802.1x準(zhǔn)入控制技術(shù)使用手冊(北信源)

北信源桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)

準(zhǔn)入控制技術(shù)

使用手冊

2010年5月

目錄

一、802.1X認(rèn)證模塊原理（3

1-1.802.1X的工作機(jī)制（3

1-2.802.1X的認(rèn)證過程（4

二、VRVEDP-NAC系統(tǒng)硬件配置及實(shí)施方案（5

2-1.VRVEDP-NAC相關(guān)系統(tǒng)硬件配置（5

2-2.VRVEDP-NAC實(shí)施方案（5

三、802.1X認(rèn)證應(yīng)用注冊事項(xiàng)（22

四、802.1X認(rèn)證應(yīng)急預(yù)案（24

4-1.預(yù)案流程（24

4?2.應(yīng)急事件處理方法（24

一、802.1X認(rèn)證模塊原理

1-1.802.1X的工作機(jī)制

IEEE802.lx認(rèn)證系締IJ用EAP（ExtensibleAuthenticationProtocol,可擴(kuò)展認(rèn)證協(xié)

議協(xié)議，作為在客戶端和認(rèn)證服務(wù)器之間交換認(rèn)證信息的手段。

RadiusServer

Lijxcfco-rputa傀||_

Poricoiuieclu千一

?^Accessblocked

802.1X認(rèn)證系統(tǒng)的工作機(jī)制

在客戶端PAE與設(shè)備端PAE之間,EAP協(xié)議報(bào)文使用EAPOL封裝格式，直接承載于

LAN環(huán)境中。

在設(shè)備端PAE與RADIUS服務(wù)器之間,EAP協(xié)議報(bào)文可以使用EAPOR封裝格式（EAP

overRADIUS,承載于RADIUS協(xié)議中;也可以由設(shè)備端PAE進(jìn)行終結(jié)，而在設(shè)備端PAE與

RADIUS服務(wù)器之間傳送PAP辦議報(bào)文或CHAP協(xié)議報(bào)文。

當(dāng)用戶通過認(rèn)證后，認(rèn)證服務(wù)器會把用戶的相關(guān)信息傳遞給設(shè)備端，設(shè)備端PAE根據(jù)

RADIUS服務(wù)器的指示（Accept或Reject決定受控端口的授權(quán)/非授權(quán)狀態(tài)。

1-2.802.1X的認(rèn)證過程

EAPOL-StflrtEAPOLRADIUS

---------------------------?

彳EAP?Rcqucst/Idcntity

EAP-Response.QdentityRa&gAccess-R￡quust

EAP-RccucstRadius-Acccss-Challcngc

4----------：--------------------

E/\PResponse（crcdc啊oRadius-Access-Reqnest

EAP-Success.Radius-Accc”-Accept

802.1X認(rèn)證系統(tǒng)的認(rèn)證過程

1.當(dāng)用戶有上網(wǎng)需求時(shí)打開80

2.1x客戶端，輸入已經(jīng)申請、登記過的用戶名和口令,發(fā)起連接請求（EAPOL-Sldrt報(bào)

