北信源桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)基于8021x協(xié)議的準(zhǔn)入控

北信源桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)基于802.1x協(xié)議的準(zhǔn)入控制方案一、802.1x協(xié)議認(rèn)證描述802.1x協(xié)議是基于Client/Server的訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問LAN/MAN。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前，802.1x對連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過之前，802.1x只允許EAPoL（基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議）數(shù)據(jù)通過設(shè)備連接的交換機(jī)端口；認(rèn)證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。

網(wǎng)絡(luò)訪問技術(shù)的核心部分是PAE（端口訪問實(shí)體）。在訪問控制流程中，端口訪問實(shí)體包含3部分：認(rèn)證者--對接入的用戶/設(shè)備進(jìn)行認(rèn)證的端口；請求者--被認(rèn)證的用戶/設(shè)備；認(rèn)證服務(wù)器--根據(jù)認(rèn)證者的信息，對請求訪問網(wǎng)絡(luò)資源的用戶/設(shè)備進(jìn)行實(shí)際認(rèn)證功能的設(shè)備。

二、802.1x認(rèn)證特點(diǎn)

基于以太網(wǎng)端口認(rèn)證的802.1x協(xié)議有如下特點(diǎn)：IEEE802.1x協(xié)議為二層協(xié)議，不需要到達(dá)三層，對設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本；借用了在RAS系統(tǒng)中常用的EAP（擴(kuò)展認(rèn)證協(xié)議），可以提供良好的擴(kuò)展性和適應(yīng)性，實(shí)現(xiàn)對傳統(tǒng)PPP認(rèn)證架構(gòu)的兼容；802.1x的認(rèn)證體系結(jié)構(gòu)中采用了"可控端口"和"不可控端口"的邏輯功能，從而可以實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證的分離，由RADIUS和交換機(jī)利用不可控的邏輯端口共同完成對用戶的認(rèn)證與控制，報文直接承載在正常的二層報文上通過可控端口進(jìn)行交換，通過認(rèn)證之后的數(shù)據(jù)包是無需封裝的純數(shù)據(jù)包；可以使用現(xiàn)有的后臺認(rèn)證系統(tǒng)降低部署的成本，并有豐富的支持；可以映射不同的用戶認(rèn)證等級到不同的VLAN；可以使交換端口和無線LAN具有安全的認(rèn)證接入功能。三、802.1x應(yīng)用環(huán)境及其配置

