Citrix桌面虚拟化准入接入方案：MAC+802.1x认证+ACL

网络部署设备描述

网络设备型号：华为 S5700C-SI   Version 5.120 (V200R002C00SPC100)

准入服务器：联软Radius 服务器

Citrix PVS MAC+802.1X+ACL准入部署设计

PVS 客户端部署方案设计

交换机端口部署802.1X认证和MAC认证，PVS PXE启动通过DHCP discover广播包请求获取IP地址，交换机收到PVS广播包触发端口MAC地址认证，MAC认证成功后，Radius服务器下发受限访问认证前域服务器网络权限ACL ID1；之后PVS获取IP地址、OPtion 66 67选项，通过引导文件加载OS正常启动，PVS客户端AD认证进入系统进行802.1X客户端认证，802.1X认证成功后，Radius扶起下发认证后域服务器网络访问权限ACL ID2；

普通工作站 802.1X准入部署设计

网络设备型号：华为 S2700TP-EI

部署方案设计：

交换机端口部署802.1X认证，802.1X端口控制类型设置为MAC-based，以便允许HUB接入场景需求；

2.PVS环境准入认证过程

PVSMAC认证，获取访问认证前域权限

PVS接入桌面交换机，端口UP，交换机等待4S终端无802.1X认证请求报文，交换机封装终端MAC地址至Radius报文进行MAC认证，Radius服务器收到MAC认证报文，验证通过下发ACL（认证前域访问权限）至交换机对应端口，PVS终端获得访问认证前域PVS服务器、AD服务器访问权限，加载OS镜像正常启动系统；

PVS802.1X认证，获取访问认证后域权限

PVS 系统启动后，使用802.1X认证客户端与Radius服务器进行二次认证，认证客户端递交身份信息、客户端安全配置策略状态信息至Radius服务器，所有状态满足策略要求认证成功，通知交换机对应端口开放PVS终端访问权限，否则PVS客户端自动修复成功后继续进行认证直到完成接入；

交换机准入配置解析

无盘环境huawei交换机802.1X部署配置

<NAC-test>dis version
Huawei Versatile Routing Platform Software
VRP (R) software, Version 5.110 (S5700 V200R001C00SPC300)
Copyright (C) 2000-2012 HUAWEI TECH CO., LTD
Quidway S5700-52C-SI Routing Switch uptime is 0 week, 0 day, 8 hours, 1 minute

CX22EMGEC 0(Master) : uptime is 0 week, 0 day, 8 hours, 0 minute
256M bytes DDR Memory
32M bytes FLASH
Pcb      Version :  VER B
Basic  BOOTROM  Version :  162 Compiled at May 31 2012, 10:56:32
CPLD   Version : 5
Software Version : VRP (R) Software, Version 5.110 (V200R001C00SPC300)
FORECARD information
Pcb      Version : CX22E4GFA VER A
FPGA   Version : 0
HINDCARD information
Pcb      Version : CX22ETPB VER C
FANCARD I information
Pcb      Version : FAN VER B
PWRCARD I information
Pcb      Version : PWR VER A

<NAC-test>dis cu
#
!Software Version V200R001C00SPC300
sysname NAC-test
#
vlan batch 1 137
#
dot1x enable
dot1x authentication-method eap
dot1x quiet-period
dot1x retry 10
dot1x timer tx-period 120
#
radius-server template nap
radius-server shared-key simple *****        //radius共享密钥
radius-server authentication 10.1.0.* 1812   //主 radius server
radius-server authentication 10.1.0.* 1812 secondary   //你懂的
undo radius-server user-name domain-included
#
acl number 3000 //mac认证成功后需开放的 认证前域服务器IP
rule 47 permit ip destination 10.1.0.* 0
rule 48 permit ip destination 10.*.*.0 0.0.0.255
rule 50 deny ip
#
acl number 3001    //未安装dot1x准入客户端后需开放的 认证前域服务器IP                      
rule 47 permit ip destination 10.1.0.* 0
rule 48 permit ip destination 10.*.*.0 0.0.0.255
rule 50 deny ip
#
acl number 3002   //安装dot1x准入客户端，但认证失败后，需开放的 认证前域服务器IP
rule 47 permit ip destination 10.1.0.* 0
rule 48 permit ip destination 10.*.*.0 0.0.0.255
rule 50 deny ip

#
acl number 3003 //安装dot1x准入客户端，认证成功，但安全检查失败需开放的 认证前域服务器IP rule 47 permit ip destination 10.1.0.* 0
rule 48 permit ip destination 10.*.*.0 0.0.0.255
rule 50 deny ip

#
acl number 4000  //准入认证成功设备 ACL
rule 10 permit
#
aaa
authentication-scheme rd
 authentication-mode radius    //认证类型配置为Radius          
domain default                //默认域关联认证方案和Radius服务器配置
 authentication-scheme rd
 radius-server  nap
domain default_admin

#
interface Vlanif1
ip address*********
#
interface GigabitEthernet0/0/1  //802.1终端接入端口
port link-type access
port default vlan 14
dot1x mac-bypass mac-auth-first //端口配置MAC+802.1双重认证
dot1x mac-bypass
             
///，H3C交换机配置需待验证成功附上！

转载于:https://blog.51cto.com/maybe/1279355

免责声明：本文系网络转载或改编，未找到原创作者，版权归原作者所有。如涉及版权，请联系删