前言

      802.1x協議是基於Client/Server的訪問控制和認證協議。它可以限制未經授權的用戶/設備通過接入端口(access port)訪問LAN/WLAN。在獲得交換機或LAN提供的各種業務之前，802.1x對連接到交換機端口上的用戶/設備進行認證。在認證通過之前，802.1x只允許EAPoL（基於局域網的擴展認證協議）數據通過設備連接的交換機端口；認證通過以後，正常的數據可以順利地通過以太網端口。

      802.1X提供安全的接入認證，但數據（包括操作系統）存儲於本地，數據可能有失竊的危險，比如富士康和比亞迪的官司，在比如陳冠希事件。一些對數據安全要求比較高的企業，政府，一直尋求，即要管好接入端的安全，又要管好數據端安全，做到本地無存儲，對數據隨需所取的PC應用環境。

     OSV配合自己實現的802.1X認證客戶端，即實現了對網絡接入的數據安全性要求，也實現了對PC的IO虛擬化，通過對數據實現虛擬化派發，用戶桌面環境的認證派發，和數據的集中存儲，集中管理。通過windows AD 服務器，對用戶帳戶進行統一管理。

實施準備

1，  支持802.1X認證交換機一臺實驗環境：Cisco 2960 （ip:192.168.88.249 netmask 255.255.255.0）
2，  Windows 2008 r2  AD 域服務器一臺（ip: 192.168.88.188 Netmask:255.255.255.0 ）
3，  Windows 2008 r2  NPS服務器一臺   (ip: 192.168.88.189 Netmask:255.255.255.0 DNS:192.168.88.188)
4，  客戶機一臺
5，  已安裝，配置好的OSV 服務器一臺       （IP：192.168.88.10）

Cisco 交換機配置

cisco>en       進入特權模式
Password:
cisco#configure terminal   進入全局配置模式
cisco(config)#interface vlan1 進入接口配置模式，配置Vlan1
cisco(config-if)#ip address 192.168.88.249 255.255.255.0 配置Vlan1的IP
cisco(config-if)#exit    通出
cisco(config)#aaa new-model
cisco(config)#aaa authentication dot1x default group radius
cisco(config)#aaa authorization network default group radius
cisco(config)#dot1x system-auth-control
cisco(config)#radius-server host 192.168.88.251 auth-port 1812 acct-port 1813 key OSV     配置802.1X的認證服務器IP，密鑰爲OSV 記住此密鑰，配置RADIUS時用到。
cisco(config)#interface fastEthernet 0/X  配置需要進行認證的端口
cisco(config-if)#switchport mode access
cisco(config-if)# authentication port-control auto
cisco(config-if)#dot1x port-control auto
cisco(config-if)#dot1x reauthentication
cisco(config-if)#dot1x timeout reauth-period 300
cisco(config-if)#authentication host-mode multi-auth/multi-host/signal-host/mulit-domain 交換機端口下連接多臺PC時(通過Hub或交換機)需要配置這個命令，默認只支持對一臺PC認證。
cisco(config-if)#authentication violation  shutdown/pretect/replace/restrict  802.1X shutdown規則
cisco(config-if)#dot1x pae both
cisco(config-if)#spanning-tree portfast         打開端口的快速轉發cisco(config-if)#exit
cisco(config)#exit