a.一臺安裝IAS或者ACS的RADIUS認(rèn)證服務(wù)器；b.一臺安裝VRVEDP服務(wù)器；c.一個應(yīng)用可網(wǎng)管交換機(jī)的網(wǎng)絡(luò)環(huán)境；1.RADIUS認(rèn)證服務(wù)器配置如下：進(jìn)入添加/刪除程序中的添加/刪除Windows組件，選擇網(wǎng)絡(luò)服務(wù)中的Internet驗證服務(wù)2.安裝IAS后，進(jìn)入IAS配置界面3．右鍵點(diǎn)擊RADIUS客戶端，選擇新建RADIUS客戶端?？蛻舳说刂窞轵炞C交換機(jī)的管理地址，點(diǎn)擊下一步。4.選擇RADIUSStandard，共享機(jī)密為交換機(jī)中所配置的key。點(diǎn)擊完成。注：1、驗證交換機(jī)可以填寫多個，比如：有100個支持802.1X協(xié)議的接入層交換機(jī)，就需要執(zhí)行100次步驟3與步驟4的動作，把100個交換機(jī)的地址與共享密碼填寫進(jìn)去。2.此步驟是至關(guān)重要的第一步，一定要檢查填寫的共享密碼與交換機(jī)的共享密碼相同（這是思科交換機(jī)命令輸入共享密碼的命令：radius-serverhost192.168.0.136keyvrv；192.168.0.136為radius所在服務(wù)器地址）。5.右鍵點(diǎn)擊遠(yuǎn)程訪問策略，單擊新建遠(yuǎn)程訪問策略。注：1.建立遠(yuǎn)程訪問策略為了使進(jìn)行跟交換機(jī)進(jìn)行聯(lián)動，這個策略的建立為以后的用戶成功認(rèn)證打下堅實(shí)的基礎(chǔ)。2.這個策略一個公共策略，在一個網(wǎng)絡(luò)中可能有幾百個用戶名密碼進(jìn)行認(rèn)證，這個要按照步驟進(jìn)行配置，不要填寫用戶名匹配，不然會只有一個匹配的用戶能夠認(rèn)證通過。3.公司支持多種加密認(rèn)證方式，在IAS中我們建議使用MD5加密算法來進(jìn)行認(rèn)證。6.為策略取一個名字，點(diǎn)擊下一步7.選擇以太網(wǎng)，點(diǎn)擊下一步8.選擇用戶，點(diǎn)擊下一步9.使用MD5質(zhì)詢，點(diǎn)擊下一步，并完成。10.在右面板中右鍵點(diǎn)擊所新建的策略，選擇屬性。11.點(diǎn)擊添加，選擇Day-And-Time-Restrictions12.選擇添加，選擇允許，單擊確定。13.刪除NAS-Port-Type匹配”Ethernet”，并選擇授予訪問權(quán)限14.右鍵點(diǎn)擊連接請求策略，選擇新建連接請求策略。注：1.連接請求策略是與修復(fù)VLAN有關(guān)系的配置，如果在實(shí)施中沒有設(shè)置修復(fù)VLAN，這一步驟可以不進(jìn)行配置。2.連接請求策略中添加user-name與用戶名匹配，公司客戶端軟件暫時只支持與repair這個用戶名聯(lián)動。如果不使用repair用戶名匹配，客戶端沒有通過安檢時也會跳入修復(fù)VLAN，但是在客戶端不會提示已經(jīng)進(jìn)入修復(fù)VLAN。3.IAS中設(shè)置修復(fù)VLAN設(shè)置方法有幾種，建議使用文檔中的操作方式。15.選擇自定義策略，并為該策略取個名字16.策略狀況選擇添加Day-And-Time-Restrictions,配置方法同上。17.刪除NAS-Port-Type匹配”Ethernet”，并選擇授予訪問權(quán)限18.點(diǎn)擊添加，并選擇user-name,點(diǎn)擊添加19.這里repair是指repair子用戶名（即需要跳轉(zhuǎn)的子用戶名字），點(diǎn)擊確定并應(yīng)用20.單擊編輯配置文件，選擇高級-------添加選擇添加[64]Tunnel-Type：VLAN[65]Tunnel-Medium-Type：802[81]Tunnel-Pvt-Group-ID：VLANID（修復(fù)VLAN的vlan號）。21.單擊確定22．添加遠(yuǎn)程登錄用戶。在本地用戶和組中新建一個用戶。注：在建立認(rèn)證賬戶之前，首先檢查“用可還原的加密來存儲密碼”是否啟用。23.右鍵點(diǎn)擊新建的用戶，進(jìn)入屬性，選擇隸屬于，刪除默認(rèn)的USERS組24.點(diǎn)擊撥入，設(shè)置為允許訪問25.IAS配置完成。