Windows 域與802.1X 協(xié)議統(tǒng)一認(rèn)證解決方案本帖最后由 網(wǎng)絡(luò)精靈 于 2010-1-3 13:52 編輯Windows 域與802.1X 協(xié)議統(tǒng)一認(rèn)證解決方案【課程星級】★★★★★【實驗名稱

Windows 域與802.1X 協(xié)議統(tǒng)一認(rèn)證解決方案

本帖最后由 網(wǎng)絡(luò)精靈 于 2010-1-3 13:52 編輯

Windows 域與802.1X 協(xié)議統(tǒng)一認(rèn)證解決方案

【課程星級】★★★★★

【實驗名稱】Windows 域與802.1X 協(xié)議統(tǒng)一認(rèn)證解決方案

【實驗?zāi)康摹渴构芾砣藛T了解Windows 域與802.1X 協(xié)議結(jié)合進行統(tǒng)一認(rèn)證的配置方法。

【背景描述】

隨著局域網(wǎng)的迅速發(fā)展, 辦公用戶的網(wǎng)絡(luò)安全問題日益突出。目前, 各企業(yè)面臨的安全威脅之一就是外圍設(shè)備非法接入到內(nèi)部網(wǎng)絡(luò)后的破壞性攻擊行為。在許多企業(yè)的IT 管理過程中, 往往注重對來自因特網(wǎng)的外部威脅防御, 忽略了來自內(nèi)部的非法訪問威脅。

這種威脅在大中型企業(yè)的IT 環(huán)境中影響尤其明顯。因此, 建立內(nèi)部網(wǎng)絡(luò)接入防御體系勢在必行。很多企事業(yè)單位已經(jīng)建立了基于Windows 域的信息管理系統(tǒng)，通過Windows 域管理用戶訪問權(quán)限和應(yīng)用執(zhí)行權(quán)限。然而，基于Windows 的權(quán)限控制只能作用到應(yīng)用層，而無法實現(xiàn)對用戶的物理訪問權(quán)限的控制，比如對網(wǎng)絡(luò)接入權(quán)限的控制，非法用戶可隨意接入用戶網(wǎng)絡(luò)，這就給企業(yè)網(wǎng)的網(wǎng)絡(luò)和應(yīng)用安全帶來很多隱患。為了更加有效地控制和管理網(wǎng)絡(luò)資源，提高網(wǎng)絡(luò)接入的安全性，很多政府和企業(yè)網(wǎng)絡(luò)的管理者希望通過802.1x 認(rèn)證實現(xiàn)對接入用戶的身份識別和權(quán)限控制。

通過802.1x 協(xié)議和活動目錄技術(shù)相結(jié)合的方案, 來實現(xiàn)設(shè)備接入的合法驗證和管理。只有通過了內(nèi)部域用戶驗證的計算機才能正常進行網(wǎng)絡(luò)通訊, 否則其接入端口數(shù)據(jù)將被阻隔。 下面我們就來看一下Windows 域與802.1X 協(xié)議統(tǒng)一認(rèn)證解決方案的實現(xiàn)過程。

【實驗拓?fù)洹?/p>

實驗環(huán)境說明：本實驗需要用到Windows 2003 Server,并且在Windows 2003 Server安裝DNS 、AD 、DHCP 、CA 、IAS 等組件，并且要求交換機支持802.1X 協(xié)議與Guest VLAN功能。 本文詳細(xì)地記錄了配置Windows 2003 Server和交換機每一個步驟的實現(xiàn)過程，并力求層次清晰。但還是希望沒有接觸過Windows 2003 Server 的讀者了解Windows 2003 ServerDNS 、 AD 、DHCP 、CA 和IAS 的相關(guān)知識，請參考相關(guān)書籍和網(wǎng)站。

拓?fù)湔f明：Windows 2003 Server IP:192.168.0.254

交換機IP ：192.168.0.250

路由器LAN 接口IP:192.168.0.1

橘紅色端口所屬的VLAN 為Guest VLAN,名稱為V10, VID為10 藍(lán)色端口所屬的VLAN 名稱為V20, VID為20

綠色端口為需要進行802.1X 認(rèn)證的端口

測試計算機的IP 為從Windows 2003 Server 自動獲取

根據(jù)上面的拓?fù)洵h(huán)境，測試PC 通過了windows 域的認(rèn)證以后，自動在交換機端口上進行802.1X 認(rèn)證，認(rèn)證通過以后，PC 被交換機自動分配到了V20里面，從而可以接入到互聯(lián)網(wǎng)中。若PC 沒有通過802.1X 認(rèn)證，則只能訪問Guest VLAN里面的資源。

【實驗設(shè)備】Windows 2003 Server 1臺，DES-3526 1臺，路由器1臺，測試PC1臺，網(wǎng)線若干。

【實驗步驟】

一． 配置Windows 2003 Server

1. 安裝Windows 2003 Server AD（活動目錄）

在Windows 2003 Server上，點擊“開始”----“運行”，輸入“dcpromo ”, 點“確定”, 啟動“活動目錄安裝向?qū)А薄Ｈ缦聢D：

此處選擇“新域的域控制器”，使此計算機作為此域的域控制器（DC ）。

此處選擇“在新林中的域”。

輸入“test.com ”作為新建域的域名。

設(shè)置NetBIOS 域名，此處使用默認(rèn)的“TEST ”。

設(shè)置數(shù)據(jù)庫和日志文件的保存路徑，此處選擇默認(rèn)設(shè)置。

設(shè)置共享的系統(tǒng)卷，此處使用默認(rèn)設(shè)置。

DNS 注冊診斷，由于此服務(wù)器還沒有安裝DNS 服務(wù)器組件，因此顯示診斷失敗，這里選擇“在這臺計算機安裝并配置DNS 服務(wù)器，并將這臺DNS 服務(wù)器設(shè)為計算機的首選DNS 服務(wù)器”。

設(shè)置用戶和組對象的默認(rèn)權(quán)限，此處選擇默認(rèn)設(shè)置。

設(shè)置目錄還原模式的管理員密碼。

開始安裝和配置活動目錄。

活動目錄安裝完畢。

點擊“立即重新啟動”，重啟windows 2003 server。

2. 安裝并配置windows 2003 server DHCP服務(wù)器