文。此時(shí)，客戶端程序?qū)l(fā)出請求認(rèn)證的報(bào)文給交換機(jī)，開始啟動一次認(rèn)證過程。

2.交換機(jī)收到請求認(rèn)證的數(shù)據(jù)幀后將發(fā)出一個(gè)請求幀（EAP-Request/Identity報(bào)文

要求用戶的客戶端程序發(fā)送輸入的用戶名。

3.客戶端程序響應(yīng)交換機(jī)發(fā)出的請求，將用戶名信息通過數(shù)據(jù)幀（EAP-

Response/Identity報(bào)文送給交換機(jī)。交換機(jī)將客戶端送上來的數(shù)據(jù)幀經(jīng)過封包處理后

（RADIUSAccess-Request報(bào)文送給RADIUS服務(wù)器進(jìn)行處理。

4.RADIUS服務(wù)器收到交換機(jī)轉(zhuǎn)發(fā)的用戶名信息后，將該信息與數(shù)據(jù)庫中的用戶名表

相比對，找到該用戶名對應(yīng)的口令信息,用隨機(jī)生成的T加密字對它進(jìn)行加密處理,同時(shí)也

將此加密字通過RADIUSAccess-Challenge報(bào)文傳送給交換機(jī)，由交換機(jī)傳給客戶端程

序。

5.客戶端程序收到由交換機(jī)傳來的加密字（EAP-Request/MD5Challenge報(bào)文后，用

該加密字對口令部分進(jìn)行加密處理（此種加密算法通常是不可逆的，生成EAP-

Response/MD5Challenge報(bào)文，并通過交換機(jī)傳給RADIUS服務(wù)器。

6.RADIUS服務(wù)器將加密后的口令信息（RADIUSAccess-Requeset報(bào)文和自己經(jīng)過

加密運(yùn)算后的口令信息進(jìn)行對比，如果相同很U認(rèn)為該用戶為合法用戶,反饋認(rèn)證通過的消息

（RADIUSAccess-Accept報(bào)文和EAP-Success報(bào)文。交換機(jī)將端口狀態(tài)改為授權(quán)狀態(tài),

允許用戶通過該端口訪問網(wǎng)絡(luò)。如果用戶名和口令不正確，則將該端口狀態(tài)改為非授權(quán)狀

態(tài)，將將該端口跳轉(zhuǎn)到guest-vlan.

7.客戶端也可以發(fā)送EAPoL-Logoff報(bào)文給交換機(jī)，主動終止已認(rèn)證狀態(tài)，交換機(jī)將端

口狀態(tài)從授權(quán)狀態(tài)改變成未授權(quán)狀態(tài)。

二、VRVEDP-NAC系統(tǒng)硬件配置及實(shí)施方案

2-1.VRVEDP-NAC相關(guān)系統(tǒng)硬件配置

策略服務(wù)器（VRVEDP-SERVER:專用服務(wù)器，即安裝桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)的服務(wù)

器。配置要求如下尸entiumm800以上CPU,1G以上內(nèi)存,硬盤80G,10/100BaseTX網(wǎng)

絡(luò)接口。Windows2000/2003server（ServicePack4.0操作系統(tǒng)、正6.0。

Radius認(rèn)證服務(wù)器:微軟的IAS,CISCOACS可同策略服務(wù)器使用同一臺服務(wù)器。

LINUXFREERADIUS需要單獨(dú)一臺PC計(jì)算機(jī)Pentium!!!800以上CPU,512M以上內(nèi)

存,硬盤20G。同時(shí)為保證RADIUS服務(wù)器能夠同網(wǎng)絡(luò)中的交換機(jī)正常通訊,RADIUS服務(wù)

器需要開啟1812、1813.1645、1646端口。若在本地網(wǎng)絡(luò)中RADIUS服務(wù)器同交換機(jī)

之間安裝網(wǎng)絡(luò)防火墻，或桌面終端主機(jī)同管理服務(wù)器之間存在防火墻，請注意注意端口開放

問題（管理服務(wù)器TCP88、桌面終端TCP22105。

2-2.VRVEDP-NAC實(shí)施方案

在實(shí)施VRVEDP-NAC前，首先需要根據(jù)自身的網(wǎng)絡(luò)環(huán)境，明確需要實(shí)現(xiàn)的準(zhǔn)入功能，從

而確定準(zhǔn)入控制的實(shí)施方案。

2-2-1.具休實(shí)施方案

2-2-1T.用戶需求

用戶在調(diào)查過自身網(wǎng)絡(luò)環(huán)境之后，確定要配置準(zhǔn)入功能的交換機(jī)位置以及要開啟的端

口，并且要求實(shí)現(xiàn)以下功能:

