基于Windows NPS服务器认证的动态VLAN 分配解决方案

当前很多集团下会建立多个分公司，多个分公司之间存在着人员交叉办公，交叉管理的情况出现，不同分公司有自己独立的域，独立的账号。

传统的解决方案往往有两种方式，一种以一个公司为主体，其他公司人员以访客的模式来进行网络访问。这种方案带来了很多管理上的不便，如人员权限不易控制，访客网络得不到有效的安全保障。

另外一种是根据访客身份，精确到端口进行VLAL划分，这种方式加强了安全性，但是却大大损失了灵活性。网络管理员不得不奔波于手动操作交换机端口VLAN满足不同公司主体下的员工PC接入办公网络获得相应公司主体的网络及DNS参数。

针对上述情况，我们制定了如下方案来解决此问题。

方案简单描述如下：利用 802.1X和windows NPS(radius)认证服务器的授权控制，根据用户账号的不同，动态分配交换机端口VLAN属性、ACL控制、利用DHCP分配IP地址实现较灵活的控 制，实现了用户地址分配、DNS服务器分配。

本方案应用成熟，易于实现，降低网络管理员手动操作VLAN划分的繁琐工作，实现用户不同公司主体的员工PC动态划分到不同VLAN，获取不同的网络参数，通过VLAN的隔离和网络参数的不同，在三层进行灵活的安全控制，也满足了安全合规需求，提高了用户接入网络的灵活性，解耦了用户PC与物理办公位置的耦合，给企业局域网安全管理和移动办公提供了一种有效的解决方案。

一、方案详述

（一）技术原理

802.1X协议是一种基于端口的网络接入控制协议，即在局域网接入设备的端口上对所接入的用户和设备进行认证，以便控制用户设备对网络资源的访问。

802.1X系统中包括三个实体：客户端（Client）、设备端（Device）和认证服务器（Authentication server），如图所示。

1、客户端是请求接入局域网的用户终端，由局域网中的设备端对其进行认证。客户端上必须安装支持802.1X认证的客户端软件。

2、设备端是局域网中控制客户端接入的网络设备，位于客户端和认证服务器之间，为客户端提供接入局域网的端口（物理端口或逻辑端口），并通过与认证服务器的交互来对所连接的客户端进行认证。

3、认证服务器用于对客户端进行认证、授权和计费，通常为RADIUS（Remote Authentication Dial-In UserService，远程认证拨号用户服务）服务器。认证服务器根据设备端发送来的客户端认证信息来验证客户端的合法性，并将验证结果通知给设备端，由设备端决定是否允许客户端接入。

（二）解决方案分析

1、在接入交换机、无线控制器上启用802.1X认证，各公司主体的用户在接入有线、无线网络时，都需要使用自己的域账号及密码进行认证。认证凭据只需要输入一次，即可保存在系统内，无需重复输入，提升用户体验。

2、对于各公司主体共用一套网络设备，但是相互间需要隔离的需求，可以将各公司划入不同的VLAN，通过在VLAN接口上配置ACL解决。

3、对于各公司主体DNS解析隔离的需求，在各主体网络属于不同VLAN的前提下，通过为各主体的VLAN配置对应的DHCP策略，下发各自的DNS服务器解决。

4、对于各公司主体内网访问权限控制的需求，可以在行为管理上，根据用户认证账号所属的域，进行灵活的权限分配。

（三）手动调整VLAN的缺点

传统手动调整VLAN方式中，将A公司和B公司的用户实施隔离，采用手动VLAN划分方案。这种方案本身能满足需求，但是在实施过程中也发现了一些弊端。

如有线网络划分VLAN的方式是使用人工的方式进行管理，手动将A公司工位对应的交换机端口划分到A公司的VLAN，B公司工位对应的交换机端口划分到B公司的VLAN。这种管理方法弊端如下：

1、工位使用不够灵活，A公司和B公司主体的用户只能在划定好的工位办公，无法自由移动办公，对于办公用户的体验较差。

2、维护工作量大，由于两个主体的人员、工位需求不断变化，每次工位调整，都需要由网络运维人员更改相应端口VLAN分配。将来随着公司主体数量的增加，运维工作量会成倍增长。

3、存在网络交叉使用的安全隐患。由于A、B两个公司主体的网络安全策略和安全级别不一致，而简单的VLAN划分并不能完全杜绝两个主体在网络上交叉使用的情况。

如果安全级别较高主体的电脑无意中接入安全级别较低主体的网络，容易发生管控策略失效，信息泄露。如果安全级别较低主体的电脑无意中接入了安全级别较高的网络，容易出现内网病毒传播、跳板入侵等情况，带来网络安全隐患。

同时，无线网络采用多个不同的SSID对应多个不同的VLAN来区分多个主体，虽然这种方法不存在维护工作量和交叉使用网络的问题，但单个无线AP启用SSID的数量越多，对无线网络的性能影响越大，厂商建议不超过3个。随着将来主体数量增加，这种隔离的方法势必会造成无线网络性能下降，影响无线的网络体验。

（四）分析结论

基于windows AD域架构，我们选用Windows Server 2008系统安装NPS组件作为认证服务器，与网络接入交换机、无线控制器联动，来实现全网的802.1X认证的动态VLAN下发。

