802.1x準(zhǔn)入控制技術(shù)使用手冊(北信源).

1、北信源桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)準(zhǔn)入控制技術(shù)使用手冊2010年5月目錄一、802.1x認(rèn)證模塊原理（31-1.802.1x的工作機制（31-2. 802.1x的認(rèn)證過程（4二、VRVEDP-NAC系統(tǒng)硬件配置及實施方案（52-1.VRVEDP-NAC相關(guān)系統(tǒng)硬件配置（52-2.VRVEDP-NAC 實施方案（5三、802.1x認(rèn)證應(yīng)用注冊事項（22四、802.1x認(rèn)證應(yīng)急預(yù)案（244-1.預(yù)案流程（244-2.應(yīng)急事件處理方法（24一、802.1x認(rèn)證模塊原理1-1.802.1x的工作機制IEEE 802.1x認(rèn)證系統(tǒng)利用 EAP（Extensible Authentication Protoco

2、l,可擴展認(rèn)證 協(xié)議協(xié)議，作為在客戶端和認(rèn)證服務(wù)器之間交換認(rèn)證信息的手段。L 2 OJr puk!iFoil uuiiJiecL4Acctss blocked802.1x認(rèn)證系統(tǒng)的工作機制在客戶端PAE與設(shè)備端PAE之間,EAP協(xié)議報文使用EAPOL封裝格式，直接承 載于LAN環(huán)境中。在設(shè)備端PAE與RADIUS服務(wù)器之間，EAP協(xié)議報文可以使用EAPOR封裝格 式（EAP over RADIUS,承載于RADIUS協(xié)議中 也可以由設(shè)備端 PAE進(jìn)行終結(jié)，而在 設(shè)備端PAE與RADIUS服務(wù)器之間傳送PAP協(xié)議報文或CHAP協(xié)議報文。當(dāng)用戶通過認(rèn)證后，認(rèn)證服務(wù)器會把用戶的相關(guān)信息傳遞給設(shè)備端，

3、設(shè)備端PAE 根據(jù)RADIUS服務(wù)器的指示（Accept或Reject決定受控端口的授權(quán)/非授權(quán)狀態(tài)。FAPOL-StnnEAPOLEAP-Req 此筑de 口 MyEAP- Respon se4 de mity bEAP-RequestMP R屏洸!吧吧7*EAP-SuccessRADIUSRad： us- A ccew” R 已qiK stRAidius-Acccss-CballctigcRiillius-ALCrrss-RriiiitrstRudi吟 Acces Accept1-2. 802.1x的認(rèn)證過程802.1x認(rèn)證系統(tǒng)的認(rèn)證過程1.當(dāng)用戶有上網(wǎng)需求時打開801 .1x客戶端，輸入

4、已經(jīng)申請、登記過的用戶名和口令，發(fā)起連接請求（EAPOL- Start報文。此時，客戶端程序?qū)l(fā)出請求認(rèn)證的報文給交換機，開始啟動一次認(rèn)證過 程。2 .交換機收到請求認(rèn)證的數(shù)據(jù)幀后，將發(fā)出一個請求幀（EAP-Request/Identity報 文要求用戶的客戶端程序發(fā)送輸入的用戶名。3 .客戶端程序響應(yīng)交換機發(fā)出的請求，將用戶名信息通過數(shù)據(jù)幀（EAP- Response/Identity報文送給交換機。交換機將客戶端送上來的數(shù)據(jù)幀經(jīng)過封包處理 后（RADIUS Access-Request報文送給RADIUS服務(wù)器進(jìn)行處理。4 . RADIUS服務(wù)器收到交換機轉(zhuǎn)發(fā)的用戶名信息后，將該信息與數(shù)據(jù)