1.準(zhǔn)入控制系統(tǒng)只需要一個(gè)正常的工作區(qū)，注冊終端用戶在接入交換機(jī)認(rèn)證端口后能自

動進(jìn)行認(rèn)證,認(rèn)證成功后可以訪問內(nèi)網(wǎng)。

2.未注冊終端接入交換機(jī)認(rèn)證端口后認(rèn)證失敗，不能正常訪問內(nèi)網(wǎng)，安裝注冊程序后注

冊成功后，可以自動認(rèn)證成功并訪問內(nèi)網(wǎng)。

2-2-1-2.實(shí)現(xiàn)方式

從上面的用戶需求來看，用戶的要求主要可以分為注冊終端和非注冊終端兩個(gè)方面的

需求。對注冊終端而言，只要求實(shí)現(xiàn)能夠自動進(jìn)行認(rèn)證。對未注冊終端來說,在未安裝注冊

程序成文注冊終端之前接入交換機(jī)認(rèn)證端口后，禁止其訪問內(nèi)網(wǎng)使用內(nèi)網(wǎng)資源。通過移動

存儲設(shè)備拷貝注冊程序到未注冊終端,未注冊終端安裝注冊程序進(jìn)行注冊，并成為注冊終端

后也能實(shí)現(xiàn)自動認(rèn)證，認(rèn)證成功后能正常訪問內(nèi)網(wǎng),使用內(nèi)網(wǎng)中的資源。

2-2-1-3酒己置前的準(zhǔn)備

要實(shí)現(xiàn)上述功能,802.1x認(rèn)證模塊需要如下的硬件環(huán)境：

一臺安裝了桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)服務(wù)器

接在正常的工作區(qū)VLAN中，主要負(fù)責(zé)在配置802.1X認(rèn)證模塊之前向管轄范圍內(nèi)的終

端下發(fā)802.1X認(rèn)證策略同時(shí)也可作為從（備份radius服務(wù)器。一臺安裝了IAS的

WIDOWS2003系統(tǒng)的服務(wù)器

接在正常工作區(qū)VLAN中,作為主radius服務(wù)器，在整個(gè)認(rèn)證過程中作為接入認(rèn)證的服

務(wù)器，根據(jù)定義的規(guī)則判斷客戶端是否準(zhǔn)予接入。

配置準(zhǔn)入模塊的交換機(jī)支持802.1X認(rèn)證協(xié)議

2-2-1-4配置步驟

配置802.1X接入認(rèn)證模塊匕瞰復(fù)雜,主要涉及到交換機(jī)、radius服務(wù)器、認(rèn)證終端、

強(qiáng)制注冊服務(wù)器等設(shè)備,大體配置步驟如下：

第一步:首先在桌面標(biāo)準(zhǔn)化管理系統(tǒng)給需要認(rèn)證的終端下發(fā)802.1X認(rèn)證策略，配置

802.1X認(rèn)證策略，設(shè)置為單用戶認(rèn)證后下發(fā)給需要認(rèn)證的注冊終端。

第二步:配置桌面終端管理系統(tǒng)的注冊程序，將802.1X認(rèn)證策略打包進(jìn)新的注法程序。

第三步酒己置交換機(jī)，確定工作區(qū)VLAN,根據(jù)需要開啟認(rèn)證端口。

第四步將radius服務(wù)器放置在正常工作區(qū)VLAN中酒己置radius服務(wù)器，根據(jù)需要設(shè)

置接入認(rèn)證規(guī)則。

2-2-1-5.詳細(xì)配置過程

802.1X認(rèn)證策略的下發(fā)

進(jìn)入桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)的WEB平臺中的策略中心模塊的接入認(rèn)證策略，打開

“802.1X認(rèn)證策略"進(jìn)入策略配置界面。在"密碼認(rèn)證方式"中選擇"單用戶名密碼”

認(rèn)證方式,并在其后的用戶名和密碼框中輸入相應(yīng)的用戶名和密碼，該用戶名和密碼就是以

后這些終端進(jìn)行接入認(rèn)證時(shí)需要用到的用戶名和密碼,記住該用戶名和密碼，因?yàn)槠浜蟮?/p>

radius配置中還需用到。配置界面如圖：

按入U(xiǎn)證常，一加2II#入U(xiǎn)iJ黛略右彝：802IX?入5證

旅訓(xùn)技”

書碼UGE方式：@單用戶型福X證用戶名：怔說~[二碼:|??w??