2.VRVEDP服務(wù)器關(guān)于802.1x策略的配置及解釋：策略中心->接入認(rèn)證策略->802.1X接入認(rèn)證認(rèn)證498765321498765321密碼認(rèn)證方式：“單用戶名密碼認(rèn)證”：所接入的客戶端會以該策略中指定的用戶名和密碼認(rèn)證，不需要用戶手工輸入用戶名和密碼“多用戶密碼認(rèn)證”：所接入的客戶端需要手工輸入在Radius中建立的認(rèn)證用戶名和密碼進(jìn)行認(rèn)證“域用戶名認(rèn)證”：所接入的客戶端如果是域環(huán)境，使用此功能可以在用戶登陸域時自動認(rèn)證。認(rèn)證程序在托盤顯示認(rèn)證狀態(tài)的圖標(biāo)，綠色為認(rèn)證成功，黃色為未認(rèn)證狀態(tài)，紅色則為認(rèn)證失敗。并可以規(guī)定認(rèn)證失敗特定次數(shù)后就不再認(rèn)證，自動進(jìn)入GUESTVLAN密碼驗證類型：分為MD5驗證和受保護(hù)的EAP(PEAP)兩種模式。安檢失敗處理方式：配合補(bǔ)丁與殺毒軟件策略和進(jìn)程服務(wù)注冊表策略使用，當(dāng)客戶端違反以上策略并選擇了根據(jù)802.1X策略處理時，則可對其執(zhí)行以下3種處操作：不處理（即注銷其802.1X認(rèn)證）；進(jìn)入正常工作VLAN；進(jìn)入修復(fù)VLAN。如果客戶端環(huán)境為DHCP動態(tài)網(wǎng)絡(luò)，則勾選DHCP動態(tài)IP環(huán)境認(rèn)證；并當(dāng)認(rèn)證失敗后，這里可以填入另外一個用戶名密碼再認(rèn)證一次（配合單用戶認(rèn)證方式使用）；當(dāng)遇到網(wǎng)絡(luò)意外斷開的情況，勾選網(wǎng)絡(luò)恢復(fù)連接后主動發(fā)起認(rèn)證，客戶端在恢復(fù)網(wǎng)絡(luò)時就會主動發(fā)起認(rèn)證；支持華為認(rèn)證服務(wù)器的IP綁定功能：配合華為公司產(chǎn)品中的IP與端口綁定的功能。認(rèn)證數(shù)據(jù)包傳輸模式：分為組播和廣播兩種模式，默認(rèn)為組播，在不支持組播的交換上使用廣播模式。超級認(rèn)證帳戶：即認(rèn)證成功后就會進(jìn)入正常工作VLAN，不受安檢策略限制。黑名單認(rèn)證帳戶：即使用這個帳戶認(rèn)證的客戶端始終都不能認(rèn)證通過。策略中心->接入認(rèn)證策略->補(bǔ)丁與殺毒軟件認(rèn)證1097546823110975468231設(shè)置說明：殺毒軟件安全檢測1.啟用“殺毒軟件安全檢測”：對接入網(wǎng)絡(luò)的計算機(jī)進(jìn)行殺毒軟件的安全檢測，檢查其健康度是否符合網(wǎng)絡(luò)要求標(biāo)準(zhǔn)，檢測內(nèi)容包括計算機(jī)是否安裝開啟了殺毒軟件。。2.“未運(yùn)行殺毒軟件時提示”：當(dāng)檢測到計算機(jī)沒有運(yùn)行殺毒軟件的時候給計算機(jī)一個提示信息。3.“未運(yùn)行殺毒軟件執(zhí)行（URL地址）”：當(dāng)檢測到計算機(jī)沒有運(yùn)行殺毒軟件的時候給計算機(jī)定向到指定的URL地址，例如某個可以下載或者運(yùn)行殺毒軟件的地址。4.“對上述URL執(zhí)行”1).選擇“打開/下載URL地址”：當(dāng)檢測到計算機(jī)沒有運(yùn)行殺毒軟件的時候直接打開或者下載上邊填寫的URL地址。2).選擇“下載URL地址指定文件并安裝”：當(dāng)檢測到計算機(jī)沒有運(yùn)行殺毒軟件的時候下載URL地址指定文件并安裝，一般為殺毒軟件。5.“未運(yùn)行殺毒軟件時”：當(dāng)檢測到計算機(jī)沒有運(yùn)行殺毒軟件的時候執(zhí)行以下操作1).“限制網(wǎng)絡(luò)訪問”：計算機(jī)在網(wǎng)內(nèi)只能與安全服務(wù)器列表中的IP地址通訊，禁止與其他計算機(jī)通訊。2).“注銷802.1認(rèn)證”：當(dāng)未運(yùn)行殺毒軟件時，客戶端將注銷正常登錄并進(jìn)入修復(fù)vlan。系統(tǒng)補(bǔ)丁安全檢測1).