5、庫中的用 戶名表相比對，找到該用戶名對應(yīng)的口令信息，用隨機生成的一個加密字對它進(jìn)行加 密處理，同時也將此加密字通過 RADIUS Access-Challenge報文傳送給交換機，由交 換機傳給客戶端程序。5 .客戶端程序收到由交換機傳來的加密字 （EAP-Request/MD5 Challenge報文后, 用該加密字對口令部分進(jìn)行加密處理（此種加密算法通常是不可逆的，生成EAP- Response/MD5 Challenge文，并通過交換機傳給RADIUS服務(wù)器。6 . RADIUS服務(wù)器將加密后的口令信息（RADIUS Access-Requeset報文和自己 經(jīng)過加密運算后的口令信息進(jìn)行

6、對比，如果相同，則認(rèn)為該用戶為合法用戶，反饋認(rèn)證 通過的消息（RADIUS Access-Accept報文和EAP-Success報文。交換機將端口狀態(tài) 改為授權(quán)狀態(tài)，允許用戶通過該端口訪問網(wǎng)絡(luò)。如果用戶名和口令不正確，則將該端口狀態(tài)改為非授權(quán)狀態(tài)，將將該端口跳轉(zhuǎn)到guest-vlan.7 .客戶端也可以發(fā)送EAPoL-Logoff報文給交換機，主動終止已認(rèn)證狀態(tài)，交換 機將端口狀態(tài)從授權(quán)狀態(tài)改變成未授權(quán)狀態(tài)。二、VRVEDP-NAC系統(tǒng)硬件配置及實施方案2-1.VRVEDP-NAC相關(guān)系統(tǒng)硬件配置策略服務(wù)器（VRVEDP-SERVER:專用服務(wù)器，即安裝桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 的服務(wù)器。配置

7、要求如下 FentiumlH 800以上CPU,1G以上內(nèi)存,硬盤80G, 10/100BaseTX網(wǎng)絡(luò)接口。Windows2000/2003 server（ServicePack4.01作系統(tǒng)、 IE6.0。Radius認(rèn)證服務(wù)器：微軟的IAS,CISCO ACS可同策略服務(wù)器使用同一臺服務(wù) 器。LINUX FREE RADIUS 需要單獨一臺 PC計算機Pentiumm800以上CPU, 512M以上內(nèi)存，硬盤20G。同時為保證RADIUS服務(wù)器能夠同網(wǎng)絡(luò)中的交換機正 常通訊,RADIUS服務(wù)器需要開啟1812、1813、1645、1646端口。若在本地網(wǎng)絡(luò)中 RADIUS服務(wù)器同交換機之

8、間安裝網(wǎng)絡(luò)防火墻，或桌面終端主機同管理服務(wù)器之間 存在防火墻，請注意注意端口開放問題（管理服務(wù)器TCP 88、桌面終端TCP 22105c2-2.VRVEDP-NAC 實施方案在實施VRVEDP-NAC前，首先需要根據(jù)自身的網(wǎng)絡(luò)環(huán)境，明確需要實現(xiàn)的準(zhǔn)入 功能，從而確定準(zhǔn)入控制的實施方案。2-2-1.具休實施方案2-2-1-1.用戶需求用戶在調(diào)查過自身網(wǎng)絡(luò)環(huán)境之后，確定要配置準(zhǔn)入功能的交換機位置以及要開 啟的端口，并且要求實現(xiàn)以下功能：1 .準(zhǔn)入控制系統(tǒng)只需要一個正常的工作區(qū)，注冊終端用戶在接入交換機認(rèn)證端口 后能自動進(jìn)行認(rèn)證，認(rèn)證成功后可以訪問內(nèi)網(wǎng)。2 .未注冊終端接入交換機認(rèn)證端口后認(rèn)證失敗