Of用戶名8：碼認(rèn)證停證失敗1次盾,停止自動MKE.

OIMFUS在沒科玄陸城的修況下使用用戶名：匚一；密同：「

0口碰的口證程序在光盤顯示M

雷碼ij近關(guān)生：OWS-質(zhì)皆@受保護(hù)的EATffEAT)

@當(dāng)安總火MJ,不處理

OiMNMW，送入m工催區(qū).(flLBT工皿信金在右下角fHO

O一直。0?，進(jìn)乙-1t吁用戶名:[-1B：I1

在正H辦公環(huán)■?呼防盾和人修W

□DHC^J梭咻境U證______________________________

□UifHl后使用用戶名：Ilew：[-X?Ui2

□M&SKSW后主動atssH證

□交打*力口證”鳥■箝IM定功It

U證XHK也代1M1或：④祖胃Or?

過期8三方JMSiMI：?不讓潴。過境

MaUfiHkP：]以證的婢合通過)

](U證如終不合遇過)

?不修戶向偈艮使用分航.)8搐

硝所「諛量說明回本查看-1「保存足

(2保存策略之后，將策略分配給需要認(rèn)證的設(shè)備。

當(dāng)http〃1921RR125-分配對象

交換機(jī)配置

思科交換機(jī)配置

通過超級終端，進(jìn)入思科交換機(jī)配置界面，輸入如下命令開啟端口的802.1X認(rèn)證。

switch#configt;進(jìn)入全局配置模式

Switch(config#aaanew-model〃啟用aaa認(rèn)證

Switch(config#aaaauthenticationlogindefaultenable

〃(注意:telnet到交換機(jī)需要usename的不用此命令:沒有usename,直接輸入密碼

的要加入此命令

Switch(config#aaaauthenticationdotlxdefaultgroupradius//酉己置802.1x認(rèn)

證使用radius服務(wù)器數(shù)據(jù)庫

Switch(config#aaaauthorizationnetworkdefaultgroupradius

Switch(config#radius-serverhost0keyIdl2345〃設(shè)置主radius服

務(wù)器地址和口令(地址和口令需要修改

Switch(config#radius-serverhost2keyIdl2345〃設(shè)置備份radius

服務(wù)器地址和口令(地址和口令需要修改

Switch(config#radius-serverretransmit1〃配置Radius服務(wù)器的超時(shí)定時(shí)器，默

認(rèn)值3

switch(config#radius-servervsasendauthentication酒己置VLAN分配必

須使用IETF所規(guī)定的VSA值

Switch(config#dotlxsystem-auth-control〃全局啟動dotlx認(rèn)證

以太網(wǎng)接口模式下:

Switch(config-if#switchpurtmodeaccess

spanning-treeportfast

dotlxport-controlauto〃在需要認(rèn)證的端口下開啟dotlx認(rèn)證

最后記住保存.

不需要開啟認(rèn)證的命令是：

Switch（config-if#nodotlxport-controlauto（哪個(gè)端口現(xiàn)在不需要認(rèn)證了就用這

個(gè)命令

Switch（config#nodotlxsystem-auth-control（全部不啟用認(rèn)證

華為交換機(jī)配置

跟思科交換機(jī)一樣,通過超級終端進(jìn)入交換機(jī)配置界面，輸入如下命令。system-view

（進(jìn)入系統(tǒng)配置模式

radiusschemeTEST（新建一個(gè)radius方案

primaryauthentication10.65.46201812(設(shè)定認(rèn)證服務(wù)器IP與端口號primary

accounting01813(設(shè)定計(jì)費(fèi)服務(wù)器IP與端口號accountingoptional(ig

置此方案不計(jì)費(fèi)