二、部署架构选择

为了满足多公司主体AD域相互独立的需求，我们设计了两种NPS服务的架构

（一）基于AD域间信任的802.1X入网认证及VLAN动态分配架构

架构示意图如下：

在该架构中，需要部署两台服务器作为NPS服务器，并且将NPS服务器加入A公司大部分员工所属的公司主体的域，并且和其它公司主体的域要建立信任关系。具体的VLAN分配规则，在各个办公区的NPS服务器上分别进行配置。

认证流程如下：

1、用户通过有线或无线的方式接入网络，交换机、无线AP和用户的终端完成802.1X的握手请求，用户终端提交域账号和密码。

2、接入交换机、无线AP将用户的域账号及加密后的密码，使用标准的Radius协议，提交到NPS服务器。

3、NPS服务器向域控制器发起用户认证。如果用户属于A公司域，将直接在A公司的域控上认证，如果用户属于其它公司的域，则需要建立信任关系后，由A公司的域控制器向对应公司的域控制器发起认证。

4、如用户认证通过，接入交换机、无线AP打开端口，用户将自动接入到公司主体对应的VLAN中，获取到自己公司对应的DNS服务器。

该方案的优势：

1、传统准入设备只能控制跨三层转发的报文，结合使用NPS服务器+802.1x技术可以用户的接入控制精确到每一个端口，从源头上阻断未授权的用户接入公司网络，安全性更高。当前准入设备和NPS+802.1X架构共存，继续进行加域、杀毒软件等NPS服务器无法支持的高级条件检查。

2、架构简单NPS服务器节点数量较少，整体架构相对简单。

3、管理维护相对容易，每台NPS服务器都可以和域控制器对接，NPS上的策略相对简单。

该方案的劣势

1、在域间建立信任关系，需要将信任的域控制器间的网络全部打通，造成网络架构复杂，同时存在一定的安全合规风险。

2、各个不同主体的域建立信任关系后，打破了域林的安全的边界，不同公司主体间的账号可以相互混用，例如，终端用户可以使用B公司的域账号登陆加入A公司的域的电脑，存在安全风险。

3、整套架构实现多域认证十分依赖AD域间的信任关系，如将来因客观原因，某个公司主体的AD域不能实施信任关系，则该公司主体的域用户就不能通过自己的域账号接入网络，对用户使用造成不便。

（二）基于Radius代理的802.1X入网认证及VLAN架构

架构示意图如下：

在该架构中，每个公司需要部署两台不加域的NPS服务器，作为Radius代理服务器。各个公司主体的AD域控制器上添加NPS服务组件，只作用户身份验证的用途，可以不搭建独立的NPS服务器。

用户认证流程如下

1、在Radius代理服务器上配置转发规则，根据终端提交的用户名中携带的域名字段（例如A公司的域名中会携带a.com\或者@a.com字段），将用户的认证请求转发到对应域控制器上的NPS服务器上进行验证。

2、域控制器上的NPS服务器完成验证，将验证结果反馈到Radius代理。

3、如果验证通过，Radius代理服务器会根据本地的策略，下发相应的VLAN号。

4、接入交换机、无线AP打开端口，用户自带的windows的802.1X客户端发起认证，通过认证后，交换机把接入端口调整到该用户所属的公司对应的VLAN，获取到对应公司对应的DNS服务器等网络参数。

该方案的优势

1、相比传统的准入设备只能控制跨三层转发的报文，结合使用NPS服务器+802.1x技术可以将接入控制精确到每一个端口，从源头上阻断未授权的用户接入公司网络，安全性更高。当前准入设备和NPS+802.1X架构共存，进行加域、杀毒软件等NPS服务器无法支持的高级条件检查。

2、对AD域之间的信任关系没有任何要求，各公司主体间的AD域无论是否有信任关系，该方案均可较好实施。如各公司主体的AD域之间不建立信任关系，则可以较好的保护AD域林形成的天然安全边界，避免账号交叉使用带来的安全风险。

3、只需放通Radius代理服务器到各公司的AD域及NPS服务器单向的网络策略即可，如果各公司的AD域之间不建立信任关系，则无需各公司AD域之间全部双向打通网络策略，网络架构简洁，安全风险较小。

该方案的劣势

1、由于Radius代理服务器的引入，该架构复杂度稍高，需要严密的设计和测试保障高可用。

2、Radius代理服务器上的策略较为复杂。

（三）总结

分析以上两种部署方式后，我们选择基于Radius代理的802.1X入网认证及VLAN架构，主要基于以下原因：

1.可扩展性好

a. 代理服务器不需要加入windows域控，网络管理员可以在代理服务器上配置VLAN策略，不需要系统管理员管理代理服务器。

b. 后端每个子公司有自己的AD域，代理服务器通过用户名后缀匹配转发到对应公司的NPS服务器，各公司的AD域不需要做林级互相信任，降低了AD域控的复杂度。

2. NPS服务器解耦合

NPS可以选择部署在域控服务器，或者独立部署。NPS代理与NPS策略服务器解耦合，网络管理和维护更灵活，实现也较前一种方案容易。

3．安全性

第一种部署架构：需要做各公司的AD域相互林信任，需要打通各公司AD域网络，由此引入新的网络安全问题，一个公司的AD域服务器感染病毒后会蔓延影响其他公司AD域服务器。

同时各个不同主体的域建立信任关系后，打破了域林的安全的边界，不同公司主体间的账号可以相互混用，存在账号和终端安全风险。

第二种部署架构：不需要做AD域信任，一个公司的AD服务器的安全风险不会蔓延到其他公司。严格控制终端上账号混用风险。