9、，不能正常訪問內(nèi)網(wǎng)，安裝注冊程 序后注冊成功后，可以自動認(rèn)證成功并訪問內(nèi)網(wǎng)。2-2-1-2.實現(xiàn)方式從上面的用戶需求來看，用戶的要求主要可以分為注冊終端和非注冊終端兩個 方面的需求。對注冊終端而言，只要求實現(xiàn)能夠自動進(jìn)行認(rèn)證。對未注冊終端來說 ， 在未安裝注冊程序成文注冊終端之前接入交換機認(rèn)證端口后，禁止其訪問內(nèi)網(wǎng)使用內(nèi)網(wǎng)資源。通過移動存儲設(shè)備拷貝注冊程序到未注冊終端，未注冊終端安裝注冊程 序進(jìn)行注冊，并成為注冊終端后也能實現(xiàn)自動認(rèn)證，認(rèn)證成功后能正常訪問內(nèi)網(wǎng)，使用 內(nèi)網(wǎng)中的資源。2-2-1-3.配置前的準(zhǔn)備要實現(xiàn)上述功能，802.1x認(rèn)證模塊需要如下的硬件環(huán)境：一臺安裝了桌面終端標(biāo)準(zhǔn)化管理系

10、統(tǒng)服務(wù)器接在正常的工作區(qū)VLAN中，主要負(fù)責(zé)在配置802.1x認(rèn)證模塊之前向管轄范圍 內(nèi)的終端下發(fā)802.1x認(rèn)證策略，同時也可作為從（備份radius服務(wù)器。一臺安裝了 IAS的WIDOWS 2003系統(tǒng)的服務(wù)器接在正常工作區(qū)VLAN中,作為主radius服務(wù)器，在整個認(rèn)證過程中作為接入認(rèn) 證的服務(wù)器，根據(jù)定義的規(guī)則判斷客戶端是否準(zhǔn)予接入。配置準(zhǔn)入模塊的交換機支持802.1x認(rèn)證協(xié)議2-2-1-4.配置步驟配置802.1x接入認(rèn)證模塊比較復(fù)雜，主要涉及到交換機、radius服務(wù)器、認(rèn)證 終端、強制注冊服務(wù)器等設(shè)備，大體配置步驟如下：第一步:首先在桌面標(biāo)準(zhǔn)化管理系統(tǒng)給需要認(rèn)證的終端下發(fā)802.

11、1x認(rèn)證策略，配置802.1x認(rèn)證策略，設(shè)置為單用戶認(rèn)證后下發(fā)給需要認(rèn)證的注冊終端。第二步:配置桌面終端管理系統(tǒng)的注冊程序，將802.1x認(rèn)證策略打包進(jìn)新的注冊 程序第三步:配置交換機，確定工作區(qū)VLAN,根據(jù)需要開啟認(rèn)證端口。第四步:將radius服務(wù)器放置在正常工作區(qū) VLAN中，配置radius服務(wù)器，根據(jù)需 要設(shè)置接入認(rèn)證規(guī)則。2-2-1-5.詳細(xì)配置過程802.1x認(rèn)證策略的下發(fā)進(jìn)入桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)的 WEB平臺中的策略中心模塊的接入認(rèn)證策略 打開“802.1以證策略”進(jìn)入策略配置界面。在 密碼認(rèn)證方式”中選擇 單用戶名密 碼”認(rèn)證方式，并在其后的用戶名和密碼框中輸入相應(yīng)的用戶

12、名和密碼，該用戶名和密 碼就是以后這些終端進(jìn)行接入認(rèn)證時需要用到的用戶名和密碼，記住該用戶名和密 碼，因為其后的radius配置中還需用到。配置界面如圖：提hglSJWE 總里.1口8?以LE： 302 nHtAUil杏詢認(rèn)證方式：，福場新笠,1 單用戶名生碼L1怔用戶名二 版七營打工|靠用尸有S：碼認(rèn)證罐澧以證失勤1次啟.專小自動UiE.。戶認(rèn)證 在段存量轉(zhuǎn)履的情況下便用 hfs：二眄：IS3礫二華注:機&府通 受保護(hù)的e種理*n方安科生股時，1母理宜安桎孫明,選A正常工作區(qū).通外正常工也區(qū)后曾在右下龜?shù)母菔荆㎡ *3輜H蛔進(jìn)A修小3 用F名：|1 CM ： |在正竄為會壞譴二F沖后再造入