keyauthenticationnzdcjcl2（填寫服務(wù)器與交換機(jī)共享機(jī)密

keyaccountingnzdcjcl2（填寫服務(wù)器與交換機(jī)共享機(jī)密

secondradauthentication01812（指定備份認(rèn)證服務(wù)器secondrad

accounting01813（指定備份計(jì)費(fèi)服務(wù)器

keyauthenticationnzdcjcl2

keyaccountingnzdcjcl2

user-name-formatwithout-domain（將認(rèn)證帳號去除域名

quit

domainvrvtest（新建一個(gè)域名

radius-schemetest（將RADIUS策略應(yīng)用到此域

（注意:如果無法打出radius-schemetest命令的話，請打下面的命令，功能也是將

radius策略應(yīng)用到vrvtest域

dulhenticdtiondefaultrddius-schernetest

authorizationdefaultradius-schemetest

accountingdefaultradius-schemetest

quit

domaindefaultenablevrvtest（將新建的域作為缺省域

interfaceEthernetl/0/2（進(jìn)入需要設(shè)定開啟802.1x的端口號

dotlx（開啟2號端口的802.1X功能

dotlxport-methodportbased（配置端口上進(jìn)行接入控制的方式為

portbased,MAC模式時(shí)不能設(shè)置GUESTVLAN

dotlxport-controlauto（配置端口上進(jìn)行接入控制的模式為auto

quit（退出2號端口模式

dotlx（全局配置下開啟全局802.1X

dotlxauthentication-methodeap（設(shè)定802.lx的認(rèn)證方法為EAP最后記住保存,

不需要開啟認(rèn)證的命令是:undodullx(全局配置下使用

radius服務(wù)器配置

交換機(jī)配置結(jié)束后哦，我們要對radius服務(wù)器進(jìn)行配置，主要分為配置主radius服務(wù)

器和在主radius服務(wù)器上設(shè)置主從radius服務(wù)器

主Radius服務(wù)器配置

(1安裝RADIUS

進(jìn)入添加/刪除程序中的添加/刪除Windows組件，選擇網(wǎng)絡(luò)服務(wù)中的Internet驗(yàn)證

服務(wù)

H血4>233―小間逢3；

可uutmaw的組怦?

便B苫注?三三率健七?A■戔③|

灰色專表初金安接近蛆悻g

弊￥§院勰怒號-IDIKI

組悻?痔停方式0)際三］

￡?V9nsitxA,

幼XE的。8文怦科14已Msa

加*引另____________

?上一清使用日。200T-3-26

更改/Mt|

▼(4H用理

大小

所指190OWB

nTfflBaSW大小90XBB

大小-MM

大小15S1WB

<±-

32，大小470OOflB

Qn?u*G?大小2<?B

"5大小68W

序I-F?xPriat?r

國J*v.2Kw><i?*Iwirond.SEvl42」2大小IXOWB

?；Ii<r?i?ftMfit*Ut?I<i>ti??2003大小IM00?

3aicrosoftSSLSET2000大小612W

(2安裝IAS后，進(jìn)入IAS配置界面

(3右鍵點(diǎn)擊RADIUS客戶端，選擇新建RADIUS客戶端。名稱可任意填寫，客戶端地址

為驗(yàn)證交換機(jī)的管理地址(即所有接入層啟用802.1X的交換機(jī)的管理舊有多少個(gè)就要建多

少個(gè)RADIUS客戶端，這里只以一個(gè)作為例子。，點(diǎn)擊下一步。

XOOBfcttC?JEiQ)

||MOI

|TT如>]0n1

(4選擇RADIUSStandard,共享機(jī)密為交換機(jī)中所配置的key。點(diǎn)擊完成。

(5右鍵點(diǎn)擊遠(yuǎn)程訪問策略，單擊新建遠(yuǎn)程訪問策略。

?尊?■?e

a-應(yīng)由(34位

(6為策略取一個(gè)名字，點(diǎn)擊下一步

(7選擇以太網(wǎng)，點(diǎn)擊下一步

(8選擇用戶，點(diǎn)擊下一步

“一由Bl?電茂

(9使用MD5質(zhì)詢，點(diǎn)擊下一步，并完成。

MSXS1??)ag)

,?E)芭?O0

U<?vrrti

」M。m

,閔tg*?

