Windows域与802.1X协议统一认证解决方案
Windows 域与802.1X 协议统一认证解决方案本帖最后由 网络精灵 于 2010-1-3 13:52 编辑Windows 域与802.1X 协议统一认证解决方案【课程星级】★★★★★【实验名称
Windows 域与802.1X 协议统一认证解决方案
本帖最后由 网络精灵 于 2010-1-3 13:52 编辑
Windows 域与802.1X 协议统一认证解决方案
【课程星级】★★★★★
【实验名称】Windows 域与802.1X 协议统一认证解决方案
【实验目的】使管理人员了解Windows 域与802.1X 协议结合进行统一认证的配置方法。
【背景描述】
随着局域网的迅速发展, 办公用户的网络安全问题日益突出。目前, 各企业面临的安全威胁之一就是外围设备非法接入到内部网络后的破坏性攻击行为。在许多企业的IT 管理过程中, 往往注重对来自因特网的外部威胁防御, 忽略了来自内部的非法访问威胁。
这种威胁在大中型企业的IT 环境中影响尤其明显。因此, 建立内部网络接入防御体系势在必行。很多企事业单位已经建立了基于Windows 域的信息管理系统,通过Windows 域管理用户访问权限和应用执行权限。然而,基于Windows 的权限控制只能作用到应用层,而无法实现对用户的物理访问权限的控制,比如对网络接入权限的控制,非法用户可随意接入用户网络,这就给企业网的网络和应用安全带来很多隐患。为了更加有效地控制和管理网络资源,提高网络接入的安全性,很多政府和企业网络的管理者希望通过802.1x 认证实现对接入用户的身份识别和权限控制。
通过802.1x 协议和活动目录技术相结合的方案, 来实现设备接入的合法验证和管理。只有通过了内部域用户验证的计算机才能正常进行网络通讯, 否则其接入端口数据将被阻隔。 下面我们就来看一下Windows 域与802.1X 协议统一认证解决方案的实现过程。
【实验拓扑】
实验环境说明:本实验需要用到Windows 2003 Server,并且在Windows 2003 Server安装DNS 、AD 、DHCP 、CA 、IAS 等组件,并且要求交换机支持802.1X 协议与Guest VLAN功能。 本文详细地记录了配置Windows 2003 Server和交换机每一个步骤的实现过程,并力求层次清晰。但还是希望没有接触过Windows 2003 Server 的读者了解Windows 2003 ServerDNS 、 AD 、DHCP 、CA 和IAS 的相关知识,请参考相关书籍和网站。
,
拓扑说明:Windows 2003 Server IP:192.168.0.254
交换机IP :192.168.0.250
路由器LAN 接口IP:192.168.0.1
橘红色端口所属的VLAN 为Guest VLAN,名称为V10, VID为10 蓝色端口所属的VLAN 名称为V20, VID为20
绿色端口为需要进行802.1X 认证的端口
测试计算机的IP 为从Windows 2003 Server 自动获取
根据上面的拓扑环境,测试PC 通过了windows 域的认证以后,自动在交换机端口上进行802.1X 认证,认证通过以后,PC 被交换机自动分配到了V20里面,从而可以接入到互联网中。若PC 没有通过802.1X 认证,则只能访问Guest VLAN里面的资源。
【实验设备】Windows 2003 Server 1台,DES-3526 1台,路由器1台,测试PC1台,网线若干。
【实验步骤】
一. 配置Windows 2003 Server
1. 安装Windows 2003 Server AD(活动目录)
在Windows 2003 Server上,点击“开始”----“运行”,输入“dcpromo ”, 点“确定”, 启动“活动目录安装向导”。如下图:
,
此处选择“新域的域控制器”,使此计算机作为此域的域控制器(DC )。
,
此处选择“在新林中的域”。
输入“test.com ”作为新建域的域名。
,
设置NetBIOS 域名,此处使用默认的“TEST ”。
设置数据库和日志文件的保存路径,此处选择默认设置。
,
设置共享的系统卷,此处使用默认设置。
DNS 注册诊断,由于此服务器还没有安装DNS 服务器组件,因此显示诊断失败,这里选择“在这台计算机安装并配置DNS 服务器,并将这台DNS 服务器设为计算机的首选DNS 服务器”。
,
设置用户和组对象的默认权限,此处选择默认设置。
设置目录还原模式的管理员密码。
,
开始安装和配置活动目录。
,
活动目录安装完毕。
点击“立即重新启动”,重启windows 2003 server。
2. 安装并配置windows 2003 server DHCP服务器