13、桂父13 口忙T動君。環(huán)征5證知:后使用用戶名士.e：r癌叮sr迷電后主副豐覺口 了口變并學(xué)力小江犀魯制的I?唧定功i靛d證黯事包傳協(xié)稗式：G唱J#，楷過*m三萬拚痣小江：不過浦。融囤酒江幡尸：鬻名皿審（戶：多塞尸E葷要隹用出崢時舊福西置一 1窟亙百丁 wiffi-淳存事威（2保存策略之后，將策略分配給需要認(rèn)證的設(shè)備16B. 1.25 - 分配對象 分配對象第一步：選擇策喀分配方式按創(chuàng)建區(qū)域分配廣技工F范圍分配按操作系線分配按搜索設(shè)備分配技蛆織結(jié)構(gòu)/自定俎分配廠按注冊部門分配濟軌有設(shè)備IIBIIMIBIBp下一步清空對象列表 關(guān)閉Internet交換機配置思科交換機配置通過超級終端，進(jìn)入思科交

14、換機配置界面，輸入如下命令開啟端口的802.1x認(rèn) 證。switch#config t ;進(jìn)入全局配置模式Switch(config# aaa new-model /啟用 aaa認(rèn)證Switch(config# aaa authentication login default enable/（注意:telnet到交換機需要usename勺不用此命令：沒有usenamej（接輸入密碼的要加入此命令Switch(config# aaa authentication dot1x default group radius /己置 802.1x 認(rèn)證使 用radius服務(wù)器數(shù)據(jù)庫Switch(confi

15、g# aaa authorization network default group radiusSwitch(config# radius-server host 10.64.226.20 key ld12345 股置主 radius服務(wù)器 地址和口令(地址和口令需要修改Switch(config# radius-server host 10.64.226.22 key ld12345 股置備份 radius服務(wù) 器地址和口令(地址和口令需要修改Switch(config# radius-server retransmit 1 /配置 Radius服務(wù)器的超時定時器，默認(rèn) 值3switch(

16、config#radius-server vsa send authenticationW已置 VLAN 分酉己必須使用IETF所規(guī)定的VSA值Switch(config#dot1x system-auth-control 標(biāo)局啟動 dotlx 認(rèn)證以太網(wǎng)接口模式下：Switch(config-if#switchport mode accessspanning-tree portfastdotlx port-control auto /4需要認(rèn)證的端口下開啟 dotlx認(rèn)證最后記住保存.不需要開啟認(rèn)證的命令是：Switch(config-if# no dotlx port-control au

17、to (哪個端 口現(xiàn)在不需要認(rèn)證了 就用這 個命令Switch(config# no dotlx system-auth-control 住部不啟用認(rèn)證華為交換機配置跟思科交換機一樣，通過超級終端進(jìn)入交換機配置界面，輸入如下命令。systemview （進(jìn)入系統(tǒng)配置模式radius scheme TEST 新建一個 radius 方案primary authentication 10.65.46 20 1812設(shè)定認(rèn)證服務(wù)器 IP與端口號 primary accounting 10.65.46.20 1813設(shè)定計費服務(wù)器 IP 與端口號 accounting optional 段置 此方案不

18、計費key authentication nzdcjc12旗寫服務(wù)器與交換機共享機密key accounting nzdcjc12俚寫服務(wù)器與交換機共享機密secondrad authentication 10.64.226.20 1812（定備份認(rèn)證月艮務(wù)器 secondrad accounting 10.64.226.20 1813指定備份計費服務(wù)器key authentication nzdcjc12key accounting nzdcjc12user-name-format without-domain （等認(rèn)證帳號去除域名quitdomain vrvtest 新建一個域名radiu

19、s-scheme test將RADIUS策略應(yīng)用到此域（注意:如果無法打出radius-scheme tes命令的話，請打下面的命令，功能也是將 radius策略應(yīng)用到vrvtest域authentication default radius-scheme testaccounting default radius-scheme testquitdomain default enable vrvtest將新建的域作為缺省域interface Ethernet1/0/2進(jìn)入需要設(shè)定開啟 802.1x的端口號dotlx （開啟2號端口的802.1x功能dot1x port-method portb