(10在右面板中右鍵點(diǎn)擊所新建的策略，選擇屬性。

★Re〉■?en”

A-應(yīng)由(34位

X?Q"2

SF

一i與加同E>

7BUtSiiM

一謖HS，?M

(11點(diǎn)擊添加，選擇Day-And-Time-Restrictions

(12選擇添加，選擇允許，單擊確定。

-MM<n?

」防6*??

U2SJ

常足年!》^?！吠?岳杵.

二

三|岔

r己岳健m

三

「宏夫Sd訪河dJ?/)

5jt?利

(13刪除NAS-Port-Type匹配"Ethernet",并選擇授予訪問權(quán)限

就證*烏冰地）

,JRADIUS客戶端

」運(yùn)程訪問記錄

電限8訪問第峪

+_j連瘙法求處理

（14啟用本地安全策略——安全設(shè)置——賬戶策略——密碼策略——用可還原的加

密來儲存密碼。（注意:這步一定要在新建遠(yuǎn)程登錄用戶前完成!

7本，安金諛置

文件更）愫作Q）查看W）幫助QP

a■?囪的x囪曲（§m

》安全設(shè)置

53幡戶策略蜀密媽必須符合復(fù)雜性要求已禁用

_3密碼策略翎笠碼長度量小值0個(gè)字符

?:_3帳戶領(lǐng)定策略題空碼最長使用期限42天

?3本地策略鐲密碼最短使用期限0天

土,j公朝策略翎強(qiáng)制密碼歷史__________0個(gè)記住的密碼

□軟件跟制策略

V用可還原的加史來it存笠嗎巳月用

王尊"安全策略，在本地計(jì)宜機(jī)

（15添加遠(yuǎn)程登錄用戶。在本地用戶和組中新建一個(gè)用戶,該用戶名和密碼要與先前的

802.1X認(rèn)證策略中輸入的用戶名和密碼對應(yīng)起來。（注意:添加遠(yuǎn)程登錄用戶時(shí)，必2頁在IAS

配置完之后再添加。

三本地安全看置

文件9條作?查看9幫助卸

8T鹵囿>鹵自傍回

)安全設(shè)置策昵/?安全設(shè)置

E_a快尸策阻翎密碼必筑衿合復(fù)汆性要求已禁用

_3密嗎策略閾史碼長度最小僮0個(gè)字符

+n俅戶被定集”明生地最快使用卿<2天

>a本地策略翎更碼最是使用期跟0天

?□公忸策略匐修利空碼歷史0個(gè)記住的密碼

?_j軟件限制策喑

?<口安全策略，在本儲】十苴林

(16右鍵點(diǎn)擊新建的用戶，進(jìn)入屬性，選擇隸屬于，刪除默認(rèn)的USERS組

患在

遠(yuǎn)程控制I續(xù)陶R球置文件|撥入

?，F(xiàn)求展于|配?文件|環(huán)境|合法

忝加/)...[二：￥。)|

確定|取一|應(yīng)用Q)

(17點(diǎn)擊撥入，設(shè)置為允許訪問

(18IAS配置完成，確保InternetAuthenticationService服務(wù)處于啟動狀態(tài)。

(19VRVEDPAgent認(rèn)趣功。(手工認(rèn)證的圖

從radius服務(wù)器的配置

如果需要從(備份radius服務(wù)器的活，還需要在主radius服務(wù)器上設(shè)置主從radius服

務(wù)器，具體配置如下:

(1進(jìn)入主radius服務(wù)器的IAS控制臺

--uam■**■)>Exl

Qfl*?vai>?tiqp▲1CJEJ

a，由面QEid

(2新建遠(yuǎn)程RADIUS服務(wù)器組

(3指定主服務(wù)器與備份服務(wù)器IP地址，在土服務(wù)器配置即可。

注意:從radius服務(wù)器其他配置與主radius服務(wù)器配置相同。

配置完以上各個(gè)服務(wù)器、交換機(jī)和客戶端后,802.1x接入認(rèn)證模塊就配置

完畢了。

三、802.1X認(rèn)證應(yīng)用注冊事項(xiàng)