啟用“系統(tǒng)補(bǔ)丁安全檢測”：對接入網(wǎng)絡(luò)的計算機(jī)進(jìn)行系統(tǒng)補(bǔ)丁的安全檢測，檢查其健康度是否符合網(wǎng)絡(luò)要求標(biāo)準(zhǔn)，檢測內(nèi)容包括計算機(jī)是否安裝了指定系統(tǒng)補(bǔ)丁。2).“漏安裝列表中指定的補(bǔ)丁時提示”：當(dāng)檢測到計算機(jī)沒有安裝列表中指定的補(bǔ)丁的時候給計算機(jī)一個提示信息。3).“漏安裝列表中指定的補(bǔ)丁是打開（URL地址）”：當(dāng)檢測到計算機(jī)沒有安裝列別中指定的補(bǔ)丁的時候給計算機(jī)定向到指定的URL地址，例如某個可以下載到指定補(bǔ)丁的地址。7.“漏安裝列表中補(bǔ)丁時”：當(dāng)檢測到計算機(jī)沒有安裝列表中的補(bǔ)丁時執(zhí)行以下操作：1).“限制網(wǎng)絡(luò)訪問”：計算機(jī)在網(wǎng)內(nèi)只能與安全服務(wù)器列表中的IP地址通訊，禁止與其他計算機(jī)通訊2).“注銷802.1認(rèn)證”：當(dāng)未安裝指定安全補(bǔ)丁時，客戶端將注銷正常登錄并進(jìn)入修復(fù)vlan。8.“檢測補(bǔ)丁列表”：通過補(bǔ)丁號添加補(bǔ)丁檢測列表，當(dāng)計算機(jī)接入網(wǎng)絡(luò)的時候會檢測計算機(jī)是否安裝了此列表中列出的補(bǔ)丁9.“限制網(wǎng)絡(luò)訪問后，允許安全服務(wù)器連通列表”：填寫EDPserver、補(bǔ)丁服務(wù)器等安全服務(wù)器，當(dāng)計算機(jī)被限制網(wǎng)絡(luò)訪問后只能與這個列表中的IP地址通訊10.“DHCP與靜態(tài)IP切換”：在安檢失敗進(jìn)入訪客隔離區(qū)后，如果當(dāng)時的IP為靜態(tài)IP,則將其轉(zhuǎn)換為DHCP方式,直到安檢成功后返回正常工作區(qū)時再將DHCP方式還原為以前設(shè)置的靜態(tài)IP(選擇了"注銷802.1認(rèn)證"后,該選項才生效)。策略中心->接入認(rèn)證策略->進(jìn)程服務(wù)注冊表認(rèn)證67543216754321添加認(rèn)證模塊(見1.1)“以上列表認(rèn)證模塊認(rèn)證失敗時提示”：當(dāng)接入網(wǎng)絡(luò)的計算機(jī)在進(jìn)行認(rèn)證時，認(rèn)證失敗則在計算機(jī)顯示此信息“以上列表認(rèn)證模塊認(rèn)證失敗時打開（URL地址）”：當(dāng)接入網(wǎng)絡(luò)的計算機(jī)在進(jìn)行認(rèn)證時，認(rèn)證失敗則將計算機(jī)定向到此URL地址“對上述URL執(zhí)行”（1）選擇“打開/下載URL地址”：當(dāng)檢測到計算機(jī)認(rèn)證失敗的時候直接打開或者下載上邊填寫的URL地址（2）選擇“下載URL地址指定文件并安裝”：當(dāng)檢測到計算機(jī)認(rèn)證失敗的時候下載上邊URL地址指定文件并安裝“以上列表認(rèn)證模塊認(rèn)證失敗時”：當(dāng)認(rèn)證失敗時執(zhí)行以下操作（1）“限制網(wǎng)絡(luò)訪問”：計算機(jī)在網(wǎng)內(nèi)只能與安全服務(wù)器列表中的IP地址通訊，禁止與其他計算機(jī)通訊（2）“注銷802.1認(rèn)證”：注銷本次認(rèn)證，使計算機(jī)重新進(jìn)行認(rèn)證“DHCP與靜態(tài)IP切換”：在安檢失敗進(jìn)入訪客隔離區(qū)后，如果當(dāng)時的IP為靜態(tài)IP,則將其轉(zhuǎn)換為DHCP方式,直到安檢成功后返回正常工作區(qū)時再將DHCP方式還原為靜態(tài)IP(選擇了"注銷802.1認(rèn)證"后,該選項才生效)?！跋拗凭W(wǎng)絡(luò)訪問后，允許安全服務(wù)器連通列表”：填寫EDPserver、補(bǔ)丁服務(wù)器等安全服務(wù)器，當(dāng)計算機(jī)被限制網(wǎng)絡(luò)訪問后只能與這個列表中的IP地址通訊”。2.1、文件存在認(rèn)證(5)(4)(3)(2)(1)(5)(4)(3)(2)(1)選擇“編輯認(rèn)證模塊”進(jìn)入編輯認(rèn)證模塊頁面,填寫一個新的認(rèn)證模塊名字，單擊“新建模板”，例如新建認(rèn)證模塊名為“ceshi”。