20、ased （已置端口上進(jìn)行接入控制的方式為 portbased,MAC 模式時不能設(shè)置 GUEST VLANdot1x port-control auto （配置端口上進(jìn)行接入控制的模式為 autoquit （退出2號端口模式dot1x （全局配置下開啟全局 802.1xdot1x authentication-method eap設(shè)定802.1x的認(rèn)證方法為EAP最后記住保存，不需要開啟認(rèn)證的命令是：undo dot1x （全局配置下使用radius服務(wù)器配置交換機配置結(jié)束后哦，我們要對radius服務(wù)器進(jìn)行配置，主要分為配置主radius 服務(wù)器和在主radius服務(wù)器上設(shè)置主從radiu

21、s服務(wù)器主Radius服務(wù)器配置（1 安裝 RADIUS進(jìn)入添加/刪除程序中的添加/刪除Windows組件，選擇網(wǎng)絡(luò)服務(wù)中的Internet驗 證服務(wù)可里小此區(qū)1與VibdT的餡片.，十二r.HU.KT用伴* ii市進(jìn)剪如逸拒.工型也有亍n總安用鼻的 一家口ESW擇的學(xué) ,中=工.子M _力NWW工風(fēng):總語窗的刖克伴皿1素引t等爵w品隔之*群需附 網(wǎng)將也姜步子循律0.* r* 3寓譚電，-ni A二IFFmp式與I芯研10摳聲1口.云就色死|牛的一4.巳聚期可用融盤交可月會&科書I挪.堡城 把淖ur/hcn 酗 h“3 匐t*信* H淵unr幽iii限上上TW用耳帽WT-3-W史茂/塞為大小大

22、小大小IVi OCHB11HBA.vm*cr”4fl 礪 Strvtr 2CKJ0號M山 n方|45tt I乎，用=?同可用的備空間cjg火小4 !1VM大小大小二,I-F*tiFrihiTT曲I J* 51* J+rt-1 HFIa n 4 ZE Vl 1 2_lf】ihbH“* 口ffir U* E41tlH(2安裝IAS后，進(jìn)入IAS配置界面大小橫000lt-l Xfl&(3右鍵點擊RADIUS客戶端，選擇新建RADIUS客戶端。名稱可任意填寫，客戶 端地址為驗證交換機的管理地址(即所有接入層啟用802.1x的交換機的管理IP,有多 少個就要建多少個RADIUS客戶端，這里只以一個作為例

23、子。，點擊下一步。(4選才? RADIUS Standard,共享機密為交換機事所配置的 key。點出完成(5右鍵點擊遠(yuǎn)程訪問策略，單擊新建遠(yuǎn)程訪問策略(7選擇以太網(wǎng)，點擊下一步十件，身打卜， “助卜5 -由近I? 1號(8選擇用戶，點擊下?事? MtEU_ar麗干,湎亨 M3審三孑m 匚3Kr4r#LifiF 5&3niirw(g.cs tLxWmhmtri ,帆 m 科目r，.(10在右面板中右鍵點擊所新建的策略，選擇屬性。工w xn ciMTfcr-.t.i*x#(T=at id 曷唧5 T區(qū)而飽匚(11 點擊添加,選擇 Day-And-Time-Restrictions(12選擇添加,

24、選擇允許，單擊確定rW于5收河整冏嗎j(13刪除NAS-Port-Type匹配 Ethernet并選擇授予訪問權(quán)限名篇_Dot I xTEtotlxTet電】nt mt痂國名通地J鼠DI1G落尸篇_|丘混訪問記錄也.考嗯訪問策略+i主播譜子處理給定迂圈謂走LF 口肥的用拽予近程誼同雙陽位）用可還原（14啟用本地安全策略一一安全設(shè)置一一賬戶策略一一密碼策略的加密來儲存密碼。（注意:這步一定要在新建遠(yuǎn)程登錄用戶前完成,本地安士謾置文件9 曲作查看過）幫助卿4- -| s ce x eg 暗圍回I安全設(shè)已禁用0個字苻42天0天0個記住的密風(fēng)J）安全通置m 8臨戶策略JJ變蚪策筆* H帳戶城定策黨,

