEE802.1x（Port-Based Network Access Control）是一个基于端口的网络存取控制标准，为LAN接入提供点对点式的安全接入。

这是IEEE标准委员会针对以太网的安全缺陷而专门制定的标准，能够在利用IEEE 802 LAN的优势基础上，提供一种对连接到局域网设备或用户进行认证的手段。

北信源桌面终端标准化管理系统准入控制技术使用手册2010年5月目录一、802.1x认证模块原理 (31-1. 802.1x的工作机制 (31-2. 802.1x的认证过程 (4二、VRVEDP-NAC系统硬件配置及实施方案 (52-1.VRVEDP-NAC相关系统硬件配置 (52-2.VRVEDP-NAC实施方案 (5三、802.1x认证应用注册事项 (22四、802.1x认证应急预案 (244-1.预案流程 (244-2.应急事件处理方法 (24一、802.1x认证模块原理1-1. 802.1x的工作机制IEEE 802.1x认证系统利用EAP(Extensible Authentication Protocol,可扩展认证协议协议,作为在客户端和认证服务器之间交换认证信息的手段。

802.1x认证系统的工作机制在客户端PAE与设备端PAE之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN 环境中。

在设备端PAE与RADIUS服务器之间,EAP协议报文可以使用EAPOR封装格式(EAP over RADIUS,承载于RADIUS协议中;也可以由设备端PAE进行终结,而在设备端PAE与RADIUS服务器之间传送PAP协议报文或CHAP协议报文。

当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE 根据RADIUS服务器的指示(Accept或Reject决定受控端口的授权/非授权状态。

1-2. 802.1x的认证过程802.1x认证系统的认证过程1. 当用户有上网需求时打开802.1x客户端,输入已经申请、登记过的用户名和口令,发起连接请求(EAPOL-Start报文。

此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。

2. 交换机收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity报文要求用户的客户端程序发送输入的用户名。