（1）在“文件名”處填寫要認(rèn)證的文件名和路徑例如：C:\vrvclient\vrv.exe，表示當(dāng)計算機(jī)接入網(wǎng)絡(luò)后要對此計算機(jī)進(jìn)行安全檢測，監(jiān)測計算機(jī)是否存在“文件存在認(rèn)證列表”中的文件。（2）選擇“認(rèn)證內(nèi)容”1）“僅認(rèn)證文件存在”：接入網(wǎng)絡(luò)的計算機(jī)當(dāng)進(jìn)行文件存在認(rèn)證時僅檢測計算機(jī)是否存在列表中的文件；2）“認(rèn)證文件版本號”：計算機(jī)接入網(wǎng)絡(luò)后對計算機(jī)的檢測要檢測文件的版本號；3）“認(rèn)證比較”三種檢測比較的方式，指定接入網(wǎng)絡(luò)的計算機(jī)當(dāng)進(jìn)行文件存在認(rèn)證時將計算機(jī)中的文件與列表中的文件檢測比較的方式是等于/小于等于/大于等于，“比較值”指定標(biāo)準(zhǔn)值。(3)“添加認(rèn)證條目”將以上設(shè)置好的文件和文件的比較內(nèi)容通過此按鈕添加到“文件存在認(rèn)證列表中”。(4)“刪除認(rèn)證條目”將“文件存在認(rèn)證列表中”不需要的文件從列表中刪除。(5)“多條文件認(rèn)證關(guān)系”：當(dāng)列表中添加多個認(rèn)證文件的時候選擇采取多個文件判斷的關(guān)系。1)、“并且關(guān)系”，需要以上列表的認(rèn)證都通過才算文件認(rèn)證通過；2)、“或關(guān)系”，以上列表中的認(rèn)證只要一條通過就算文件認(rèn)證通過。2.2、進(jìn)程運(yùn)行認(rèn)證(4)(3)(2)(1)(4)(3)(2)(1)(1)在“進(jìn)程名”中填寫要認(rèn)證的進(jìn)程名字。(2)選擇“認(rèn)證內(nèi)容”。1)“僅認(rèn)證進(jìn)程是否存在”：接入網(wǎng)絡(luò)的計算機(jī)當(dāng)進(jìn)行進(jìn)程運(yùn)行認(rèn)證時僅檢測計算機(jī)中是否存在列表中的進(jìn)程；2)“認(rèn)證進(jìn)程源文件名”接入網(wǎng)絡(luò)的計算機(jī)當(dāng)進(jìn)行進(jìn)程運(yùn)行認(rèn)證時要檢測計算機(jī)中進(jìn)程的源文件；(3)“認(rèn)證比較”：指定接入網(wǎng)絡(luò)的計算機(jī)當(dāng)進(jìn)行進(jìn)程運(yùn)行認(rèn)證時將計算機(jī)中的進(jìn)程與列表中的進(jìn)程檢測比較的方式是等于/小于等于/大于等于，“比較值”指定標(biāo)準(zhǔn)值。1）點(diǎn)擊“添加認(rèn)證條目”將以上設(shè)置好的進(jìn)程和進(jìn)程的比較內(nèi)容通過此按鈕添加到“進(jìn)程運(yùn)行認(rèn)證列表中”；2）點(diǎn)擊“刪除認(rèn)證條目”將“文件存在認(rèn)證列表中”不需要的進(jìn)程從列表中刪除。(4)“多條進(jìn)程認(rèn)證關(guān)系”：當(dāng)列表中添加多個認(rèn)證進(jìn)程的時候選擇采取多個進(jìn)程判斷的關(guān)系。1)“并且關(guān)系”，需要以上列表的進(jìn)程都通過才算進(jìn)程運(yùn)行認(rèn)證通過；2)“或關(guān)系”，以上列表中的進(jìn)程只要一條通過就算進(jìn)程運(yùn)行認(rèn)證通過。2.3、注冊表鍵值認(rèn)證(5)(4)(3)(2)(1)(5)(4)(3)(2)(1)(1)在“注冊表項路徑”中填寫要認(rèn)證的注冊表項路徑，不包含鍵名。(2)“鍵名”：指定上邊注冊表項中需要作為認(rèn)證的鍵名。(3)“認(rèn)證內(nèi)容”：1)“僅認(rèn)證鍵是否存在”：接入網(wǎng)絡(luò)的計算機(jī)當(dāng)進(jìn)行注冊表鍵值認(rèn)證時僅檢測計算機(jī)中是否存在列表中的注冊表鍵；2)“認(rèn)證鍵值”接入網(wǎng)絡(luò)的計算機(jī)當(dāng)進(jìn)行注冊表鍵值認(rèn)證時要檢測計算機(jī)中注冊表鍵的鍵值的源文件。