zoukankan      html  css  js  c++  java
  • 802.1X基本配置

    基本的802.1X部署工作包括以下4步:
        1. 为Cisco Catalyst交换机配置802.1X认证方
        2. 为交换机配置访客VLAN或者受限VLAN,并调整802.1X定时器(可选)
        3. 为Cisco ACS配置EAP-FAST,并在本地数据库创建用户账户
        4. 为客户主机配置并部署802.1X请求方
        
    一般性部署原则:
        • 在802.1X架构中采用扩展性较强的单点登录(single sign-on),并确保身份凭证的安全性。
        • 进行部署前分析,并采用经过测试的部署计划。参数或者配置不但可能导致大量用户无法访问网络。
        • 在正式部署前进行试验性部署,并根据暴露出来的问题调整相关的配置。
        • 试验性部署应该尽可能覆盖企业网,以最大限度模拟实际的部署状况。

    为Cisco Catalyst交换机配置认证方
        1. 配置Radius服务器参数
        2. 配置AAA服务和Radius协议
        3. 全局启用802.1X
        4. 在指定的访问端口启用802.1X
        5. 配置定期重认证(可选)
        6. 调整定时器和阈值(可选)
        7. 调整访客策略与认证失败策略(可选)
        
        
    配置示例:
    要求:
        • 企业用户配置了请求方软件,访客用户没有配置请求方软件。二者与LAN交换机的访问端口连接。
        • 路由作为认证方,其管理IP为192.168.1.1。
        • VLAN100作为访客VLAN,只提供互联网接入服务。
        • Cisco ACS作为认证服务器(AAA服务器),其IP地址为10.1.1.1,采用Radius协议进行802.1X认证。
        



    配置命令:

    步骤1:为SW配置Radius参数(这里将UDP1645认证和UDP1646审计改为了UDP1812和UDP1813)


    步骤2:配置AAA服务和Radius协议


    步骤3:在全局和指定的接口启用802.1X


    其他两种认证状态


    步骤4:配置定期重认证(可选)
    重认证的好处:比如说在分布层交换机对用户执行802.1X认证时,访问层交换机并没有察觉到用户已经中断了与自己的连接,端口依然是处于授权的状态,那么此时就会给攻击者留下可乘之机。启用了重认证后,Radius服务器每个一段时间就会强制对客户进行重认证,所以在一定的程度上消除了安全隐患。
    重认证模式是关闭的!


    步骤5:调整定时器和阈值(可选)
    为了加快请求方和认证方之间的信息交换速度,管理员可以调整EAPOL定时器。


    步骤6:配置访客策略和认证失败策略(可选)
    用户在一段时间内没有收到交换机发送的EAPOL请求,那么将会被分配到另一个VLAN(访客VLAN)。


    配置802.1X认证方时应该遵循的原则:
    认证方配置不当将导致请求方无法通过认证并访问网络资源,进行配置时务必谨慎!
    原则:
        • 若交换机端口配置了访客策略,在调整端口的EAPOL定时器之前必须进行测试,缩短端口的等待时间虽会加快访客的处理速度,但是也可能导致合法用户被分配给访客VLAN。
        • 在调整认证方定时器的同时,可能也需要调整请求方的定时器。
        • 应该采取多种安全措施以确保攻击者无法通过访客VLAN入侵其他网络资源,必要时,可以考虑将访客用户分配给一个独立的虚拟路由转发实例(VRF instance)。Cisco路由器和SW采用VRF实现流量划分,VRF有助于隔离访客流量和企业流量。

    查看802.1X相关信息命令:
    查看802.1X配置参数:


    认证通过数量:


    802.1X协议版本:


    排错步骤:
        1. 验证请求方配置,命令dot1x test eapol-capable用于测试用户能否正常响应交换机发送的EAPOL请求,如果可以响应就进入2.
        2. 验证Radius配置,命令test aaa用于测试SW和Cisco ACS之间的Radius通信是否正常,管理员还可以通过Cisco ACS产生的失败认证尝试(Failed Authentication Attempt)报告查看服务器存在的问题,如果交换机和ACS工作正常,进入3.
        3. 通过失败认证尝试报告查看请求方的身份凭证是否存在问题(如密码错误),如果使用Windows Active Directory等外部数据库,请确保外部数据可以正常工作。
        
    其他:
    日志消息:IOU2#show logging
    验证访客VLAN和受限VLAN的分配:IOU2#show interfaces status


    好好学习,天天向上!
  • 相关阅读:
    Mac php使用gd库出错 Call to undefined function imagettftext()
    centos 使用 locate
    Mac HomeBrew 安装 mysql
    zsh 命令提示符 PROMPT
    新的开始
    Java 面试题分析
    Java NIO Show All Files
    正确使用 Volatile 变量
    面试题整理 2017
    有10阶梯, 每次走1,2 or 3 阶,有多少种方式???
  • 原文地址:https://www.cnblogs.com/MomentsLee/p/10162747.html
Copyright © 2011-2022 走看看