基于ISE实现企业网络准入方案

前言

目前网络准入管理系统在很多企业中都被广泛的使用，这就让我们不得不先来分析一下企业网络的现状了，只有清楚了目前企业网络的现状，才能更好的去了解我们对网络准入管理系统的需求状况。今天我们主要跟大家聊下关于企业网络准入认证的一些技术方案，并分享一个基于我们当前业务场景的网络准入认证系统的规划实例。

需求分析

现状

当前互联网行业的信息系统建设正在往成熟的方向发展，而企业的网络和信息系统也因此而变得越来越复杂。企业间的合作也变得很普遍，这就需要考虑对网络接入进行管理。企业网络目前存在的问题有：
（1）IP不固定，导致访问的网络权限和登记的不一致；
（2）网络帐号、使用IP、终端设备、这三者不能一一对应；
（3）无线网络认证存在巨大安全隐患；

需求

针对这些问题我们对加强网络用户、终端以及网络接入的管理，基本功能需求总结如下：

（1）只有授权的员工才能使用对应的网络
（2）帐号和使用网络的终端要严格对应
（3）严禁私自搭建网络设备和修改物理地址

对于这些需求，可以发现一套完整的网络准入管理系统对于企业的重要性，我们便开始思考网络准入系统的规划。但问题来了：
（1）怎么识别用户身份，判断用户的角色？
（2）谁在使用该设备？设备是什么类型？
（3）如何对用户和设备做统一的管理和调度？
（4）用户ip在移动办公中不改变？
（5）VPN用户如何统一认证？针对这些问题，我们需要先了解下常用的网络准入技术。

网络准入技术

我们常说的网络准入可以通过网络或者主机来控制，比如802.1x准入设备，或者通过DHCP来进行IP分配控制，或者通过用户端安装客户端软件来实现。但基于用户体验和便利性，安装软件方式是不合适的，类似DHCP的方案比较简介但功能不够强，也并不适用我们的场景。

通过对业界常见的网络准入成熟方案分析，可以看到一般是基于以下技术实现：

Radius服务
802.1X认证
Portal/WEB认证
EOU认证

其中EOU是cisco的专有协议，Portal认证是基于WEB访问来实现，802.1X是根据用户ID或设备，对网络客户端(或端口)进行认证，一般采用Radius服务来完成具体用户的认证。

Radius是个开源的认证协议，大多数网络设备厂商都会添加对其的支持，常用的开源实现软件有freeradius、ToughRADIUS等，不过我们用的是思科的ISE来完成。

架构选型
通过对当前各种网络准入技术的分析比较，要实现我们的需求同时减少对用户端的影响，确定了以 801.1x 为基础，结合用户身份认证、主机MAC校验和动态VLAN，将准入控制点设置在边缘交换机和AP接口的技术方案。也就是加入了大名鼎鼎的思科身份认证引擎(ISE)设备，然后就可以了。大致的思路如下：

网络准入系统与 AD 域联动进行 802.1x 认证的流程
（1）客户端通过802.1x协议，发送身份认证信息给交换机；
（2）交换机将认证信息转发给Radius服务器；
（3）Radius验证身份信息并与目录服务器交互确认身份；
（4）目录服务器将用户身份认证结果返回给Radius；
（5）Radius根据结果判断给交换机下发策略；认证结果告知客户端。

架构设计

架构说明：
（1）我们通过对所有边缘接入层开启802.1x认证设置，将认证请求统一转发到Radius；
（2）Radius采用cisco的ISE设备，ISE的功能比较强大可以定义基于策略的认证、授权模式，并通过认证结果对策略下发到交换机，实现与交换机端口vlan、ACL的联动配置，并进行帐号与设备绑定实现实名入网；这里是解决交换机动态vlan的关键所在。
（3）用户帐号我们是放到活动目录域控数据库，也就是windows域服务器，同时存储包括用户帐号、密码、属组、MAC等信息，这里平时是通过我们的IT后台进行统一的帐号管理。
（4）VPN我们采用扩展功能较强的softether vpn方案（前面的文章已经介绍过具体的方案），并通过Radius进行认证。