(4)“認(rèn)證比較”：指定接入網(wǎng)絡(luò)的計算機(jī)當(dāng)進(jìn)行注冊表鍵值認(rèn)證時將計算機(jī)中的進(jìn)程與列表中的進(jìn)程檢測比較的方式是等于/小于等于/大于等于，“比較值”指定標(biāo)準(zhǔn)值。1)點(diǎn)擊“添加認(rèn)證條目”將以上設(shè)置好的注冊表項和鍵名比較內(nèi)容通過此按鈕添加到“注冊表鍵值認(rèn)證列表中”；2)點(diǎn)擊“刪除認(rèn)證條目”將“注冊表鍵值認(rèn)證列表中”不需要的條目從列表中刪除。(5)“多條注冊表認(rèn)證關(guān)系”：當(dāng)列表中添加多個注冊表項的時候選擇采取多個注冊表項判斷的關(guān)系。1)“并且關(guān)系”，需要以上列表的注冊表鍵值通過才算注冊表鍵值認(rèn)證通過；2)“或關(guān)系”，以上列表中的注冊表鍵值只要一條通過就算注冊表鍵值認(rèn)證通過。2.4、服務(wù)運(yùn)行認(rèn)證(2)(1)(1)在“服務(wù)名”中填寫要認(rèn)證的服務(wù)名字。(2)(1)1)點(diǎn)擊“添加認(rèn)證條目”將以上填寫好的服務(wù)名通過此按鈕添加到“服務(wù)運(yùn)行認(rèn)證列表中；2)點(diǎn)擊“刪除認(rèn)證條目”將“服務(wù)運(yùn)行認(rèn)證列表中”不需要的服務(wù)名從列表中刪除。(2)“多條服務(wù)認(rèn)證關(guān)系”：當(dāng)列表中添加多個認(rèn)證服務(wù)的時候選擇采取多個服務(wù)判斷的關(guān)系。1)“并且關(guān)系”，需要以上列表中的服務(wù)名都通過才算服務(wù)運(yùn)行認(rèn)證通過；2)“或關(guān)系”，以上列表中的服務(wù)名只要一條通過就算服務(wù)運(yùn)行認(rèn)證通過。編輯完畢點(diǎn)擊“保存認(rèn)證模板配置”按鈕，將上述配置保存，完成了“ceshi”認(rèn)證模塊的編輯3.802.1x描述測試：測試目的測試系統(tǒng)用戶是否可以通過802.1x認(rèn)證方法/步驟配置交換機(jī)和RADUIS服務(wù)器，使交換機(jī)斷口需要802.1x認(rèn)證配置策略，讓終端通過802.1x方式認(rèn)證將終端接入到交換機(jī)中，在登陸框中輸入提前設(shè)定好的認(rèn)證口令預(yù)期目標(biāo)終端接入到交換機(jī)中，按照相應(yīng)的用戶名和口令，進(jìn)入到相應(yīng)的VLAN中（如GUESTVLAN；REPAIRVLAN），如果輸入錯誤的用戶名和口令，則認(rèn)證不成功。實(shí)測結(jié)果是測試目的測試系統(tǒng)用戶長時間不進(jìn)行802.1x認(rèn)證，是否自動進(jìn)入到GUESTVLAN中方法/步驟配置交換機(jī)和RADUIS服務(wù)器，使交換機(jī)斷口需要802.1x認(rèn)證配置策略，讓終端通過802.1x方式認(rèn)證將終端接入到交換機(jī)中，彈出認(rèn)證框之后，不進(jìn)行認(rèn)證預(yù)期目標(biāo)終端接入到交換機(jī)中，長時間不認(rèn)證之后，自動跳轉(zhuǎn)到GUESTVLAN中實(shí)測結(jié)果是測試目的測試系統(tǒng)用戶接入認(rèn)證時進(jìn)行安全檢查，檢查不合格，則用REPAIRVLAN的用戶名登陸跳入到REPAIRVLAN中，檢查合格，自動跳入到NORMALVLAN中方法/步驟配置交換機(jī)和RADUIS服務(wù)器，使交換機(jī)斷口需要802.1x認(rèn)證配置策略，讓終端通過802.1x方式認(rèn)證配置策略，終端接入認(rèn)證時，進(jìn)行病毒軟件、補(bǔ)丁、進(jìn)程、服務(wù)、文件的安全檢查預(yù)期目標(biāo)終端接入到交換機(jī)中，如果符合服務(wù)器的安全要求，則用NORMALVLAN的用戶名登陸到NORMALVLAN中，如果不符合安全要求，則用REPAIRVLAN的用戶名登陸到REPAIRVLAN中。實(shí)測結(jié)果是交換機(jī)配置如下：1.Cisco2950配置方法Enable/*進(jìn)入特權(quán)模式*/configt/*進(jìn)入全局配置模式*/aaanew-model/*啟用aaa認(rèn)證*/

