网络准入控制

《网络准入控制》属于博主的"园区网"专栏，若想成为HCIE，对于园区网相关的知识需要非常了解，更多关于园区网的内容博主会更新在"园区网"专栏里，请持续关注！

一.前言

• 随着园区网络的应用和发展，病毒、木马、间谍软件、网络攻击等各种信息安全威胁也在不断增加。在传统的园区网络建设思路中，一般认为园区内网是安全的，安全威胁主要来自外界。但是研究证明，80%的网络安全漏洞都存在于网络内部，它们导致的网络故障对网络的破坏程度和影响范围在持续扩大，经常引起业务系统崩溃、网络瘫痪。
• 网络准入控制(Network Admission Control，NAC)从对接入网络的终端安全控制入手，将终端安全状况和网络准入控制结合在一起，通过检查、隔离、加固和审计等手段加强网络用户终端的主动防御能力，保证园区中每个终端的安全性，进而保护园区网络的安全性二。

二.网络准入控制概述

1.网络准入控住的技术背景

• 非法用户随意接入园区内部网络，会危害园区的信息安全。
• 接入园区网络的终端种类多，且园区内用户行为难以管控。
• 出于对安全问题的考虑，园区网络不能对所有终端开放访问权限，需要基于终端对应的用户身份和终端状态进行认证，不符合条件的终端不能接入网络。

2.网络准入控住概述

• 网络准入控制以"只有合法的用户、安全的终端才可以接入网络"为主导思想，通过用户认证、权限管理安全检查、修复升级等手段提升企业网络整体终端安全防护能力。

3.网络准入控制基本原理

• 用户身份认证请求:
  • 网络准入设备通过和终端进行报文交互，获取终端的身份凭证。
• 用户身份认证:
  • 网络准入设备将身份凭证发送给准入服务器进行身份认证。
• 用户身份校验
  • 准入服务器进行身份校验，确定终端身份是否合法并将校验结果及策略下发给网络准入设备。
• 用户策略授权:
  • 网络准入设备作为策略的实施者，根据准入服务器的d授权结果对终端实施策略的控制。

4.网络准入控制的策略管控

• 策略管控:
  • 即使终端通过认证接入网络，也并不意味着可以访问网络内的所有资源，而是需要基于用户身份对其加以区分，分别赋予其不同的网络访问权限。

5.网络准入控制的策略授权

• 网络准入控制基本流程:
  • 用户终端接入网络，认证前都具有认证前域网络权限，包括访问准入控制服务器、DHCP、DNS等。
  • 对用户终端进行身份认证，认证通过后，准入服务器下发网络权限到网络准入设备，允许该用户访问认证后域网络。对于一些合法但是不安全的用户，身份认证后，准入服务器下发隔离域网络权限到网络准入设备，仅允许该用户访问隔离域网络，用户安全修复后，重新下发认证后域网络权限。在隔离域时，用户可以根据需要进行终端代理软件安装，补丁安装，杀毒软件安装、升级等操作。
  • 非法用户及未认证用户仅允许访问认证前域或隔离域网络资源。

三.用户认证技术

1.802.1X

（1）802.1X认证概述

• 简介
  • 802.1X认证是一种基于端口的网络接入控制协议，即在接入设备的端口这一级验证用户身份并控制其访问权限。
  • 802.1X认证使用EAPoL(Extensible Authentication Protocol over LAN，局域网可扩展认证协议)，实现客户端、设备端和认证服务器之间认证信息的交换。
• 组网方式
  • 802.1X客户端一般为用户终端设备，用户可以通过启动客户端软件发起802.1X认证。
  • 网络接入设备通常为支持802.1X认证的网络设备，它为客户端提供接入局域网的端口，该端口可以是物理端口，也可以是逻辑端口。认证服务器用于实现对用户进行认证、授权和计费，通常为RADIUS服务器。
• 应用场景
  • 适用于对安全要求较高的办公用户认证场景。