25、LS本地策略公鑰策略* 口獻(xiàn)件即1制第喑+ S IF安全策用，在本地計宜機 弱密碼長度最小值 幽變軻最長使用期時 融密碼最短使用卿 置姿制鑿螞歷史門用可衛(wèi)原的力口 ET,&f三四已日（15添加遠(yuǎn)程登錄用戶。在本地用戶和組中新建一個用戶 ，該用戶名和密碼要與 先前的802.1x認(rèn)證策略中輸入的用戶名和密碼對應(yīng)起來。（注意:添加遠(yuǎn)程登錄用戶 時,必須在IAS配置完之后再添加。%本修安至設(shè)is(16右鍵點擊新建的用戶，進(jìn)入屬性，選擇隸屬于，刪除默認(rèn)的USERS組遠(yuǎn)程控制I蟀境1R多配置文件| 擅入常規(guī) 隸屜于|配置文件|環(huán)境 |會話磁足 眼消應(yīng)用R(17點擊撥入，設(shè)置為允許訪問(18IAS配置完成，

26、確保Internet Authentication Service服務(wù)處于啟動狀態(tài)。(19VRV EDP Agent認(rèn)證成功。(手工認(rèn)證的圖從radius服務(wù)器的配置如果需要從（備份radius服務(wù)器的話，還需要在主radius服務(wù)器上設(shè)置主從 radius服務(wù)器，具體配置如下：（1進(jìn)入主radius服務(wù)器的IAS控制臺至 St*（E） I*作 步者圖 般,美 邕口 qp t勵OP,IJ| X如畝田團局省膽名 因便一1茨期3橫節(jié)點-，-，IuLtrnT 鞋HE1R 鼻 體地 JI* _J LMJIV5 方尸整原學(xué)口間記錄.-鱉國st5同第隼b遑措酒至分翅學(xué)歷雄市不朝畢叫鞭,皿心羽革品洱-*歹#

27、他用尸卷通手的j+哆事尋住地】-&慢能日壬下:等聲-XII*恃空毛質(zhì)I本地1H臺胡三安里性司累城（2新建遠(yuǎn)程RADIUS服務(wù)器組(3指定主服務(wù)器與備份服務(wù)器IP地址,在主服務(wù)器配置即可注意:從radius服務(wù)器其他配置與主radius服務(wù)器配置相同。配置完以上各個服務(wù)器、交換機和客戶端后，802.1x接入認(rèn)證模塊就配置完畢了。三、802.1x認(rèn)證應(yīng)用注冊事項實施準(zhǔn)備階段需要注意的問題1 .根據(jù)華能瀾滄江水電有限公司內(nèi)網(wǎng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，決定radius服務(wù)器、以及注冊程序下載服務(wù)器安放的位置。建議將以上服務(wù)器都安裝在主交換機上 這樣對管轄網(wǎng)絡(luò)范圍所有終端，都可以根據(jù)需要開啟對其的802.1x認(rèn)

28、證，從而方便管 理員的管理。2 .需要配備備份（從radius服務(wù)器，備份radius服務(wù)器與主radius服務(wù)器配置相同。當(dāng)主radius服務(wù)器出現(xiàn)故障無法正常工作時，終端可以通過備份 radius服務(wù)器實現(xiàn)正認(rèn)證功能，避免發(fā)生由于主radius服務(wù)器發(fā)生故障導(dǎo)致網(wǎng)絡(luò)內(nèi)終 端無法接入認(rèn)證的情況。3 .確保要開啟802.1x認(rèn)證功能的交換機都支持802.1x認(rèn)證，根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),明確管理網(wǎng)絡(luò)范圍內(nèi)需要對哪些終端進(jìn)行 802.1x認(rèn)證,哪些重要服務(wù)器及無 法進(jìn)行認(rèn)證的設(shè)備（如網(wǎng)絡(luò)打印機等不需要進(jìn)行802.1x,明確這些設(shè)備具體接在交換 機的哪些端口上，匯總整理后編寫出需開啟認(rèn)證交換機端口列表的