aaaauthenticationdot1xdefaultgroupradius/*配置802.1x認(rèn)證使用radius服務(wù)器數(shù)據(jù)庫*/aaaauthorizationnetworkdefaultgroupradius/*VLAN分配必須*/

radius-serverhost192.168.1.132keyvrv/*指定radius服務(wù)器地址為192.168.1.132，通信密鑰為vrv，端口不用制定，默認(rèn)1812和1813*/radius-servervsasendauthentication/*配置VLAN分配必須使用IETF所規(guī)定的VSA值*/

intvlan1

ipadd192.168.1.133255.255.255.0

noshut

/*為交換機(jī)配置管理地址，以便和radius服務(wù)器通信*/

intrangef0/1-11

dot1xport-controlauto

switchportmodeaccess

/*為1到11端口配置dot1x，12端口不配*/dot1xguest-vlanID（VLAN跳轉(zhuǎn)命令）

exit

/*退回全局配置模式*/

dot1xsystem-auth-control

/*全局啟動dot1x*/

2950交換機(jī)上VLAN的配置vlandatabasevlanIDenableconfigtintrangef0/1–20switchportaccessvlanIDswitchportmodeaccessspanning-treeportfast華為3COM3628配置discu#sysnameH3C#domaindefaultenabletest#dot1xdot1xtimertx-period10dot1xretry4#radiusschemesystemradiusschemetestserver-typestandardprimaryauthentication54.1.44.55primaryaccounting54.1.44.55keyauthenticationvrvkeyaccountingvrvuser-name-formatwithout-domain#domainsystemdomaintestschemeradius-schemetestvlan-assignment-modestring#vlan1#vlan46#vlan600descriptionguest#vlan601to602#interfaceVlan-interface46ipaddress54.1.46.250255.255.255.0#interfaceAux1/0/0#interfaceEthernet1/0/1portaccessvlan600dot1xport-methodportbaseddot1xguest-vlan601dot1x#interfaceEthernet1/0/2#interfaceEthernet1/0/3#interfaceEthernet1/0/4#interfaceEthernet1/0/5#interfaceEthernet1/0/6#interfaceEthernet1/0/7#interfaceEthernet1/0/8#interfaceEthernet1/0/9#interfaceEthernet1/0/10#interfaceEthernet1/0/11#interfaceEthernet1/0/12#interfaceEthernet1/0/13#interfaceEthernet1/0/14#interfaceEthernet1/0/15#interfaceEthernet1/0/16#interfaceEthernet1/0/17#interfaceEthernet1/0/18#interfaceEthernet1/0/19#interfaceEthernet1/0/20#interfaceEthernet1/0/21#interfaceEthernet1/0/22portaccessvlan601#interfaceEthernet1/0/23#interfaceEthernet1/0/24#interfaceGigabitEthernet1/1/1#interfaceGigabitEthernet1/1/2#interfaceGigabitEthernet1/1/3#interfaceGigabitEthernet1/1/4portlink-typetrunkporttrunkpermitvlan146600to602#undoirf-fabricauthentication-mode#interfaceNULL0#voicevlanmac-address0001-e300-0000maskffff-ff00-0000#iproute-static0.0.0.00.0.0.054.1.46.1preference60#user-interfaceaux07user-interfacevty04#return<H3C><H3C><H3C>3．銳捷RGS21配置hostnameSwitchvlan1!vlan600name600//要跳轉(zhuǎn)的VLAN必須以VLAN號來命名!ipaccess-listextendedUNAUTH//安全通道的ACLpermitipanyhost54.1.44.56//未認(rèn)證之前開放服務(wù)器!radius-serverhost54.1.44.55//指定radius服務(wù)器的地址aaaauthenticationdot1x//開啟認(rèn)證aaaaccountingserver54.1.44.55//指定記帳服務(wù)器的地址aaaaccounting//開啟記帳enablesecretlevel15!'.tj9=Gq+/7R:>HE,1u_;C,&-8U0<D+enablesecretlevel155!fjo+/7RqgkE,1u_dhl&-8U0ein'.tj9interfacefastEthernet0/45dot1xport-controlauto//開啟1X認(rèn)證dot1xdynamic-vlanenable//開啟動態(tài)VLAN!interfacefastEthernet0/48dot1xport-controlautodot1xdynamic-vlanenable!interfacevlan1noshutdownipaddress54.1.44.53255.255.255.0!nodot1xfilter-nonRG-suenable//允許非銳捷的客戶端通過dot1xaccout-update-interval600radius-serverkeyvrvipdefault-gateway54.1.46.1snmp-servercommunity123rwsecurityglobalaccess-groupUNAUTH//開啟安全通道end四、策略實(shí)施的步驟：1、安裝IAS組件2、當(dāng)網(wǎng)絡(luò)內(nèi)所有設(shè)備基本安裝客戶端注冊程序以后，配置下發(fā)接入控制策略；策略收到后，會在計算機(jī)系統(tǒng)上右下角出現(xiàn)黃色小圖標(biāo)，表示需要通過認(rèn)證。3、配置交換機(jī)開啟aaa認(rèn)證。計算機(jī)系統(tǒng)右下角黃色小圖標(biāo)會由黃色變成綠色，表示802.1x認(rèn)證通過，交換機(jī)相應(yīng)端口打開，授權(quán)訪問網(wǎng)絡(luò)。4、然后將服務(wù)器上的C:\VRV\VRVEIS\download目錄下的DeviceRegist.exe和RegTool.exe程序下載到本地計算機(jī)上，由RegTool.exe對注冊程序解壓生成temp文件，然后從已經(jīng)通過認(rèn)證的計算機(jī)上，拷貝vrvpolicy.xml(如何拷貝：在已經(jīng)注冊且能認(rèn)證通過的計算機(jī)上的“運(yùn)行”中輸入vrvpolicy.xml，打開這個xml文件后，鼠標(biāo)右鍵，以同一名稱另存為)添加到temp中addFile文件中，最后點(diǎn)擊RegTool.exe打包，生成一個含有用戶名，密碼的vrvpolicy.xml的注冊客戶端程序。以后就可以用這個客戶端注冊程序給未注冊的計算機(jī)注冊安裝，這樣該未注冊計算機(jī)可通過注冊后，主動發(fā)起認(rèn)證，使交換機(jī)端口打開，隨后看到綠色圖標(biāo)，即表示已被授權(quán)網(wǎng)絡(luò)訪問。