（2）802.1X认证方式

• 根据接入设备对802.1X客户端发送的EAPOL报文处理机制的不同，可将认证方式分为EAP中继方式和EAP终结方式。

（3）802.1X用户认证流程

• 认证触发方式
  • 客户端主动触发方式: 用户主动开启客户端输入用户名和密码向接入设备发送EAP报文来触发认证。
  • 接入设备主动触发方式: 接入设备在接收到用户终端发送的DHCP/ARP报文后，主动触发用户终端自动弹出客户端界面，用户输入用户名和密码即可启动认证。
• 接入控制方式
  • 基于端口模式:当采用基于端口方式时，只要该端口下的第一个用户认证成功后，其他接入用户无须认证就可使用网络资源。但是当第一个用户下线后，其他用户也会被拒绝使用网络。
  • 基于MAC模式:当采用基于MAC地址方式时，该端口下的所有接入用户均需要单独认证。当某一用户下线时，不影响其他用户接入网络。

（4）802.1X认证基本配置命令

（5）802.1X概念小结

• 802.1X认证是一种基于端口的网络接入控制协议，采用EAP中的EAPOL格式来封装协议报文。
• 根据实际需求或设备情况的不同，可分为:
  • 接入控制方式:基于接口或基于MAC。
  • 认证方式:EAP终结或EAP中继。
  • 认证触发方式:客户端主动触发方式或接入设备主动触发方式。
  • 认证协议:EAP-TLS、EAP-TTLS、EAP-PEAP或EAP-MD5等。

2.MAC

（1）MAC地址认证概述

• 简介
  • MAC地址认证(简称MAC认证)是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法。
  • 以用户的MAC地址作为身份凭据到认证服务器进行认证。
  • 缺省时，交换机收到DHCP/ARP/DHCPV6/ND报文后均能触发对用户进行MAC认证。支持通过配置，使交换机收到任意的数据帧后触发MAC认证。
• 组网方式
  • 包含认证客户端、接入设备和认证服务器。
• 应用场景
  • 不需要用户安装任何客户端软件。
  • 适用于IP电话、打印机等哑终端接入的场景。

（2）MAC认证基本配置命令

3.Portal

（1）Portal认证概述

• 简介
  • Portal认证也称为Web认证。用户可以通过Web认证页面输入用户帐号和密码信息，实现对终端用户身份的认证。
  • 用户可通过两种方式实现认证页面访问:
    • 主动认证:用户通过浏览器主动访问Portal认证网站。
    • 重定向认证:用户输入的访问地址不是Portal认证网站地址，被接入设备强制访问Portal认证网站(通常称为重定向)。
• 组网方式
  • 包含认证客户端、接入设备、Portal服务器和认证服务器
• 应用场景
  • Portal认证不需要安装专门的客户端软件，因此主要用于无客户端软件要求的接入场景或访客接入场景。

（2）Portal认证流程

• Portal认证方式
  • 当客户端与接入设备之间为二层网络时，可配置二层Portal认证方式。
  • 当客户端与接入设备之间为三层网络时，需要将Portal认证配置为三层Portal认证方式。
• Portal接入协议
  • HTTP/HTTPS协议，描述了客户端和Portal服务器之间的协议交互。
• Portal认证协议
  • Portal协议:描述了Portal服务器和接入设备之间的协议交亘。
  • HTTP/HTTPS协议:描述了客户端和接入设备之间的协议交互。

（3）Portal认证基本配置命令

4.混合

（1）MAC旁路认证

• 802.1X认证、MAC认证和Portal认证各有各的特点，可采用混合认证的方式来满足不同的应用场景与认证需求。

• 当接入设备接口下同时存在PC和打印机/传真机等哑终端时，可以通过MAC旁路认证功能，使不具备802.1X认证能力的哑终端能够通过MAC认证方式接入网络。
• MAC旁路认证比单纯的MAC认证多一个802.1X认证环节，故时间要比MAC认证时间长。

（2）MAC优先的Portal认证

日常生活中的大型超市WIFI，或者校园网之类的非常常见。

• 技术背景
  • 用户进行Portal认证成功后，如果断开网络，重新连接时需要再次输入用户名、密码，体验差。
• MAC优先的Portal认证
  • 用户进行Portal认证成功后，在一定时间内断开网络重新连接，能够直接通过MAC认证接入无需输入用户名、密码重新进行Portal认证。
  • 该功能需要在设备配置MAC+Portal的混合认证，同时在认证服务器上开启MAC优先的Portal认证功能并配置MAC地址有效时间。

