华为网络接入控制NAC配置

小乔

NAC简介定义

NAC（Network Admission Control）称为网络接入控制，是一种“端到端”的安全结构，包括802.1X认证、MAC认证与Portal认证。

随着企业网络的应用和发展，病毒、木马、间谍软件、网络攻击等各种信息安全威胁也在不断增加。在传统的企业网络建设思路中，一般认为企业内网是安全的，安全威胁主要来自外界。但是研究证明，80%的网络安全漏洞都存在于网络内部，它们对网络的破坏程度和范围持续扩大，经常引起系统崩溃、网络瘫痪。另外，内部员工在浏览某些网站时，一些间谍软件、木马程序等恶意软件也会不知不觉地被下载到电脑中，并且在企业内网传播，产生严重的安全隐患。

因此，随着安全挑战的不断升级，仅通过传统的安全措施已经远远不够，安全模型需要由被动模式向主动模式转变，从根源（终端）彻底解决网络安全问题，提高整个企业的信息安全水平。

NAC安全解决方案从接入网络的终端安全控制入手，将终端安全状况和网络准入控制结合在一起，通过检查、隔离、加固和审计等手段，加强网络用户终端的主动防御能力，保证企业中每个终端的安全性，进而保护企业整网的安全性。

如图3-1所示，NAC安全构架包括三个关键组件：NAC终端、网络准入设备和准入服务器。

图3-1  NAC典型组网图

                               
登录/注册后可看大图

• NAC终端：作为NAC客户端的各种终端设备，与网络接入设备交互完成用户的接入认证功能。如果采用802.1X认证，用户还需要安装客户端软件。
• 网络准入设备：网络准入设备是终端访问网络的网络控制点，是企业安全策略的实施者，负责按照客户网络制定的安全策略，实施相应的准入控制（允许、拒绝、隔离或限制）。
• 准入服务器：准入服务器包括准入控制服务器、管理服务器、病毒库服务器和补丁服务器，主要进行用户身份认证、终端安全检查、系统修复升级，终端行为监控审计等工作。
  

目的

传统的网络安全技术只考虑了外部计算机对网络的威胁，而没有考虑到内部计算机对网络的威胁，而且现有的网络设备难以有效防止内部设备对网络的威胁。

为了保证网络通信业务的安全性，可引入NAC安全构架。NAC安全构架从用户终端角度考虑内部网络安全，实现对接入用户进行安全控制，提供了“端到端”的安全保证。

配置802.1X认证示例组网需求

如图3-11所示，某公司内部大量用户终端通过Router（作为接入设备）的接口Eth2/0/0接入网络。在该网络运行一段时间后，发现存在用户对公司内网进行攻击。为确保网络的安全性，管理员需对用户终端的网络访问权限进行控制，只有用户终端通过认证后，Router才允许其访问Internet中的资源。

图3-11  配置802.1X认证组网图

                               
登录/注册后可看大图

配置思路

为实现对用户网络访问权限进行限制的需求，在将IP地址为192.168.2.30的服务器用作RADIUS服务器后，管理员可在Router上配置802.1X认证功能。

具体配置思路如下（均在Router上进行配置）：

• 创建并配置RADIUS服务器模板、AAA方案以及认证域，并在ISP域下绑定RADIUS服务器模板与AAA方案。保证了Router与RADIUS服务器之间的信息交互。
• 配置802.1X认证，实现对办公区内员工的网络访问权限进行严格控制。具体配置包括：
  
  • 配置802.1X接入模板
  • 配置认证模板
  • 接口下使能802.1X认证
    

操作步骤
创建VLAN并配置接口允许通过的VLAN，保证网络通畅
# 创建VLAN10和VLAN20。


<Huawei> system-view
[Huawei] sysname Router
[Router] vlan batch 10 20
# 配置Router与用户连接的接口Eth2/0/0为Access类型接口，并将Eth2/0/0加入VLAN10。