薪資制度編號：提出部門：人力資源部執(zhí)行部門：所有部門主題：薪資制度審批人：總經(jīng)理生效日期：重新簽發(fā)日：替換原文件：共8頁第1頁日期：年月日目的:建立和合理而公正的薪資制度，以利于調(diào)動員工的工作積極性。政策與程序:1．薪資構(gòu)成員工的薪資由月薪及年終雙薪（年終分紅）構(gòu)成。月薪=標(biāo)準(zhǔn)工資+加班工資標(biāo)準(zhǔn)工資=基本工資+績效工資+崗位補(bǔ)貼如下圖所示：年終雙薪（年終分紅）薪資加班工資月工資崗位補(bǔ)貼績效工資標(biāo)準(zhǔn)工資基本工資標(biāo)準(zhǔn)工資為員工的合同工資，根據(jù)每位員工的任職崗位、資歷、能力等確定?；竟べY為加班工資計算基數(shù)，為員工最低生活保障工資，應(yīng)不低于當(dāng)?shù)氐淖畹凸べY標(biāo)準(zhǔn)。薪資制度編號：提出部門：人力資源部執(zhí)行部門：所有部門主題：薪資制度審批人：總經(jīng)理生效日期：重新簽發(fā)日：替換原文件：共8頁第2頁日期：年月日績效工資為員工的每月工作成效的考核工資，不在崗工作不享受績效工資崗位補(bǔ)貼不同崗位的員工，崗位工資不同。不在崗工作的員工不享受崗位補(bǔ)貼。年終雙薪（年終紅利）是為體現(xiàn)公司對員工的關(guān)心而設(shè)立。于每年的二月份（春節(jié)以前）根據(jù)公司上年度的完成營業(yè)情況給與額外發(fā)放N月的工資。計算公式如下：年終雙薪=員工上年平均月標(biāo)準(zhǔn)工資×N（個月），年終雙薪只限于正式簽定勞動合同的員工，年薪根據(jù)員工年終績效考核成績發(fā)放，考核成績不同發(fā)放份額不同。2．獎金獎金即月獎金，是為體現(xiàn)公司整體效益與員工個人利益相結(jié)合的原則，更好的調(diào)動員工的工作積極性而設(shè)立。根據(jù)公司完成每月經(jīng)營狀況，由董事會決定提取月營業(yè)額的作為獎金發(fā)放。獎金實(shí)行“獎金分?jǐn)?shù)制”，即結(jié)合職級、部門及工作崗位設(shè)定不同的獎金分?jǐn)?shù)差別，計發(fā)獎金。（根據(jù)公司獎金提及方案）優(yōu)點(diǎn)：職級越高，獎金份數(shù)越多。有利于調(diào)動管理人員科學(xué)合理、充分有效的安排本部門的員工進(jìn)行運(yùn)作。在獎金總額不變的全體下，部門員工的人數(shù)越少，每個員工分得的獎金總額越多，即每份獎金所含的現(xiàn)金越多。有利于各部門主管控制本部門的員工數(shù)量，實(shí)現(xiàn)公司人員編制的自動控制如：某月所提取的獎金額為300，000元，獎金份數(shù)總計為500份，則每份獎金為600元；如薪資制度編號：提出部門：人力資源部執(zhí)行部門：所有部門主題：薪資制度審批人：總經(jīng)理生效日期：重新簽發(fā)日：替換原文件：共8頁第3頁日期：年月日果獎金份數(shù)為1，000分，則每份獎金為300元。獎金份額傾向于前臺運(yùn)作員工，有利于調(diào)動前臺員工的積極性。3．職級與工資根據(jù)工作崗位及公司實(shí)際情況，公司所有員工共分為九個職級，即：行政級7—9級經(jīng)理級5—6級（助理、副經(jīng)理、經(jīng)理）督導(dǎo)級3—4級（主管、領(lǐng)班）員工級0—2級詳見附表《工資分配方案》。4．特殊津貼經(jīng)批準(zhǔn)的特殊津貼（交通費(fèi)、通訊費(fèi)等）按集團(tuán)公司有關(guān)規(guī)定辦理。由人力資源部負(fù)責(zé)核準(zhǔn)，總經(jīng)理批準(zhǔn)后由財務(wù)部具體發(fā)放。5．工資及級職確定所有新入職員工，其工資及職級由人力資源部經(jīng)理確定。其中5級及以上職級員工由總經(jīng)理確定。入職時，人力資源部根據(jù)員工的實(shí)際情況確定員工的職級、填發(fā)《員工變動表》通知員工到職。6．工作時間工作時間指員工的實(shí)際工作時間，不包括就餐、休息等時間。員工平均每周工作時間為40小時。實(shí)行特殊工時制的員工將在入職時及在勞動合同中有特殊說明。7．超時工作薪資制度編號：提出部門：人力資源部執(zhí)行部門：所有部門主題：薪資制度審批人：總經(jīng)理生效日期：重新簽發(fā)日：替換原文件：共8頁第4頁日期：年月日7．1、公司不鼓勵員工超時工作。7．2如果確屬工作需要級臨時性職的工作安排，導(dǎo)致員工超時工作，部門主管應(yīng)詳細(xì)填寫《加班申請表》報人力資源部備案，并于超時工作發(fā)生三個月內(nèi)安排員工時間補(bǔ)休。.公司經(jīng)理助理職級以上的管理人員實(shí)行彈性工作制，不計算加班時間，如公休日值班，必須在三個月以內(nèi)進(jìn)行調(diào)休，無特殊情況未休逾期作廢（節(jié)假日值班根據(jù)國家規(guī)定執(zhí)行，或根據(jù)集團(tuán)旅業(yè)部薪酬制度執(zhí)行）.未能及時安排的補(bǔ)休，如果沒有部門經(jīng)理及時的說明及知會人力資源部，將被視為員工自動放棄。故員工本人亦有責(zé)任提醒直屬上司或部門主管及時為其安排補(bǔ)休。.補(bǔ)休時需填寫《假期申請書》完成請假程序。任何時間的超時工作入予以時間行使補(bǔ)償，只能以相等于超時工作時間長度的時間予以補(bǔ)休。7．3如超時工作無法以時間補(bǔ)償，需發(fā)放超時工作薪資時，應(yīng)于加班發(fā)生次日前填寫《加班申請書》，注明超時工作的詳細(xì)理由，報人力資源部審核，再報請總經(jīng)理審批。經(jīng)總經(jīng)理批準(zhǔn)的超時工作，可予以發(fā)放超時工作薪資。超時工