29、文檔 ，方便日 后的實施工作。實施階段需要注意的問題1 .實施801.1 x是一項比較復(fù)雜而且工作量較大的工程，在實施前應(yīng)制定出詳細(xì)的實施計劃，在實施過程中按照實施計劃開展實施工作。建議實施計劃分為四 個步驟：第一步，先架設(shè)好radius服務(wù)器及注冊程序下載服務(wù)器，然后在小范圍內(nèi)進(jìn)行測 試；第二步，選定某一樓層，按照之前準(zhǔn)備好的實施終端情況表在該樓層的某一 部門或辦公室的接入層交換機上開啟 802.1x認(rèn)證，在該部門或辦公室實施完畢后進(jìn) 行測試，測試成功后，再在該樓層其他部門或辦公室交換機上實施802.1x;第三步，根據(jù)第二步實施的步驟，按樓層逐步在各部門或辦公室的交換機上實施 802.1x;

30、第四步，在各樓層實施完畢后，進(jìn)行大范圍的測試。分步驟實施能避免由于實施過程中的錯誤造成大面積終端無法認(rèn)證或不能連接內(nèi)網(wǎng)的情況出現(xiàn)，降低實施的風(fēng)險，最大限度的減少實施802.1x對正常工 作的影響。2 .每臺交換機的工作區(qū)VLAN上要預(yù)留一個非認(rèn)證端口作為該交換機與上層交換機的通信端口，保證每臺交換機能與radius服務(wù)器正常通信。3 .在交換機上配置802.1x之前，最好先將802.1x認(rèn)證策略下發(fā)下去。4 .在配置交換機時，最好是一個一個的開啟端口的 802.1x認(rèn)證功能。5 .在實施中，可能會遇到交換機認(rèn)證端口下接 HUB或非認(rèn)證交換機的情況，當(dāng)終端接入這類HUB或非認(rèn)證交換機時，首先要判

31、斷終端是否能認(rèn)證，也就是說 認(rèn)證報文信息是否能穿透這類 HUB或非認(rèn)證交換機。其次，如果單個終端能進(jìn)行認(rèn) 證的話，要根據(jù)所接上層開啟了認(rèn)證交換機型號做相應(yīng)的處理。6.大型網(wǎng)絡(luò)的環(huán)境比較復(fù)雜，測試人員在測試過程中可能會出現(xiàn)認(rèn)證失敗，因此，在測試時測試人員要耐心等待，直到終端認(rèn)證過程結(jié)束后再做相應(yīng)的處理。7.實施完畢后，根據(jù)之前的網(wǎng)絡(luò)拓?fù)鋱D，將啟用和不啟用802.1x認(rèn)證的終端信息整理成相應(yīng)的文檔，方便日后的維護(hù)。日常運行維護(hù)階段要注意的問題1 .定期查看radius服務(wù)器上的事件查看器，出現(xiàn)認(rèn)證失敗的信息后，能根據(jù)事件查看器上的信息判斷認(rèn)證失敗的原因。2 .當(dāng)某一交換機發(fā)生故障導(dǎo)致某一樓層或部門、辦公室內(nèi)的所有終端無法認(rèn)證時，通過實施完畢后準(zhǔn)備好的文檔，能方便判定出現(xiàn)故障的設(shè)備，及時修復(fù)。3 .應(yīng)急修復(fù)故障故障交換機時，為了盡快恢復(fù)網(wǎng)絡(luò)連接，可以先停用802.1X認(rèn)證功能，這樣終端就可以訪問網(wǎng)絡(luò)，不影響正常的工作，待下班或放假后再做配 置、恢復(fù)交換機配置。四、802.1x認(rèn)證應(yīng)急預(yù)案4-1.預(yù)案流程1、對桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)和 Radius服務(wù)器進(jìn)行數(shù)據(jù)備份工作；2、桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)所在服務(wù)器出現(xiàn)故障，該系統(tǒng)無法啟動等。通過故 障檢驗，確認(rèn)短時間內(nèi)無法解決，則啟動此預(yù)案流程；3、R