四.用户授权与下线

1.用户授权

（1）认证成功授权

• 认证用于确认尝试接入网络的用户身份是否合法，而授权则用于指定身份合法的用户所能拥有的网络访问权限，即用户能够访问哪些资源。
• 以RADIUS服务器授权为例，常见的授权信息有:
  • VLAN:为了将受限的网络资源与未认证用户隔离，通常将受限的网络资源和未认证的用户划分到不同的VLAN。用户认证成功后，认证服务器将指定VLAN授权给用户。
  • ACL:用户认证成功后，认证服务器将指定ACL授权给用户，则设备会根据该ACL对用户报文进行控制。
  • UCL组:UCL(User ControlList，用户控制列表)组是网络成员的集合。UCL组里面的成员，可以是PC、手机等网络终端设备。借助UCL组，管理员可以将具有相同网络访问策略的一类用户划分为同一个组，然后为其部署一组网络访问策略，满足该类别所有用户的网络访问需求。相对于为每个用户部署网络访问策略，基于UCL组的网络控制方案能够极大的减少管理员的工作量。

（2）免认证与认证事件授权

2.用户下线

• 当用户已下线，而接入设备、RADIUS服务器和Portal服务器未感知到该用户已下线时，会产生以下问题:
  • RADIUS服务器仍会对该用户进行计费，造成误计费
  • 存在非法用户仿冒合法用户IP地址和MAC地址接入网络的风险。。
  • 已下线用户数量过多的情况下，还会占用设备用户规格，可能会导致其他用户无法接入网络。
• 因此，接入设备要能够及时感知到用户已下线，删除该用户表项，并通知RADIUS服务器停止对该用户进行计费。
• 用户下线方式分为客户端主动下线，接入设备控制用户下线和服务器控制用户下线。

五.NAC配置实现

1.用户认证配置思路

2.认证模版基础配置命令

六.策略联动

1.技术背景

• 在网络的接入层部署认证，有利于实现权限的细颗粒度管理和网络的高安全性。但当网络规模不断扩大，一些问题就显现了出来。

• 解决方案之一是将用户的认证点从接入层上移到汇聚层或核心层，如此一来全网的认证信息集中且认证点数量大大减少，配置及维护工作量降低。

2.策略联动概述

• 策略联动是通过在网关设备上统一管理用户的访问策略，并且在网关设备和接入设备执行用户的访问策略，来解决大型园区策略强度与复杂度之间矛盾的一种解决方案。

3.策略联动实现机制

• 策略联动典型场景
• 用户接入:认证执行点建立用户关联表，用户与认证控制点之间进行认证交互，认证成功之后认证控制点下发授权信息到认证执行点。
• 用户离开:用户断开与接入设备连接，认证执行点实时通过CAPWAP隧道通知认证控制点，后者清除用户表项。
• 用户移动:用户连接到新网络后，重新完成认证操作。

4.策略联动与普通认证方案对比

• 普通认证方案:
  • 用户与认证点交互信息，认证点直接与认证服务器交互认证信息，认证通过后认证服务器将用户权限下发给认证点，认证点接口执行用户策略。
• 策略联动方案:
  • 用户与认证执行点交互信息，认证执行点通过CAPWAP隧道将身份凭证传递给认证控制点，认证控制点与认证服务器交互认证信息，
  • 认证通过后，认证服务器将用户权限下发给认证控制点，认证控制点通过CAPWAP隧道将用户权限传递给认证执行点，最终认证执行点接口执行用户策略。

5.策略联动配置思路

6.策略联动基础配置命令

七.总结

• 用户的准入控制是网络的第一道"大门"。为了把守好这扇大门，可以在网络中部署802.1X认证、MAC认证与Portal认证等用户认证协议。、
• 这些技术的实现方式与应用场景不尽相同，需要根据网络的特点及需求进行选择与部署。
• 通过iMaster NCE-Campus及网络产品可以实现先进的NAC解决方案，实现诸如终端类型识别以及策略自动化等一系列强大的功能。