[Router] interface ethernet 2/0/0
[Router-Ethernet2/0/0] port link-type access
[Router-Ethernet2/0/0] port default vlan 10
[Router-Ethernet2/0/0] quit


设备与用户连接的接口类型与接口加入的VLAN应以用户实际所属VLAN为准，此处假设所有的用户都被划分到VLAN10。


# 配置Router连接RADIUS服务器的接口Eth2/0/1为Access类型接口，并将Eth2/0/1加入VLAN20。


[Router] interface ethernet 2/0/1
[Router-Ethernet2/0/1] port link-type access
[Router-Ethernet2/0/1] port default vlan 20
[Router-Ethernet2/0/1] quit
创建并配置RADIUS服务器模板、AAA认证方案以及认证域
# 创建并配置RADIUS服务器模板“rd1”。


[Router] radius-server template rd1
[Router-radius-rd1] radius-server authentication 192.168.2.30 1812
[Router-radius-rd1] radius-server shared-key cipher Huawei@2012
[Router-radius-rd1] quit
# 创建AAA方案“abc”并配置认证方式为RADIUS。


[Router] aaa
[Router-aaa] authentication-scheme abc
[Router-aaa-authen-abc] authentication-mode radius
[Router-aaa-authen-abc] quit
# 创建认证域“isp1”，并在其上绑定AAA认证方案“abc”与RADIUS服务器模板“rd1”。


[Router-aaa] domain isp1
[Router-aaa-domain-isp1] authentication-scheme abc
[Router-aaa-domain-isp1] radius-server rd1
[Router-aaa-domain-isp1] quit
[Router-aaa] quit
# 测试用户是否能够通过RADIUS模板的认证。（已在RADIUS服务器上配置了测试用户test@huawei.com，用户密码Huawei2012）


[Router] test-aaa test@huawei.com Huawei2012 radius-template rd1
Info: Account test succeed.
配置802.1X认证
# 配置802.1X接入模板“d1”。


802.1X接入模板默认采用EAP认证方式。请确保RADIUS服务器支持EAP协议，否则无法处理802.1X认证请求。


[Router] dot1x-access-profile name d1
[Router-dot1x-access-profile-d1] quit
# 配置认证模板“p1”，并在其上绑定802.1X接入模板“d1”、指定认证模板下用户的强制认证域为“isp1”。


[Router] authentication-profile name p1
[Router-authen-profile-p1] dot1x-access-profile d1
[Router-authen-profile-p1] access-domain isp1 force
[Router-authen-profile-p1] quit
# 在接口Eth2/0/0上绑定认证模板“p1”，使能802.1X认证。


[Router] interface ethernet 2/0/0
[Router-Ethernet2/0/0] authentication-profile p1
[Router-Ethernet2/0/0] quit
验证配置结果
执行命令display dot1x查看802.1X认证的各项配置信息。从显示信息中能够看到接口Eth2/0/0下已使能802.1X认证（802.1X protocol is Enabled）。
用户在终端上启动802.1X客户端，输入用户名和密码，开始认证。
如果用户输入的用户名和密码验证正确，客户端页面会显示认证成功信息。用户即可访问网络。
用户上线后，管理员可在设备上执行命令display access-user查看在线802.1X用户信息。
配置文件
Router的配置文件


#
sysname Router
#
vlan batch 10 20
#
authentication-profile name p1
dot1x-access-profile d1
access-domain isp1 force
#
radius-server template rd1
radius-server shared-key cipher %^%#5Cz2!R*M%NaEr^6.].')L/$!!xTKZ<!!!!!!!!!!%^%#
radius-server authentication 192.168.2.30 1812 weight 80
#
aaa
authentication-scheme abc
  authentication-mode radius
domain isp1
  authentication-scheme abc


  radius-server rd1
#
interface Ethernet2/0/0
port link-type access
port default vlan 10
authentication-profile p1
#
interface Ethernet2/0/1
port link-type access
port default vlan 20
#
dot1x-access-profile name d1
#
return

游客，如果您要查看本帖隐藏内容请回复