實(shí)施準(zhǔn)備階段需要注意的問題

1.根據(jù)華能瀾滄江水電有限公司內(nèi)網(wǎng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，決定radius服務(wù)器、

以及注冊程序下載服務(wù)器安放的位置。建議將以上服務(wù)器都安裝在主交換機(jī)上，這樣

對管轄網(wǎng)絡(luò)范圍所有終端,都可以根據(jù)需要開啟對其的802.1X認(rèn)證,從而方便管理員的管

理。

2.需要配備備份（從radius服務(wù)器，備份radius服務(wù)器與主radius服務(wù)器

配置相同。當(dāng)主radius服務(wù)器出現(xiàn)故障無法正常工作時(shí)，終端可以通過備份radius服

務(wù)器實(shí)現(xiàn)正認(rèn)證功能，避免發(fā)生由于主radius服務(wù)器發(fā)生故障導(dǎo)致網(wǎng)絡(luò)內(nèi)終端無法接入認(rèn)

證的情況。

3.確保要開啟802.1X認(rèn)證功能的交換機(jī)都支持802.1X認(rèn)證，根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)

構(gòu),明確管理網(wǎng)絡(luò)范圍內(nèi)需要對哪些終端進(jìn)行802.1X認(rèn)證,哪些重要服務(wù)器及無法進(jìn)行

認(rèn)證的設(shè)備（如網(wǎng)絡(luò)打印機(jī)等不需要進(jìn)行802.1X,明確這些設(shè)備具體接在交換機(jī)的哪些端口

上，匯總整理后編寫出《需開啟認(rèn)證交換機(jī)端口列表》的文檔，方便日后的實(shí)施工作。

實(shí)施階段需要注意的問題

1.實(shí)施80

2.1X是一項(xiàng)比較復(fù)雜而且工作量較大的工程，在實(shí)施前應(yīng)制定出詳細(xì)

的實(shí)施計(jì)劃，在實(shí)施過程中按照實(shí)施計(jì)劃開展實(shí)施工作。建議實(shí)施計(jì)劃分為四個(gè)步驟：

第一步，先架設(shè)好radius服務(wù)器及注冊程序下載服務(wù)器,然后在小范圍內(nèi)進(jìn)行測試;

第二步，選定某一樓層，按照之前準(zhǔn)備好的《實(shí)施終端情況表》在該樓層的某一部門或

辦公室的接入層交換機(jī)上開啟802.1X認(rèn)證，在該部門或辦公室實(shí)施完畢后進(jìn)行測試測試成

功后，再在該樓層其他部門或辦公室交換機(jī)上實(shí)施802.1X；

第三步，根據(jù)第二步實(shí)施的步驟，按樓層逐步在各部門或辦公室的交換機(jī)上實(shí)施802.1X；

第四步，在各樓層實(shí)施完畢后,進(jìn)行大范圍的測試。

分步驟實(shí)施能避免由于實(shí)施過程中的錯(cuò)誤造成大面積終端無法認(rèn)證或不

能連接內(nèi)網(wǎng)的情況出現(xiàn)降低實(shí)施的風(fēng)險(xiǎn),最大限度的減少實(shí)施802.1X對正常工作的影

響。

2.每臺交換機(jī)的工作區(qū)VLAN上要預(yù)留一個(gè)非認(rèn)證端口作為該交換機(jī)與上層交

換機(jī)的通信端口,保證每臺交換機(jī)能與radius服務(wù)器正常通信。

3在交換機(jī)上配置802.1X之前，最好先將802.1X認(rèn)證策略下發(fā)下去。

4.在配置交換機(jī)時(shí)，最好是一個(gè)一個(gè)的開啟端口的802.1X認(rèn)證功能。

5.在實(shí)