注：配置完成後，要測試交換機與RADIUS是否可通信，可在交換機上ping RADIUS服務器進行判斷。

Windows AD 域服務器架設

Step1: 打開開始菜單—計算機-管理

Step2:在彈出的服務管理器上點擊右鍵，添加角色

Step3: 開始界面

Step4:選擇AD域服務器角色，默認下一步。

Step5: 開始，運行 dcpromo.exe 執行AD安裝

Step6: AD安裝嚮導

Step 7 選擇在新林中新建域

Step 8: 輸入FQDN域名

Step 9: 默認下一步

Step 9: 選擇 windows server 2008 r2

Step 10 : 默認下一步

Step 11 : 默認下一步

Step 12 : 默認下一步

Step 13 : 默認下一步，開始自動安裝並配置AD

Step 14 : 安裝完成後，打開Users 點擊右鍵，新建組，

Step 15 : 新建一個 test-osv 的用戶組

Step 16 : 加入到 Domain Users 組

Step 17：新建用戶，並加入到test-osv組

NPS 服務器架設

Step1 : 修改NPS服務器的DNS爲域控服務器

Step2 ：將NPS服務器加入到域中

Step3 : 使用域管理帳戶登錄NPS Server

1,部署CA服務器

Step 1: 服務管理器—添加角色–ADCS

Step2 : 勾選證書頒發機構，頒發機構WEB註冊，聯機響應程序，

Step 3 : 選擇企業

Step3 選擇根證書

Step 4 默認下一步

Step 5 默認下一步

Step 6 默認下一步

Step 7 默認下一步

Step 8 默認下一步

Step 9 默認下一步

Step 10 默認下一步

Step 11 點擊安裝

Step 11 製作Computer 證書，開始—運行—MMC—文件—添加/刪除管理單元

Step 12 ：點擊證書—添加

Step 13 : 選擇計算機帳戶

Step 15 : 默認下一步

Step 16 : 選擇個人—證書—申請證書

Step 17 ：默認下一步

Step 18 ：默認下一步

Step 18 ：選擇計算機

Step 19 ：默認下一步

Step 20 : 完成

2,部署NPS服務器

Step1 : 服務管理器—添加角色—網絡策略和訪問服務

Step 2 : 選擇網絡策略服務器，健康註冊機構，主機憑據授權協議

Step 3 : 選擇使用現有證書

Step 4 : 默認下一步

Step 5 : 選擇我們剛剛新建的證書用於SSL加密

Step6 : 開始安裝

Step 7 : 點擊進入NPS管理器，選擇配置NAP

Step 8 : 選擇 IEEE 802.1X （有線）

Step 9 : 添加 RADIUS Client 也就是交換機IP和交換機的通信密鑰（在交換機中設置中，已經設置）

Step 10 : 完成後點擊下一步

Step 11 ：默認下一步

Step 11 ：默認下一步

Step 11 ：默認下一步

Step 11 ：默認後完成

Step 12 ：啓用MD5驗證支持

在RADIUS服務器上，導入註冊表文件：
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\4]
"FriendlyName"="MD5-Challenge"
"RolesSupported"=dword:0000000a
"Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
  00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,52,00,\
  61,00,73,00,63,00,68,00,61,00,70,00,2e,00,64,00,6c,00,6c,00,00,00
"InvokeUsernameDialog"=dword:00000001
"InvokenPasswordDialog"=dword:00000001

Step 13 : 打開NPS管理器，點擊策略—連接請求策略—NAP 802.1X(有線)

Step 14 : 選擇設置–身份驗證方法—添加—md5-Challenge  並將md5-Challenge 向上到第一個最先

3, 在AD中新建用戶

Step 1: 因爲 md5-Challenge 驗證的特殊性，密碼要以可逆方式保存，在AD服務器上，我們新建用戶，並勾選上，使用可逆方式存儲密碼，並加入到test-osv這個組中。

Step 2 : 重置OSV用戶密碼，使其密碼是以可逆方式存儲。

此時，環境部署完結，開始製作OSV客戶端，進行啓動測試。

Step 1 : 使用win32 Disk Imager 將 OSV Images 寫入U盤中，在驗證機上，設置爲USB啓動。

Step 2 ：客戶機啓動後，自動進入配置界面

$說明: D:\office\user\desk\802.1x images\IMG_20121129_122703.jpg$

Step 3 : 因爲本地有DHCP服務器，所以只用填上服務器IP就可以了，並把802.1X 的值填爲1，開啓802.1X認證，完成後回車確認

$說明: D:\office\user\desk\802.1x images\IMG_20121129_122728.jpg$

Step 4 : 輸入用戶名，密碼，進行802.1X認證。

$說明: D:\office\user\desk\802.1x images\IMG_20121129_122737.jpg$

Step5 :802.1X認證通過，開始進行操作系統的啓動。

$說明: D:\office\user\desk\802.1x images\IMG_20121129_123001.jpg$

注：OSV BOOT 並不止支持USB設備作爲客戶端認證，也支持硬盤，和主板BIOS。