802.1X基本配置
Posted momentslee
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了802.1X基本配置相关的知识,希望对你有一定的参考价值。
基本的802.1X部署工作包括以下4步:
1. 为Cisco Catalyst交换机配置802.1X认证方
2. 为交换机配置访客VLAN或者受限VLAN,并调整802.1X定时器(可选)
3. 为Cisco ACS配置EAP-FAST,并在本地数据库创建用户账户
4. 为客户主机配置并部署802.1X请求方
一般性部署原则:
? 在802.1X架构中采用扩展性较强的单点登录(single sign-on),并确保身份凭证的安全性。
? 进行部署前分析,并采用经过测试的部署计划。参数或者配置不但可能导致大量用户无法访问网络。
? 在正式部署前进行试验性部署,并根据暴露出来的问题调整相关的配置。
? 试验性部署应该尽可能覆盖企业网,以最大限度模拟实际的部署状况。
为Cisco Catalyst交换机配置认证方
1. 配置Radius服务器参数
2. 配置AAA服务和Radius协议
3. 全局启用802.1X
4. 在指定的访问端口启用802.1X
5. 配置定期重认证(可选)
6. 调整定时器和阈值(可选)
7. 调整访客策略与认证失败策略(可选)
配置示例:
要求:
? 企业用户配置了请求方软件,访客用户没有配置请求方软件。二者与LAN交换机的访问端口连接。
? 路由作为认证方,其管理IP为192.168.1.1。
? VLAN100作为访客VLAN,只提供互联网接入服务。
? Cisco ACS作为认证服务器(AAA服务器),其IP地址为10.1.1.1,采用Radius协议进行802.1X认证。
配置命令:
步骤1:为SW配置Radius参数(这里将UDP1645认证和UDP1646审计改为了UDP1812和UDP1813)
步骤2:配置AAA服务和Radius协议
步骤3:在全局和指定的接口启用802.1X
其他两种认证状态
步骤4:配置定期重认证(可选)
重认证的好处:比如说在分布层交换机对用户执行802.1X认证时,访问层交换机并没有察觉到用户已经中断了与自己的连接,端口依然是处于授权的状态,那么此时就会给攻击者留下可乘之机。启用了重认证后,Radius服务器每个一段时间就会强制对客户进行重认证,所以在一定的程度上消除了安全隐患。
重认证模式是关闭的!
步骤5:调整定时器和阈值(可选)
为了加快请求方和认证方之间的信息交换速度,管理员可以调整EAPOL定时器。
步骤6:配置访客策略和认证失败策略(可选)
用户在一段时间内没有收到交换机发送的EAPOL请求,那么将会被分配到另一个VLAN(访客VLAN)。
配置802.1X认证方时应该遵循的原则:
认证方配置不当将导致请求方无法通过认证并访问网络资源,进行配置时务必谨慎!
原则:
? 若交换机端口配置了访客策略,在调整端口的EAPOL定时器之前必须进行测试,缩短端口的等待时间虽会加快访客的处理速度,但是也可能导致合法用户被分配给访客VLAN。
? 在调整认证方定时器的同时,可能也需要调整请求方的定时器。
? 应该采取多种安全措施以确保攻击者无法通过访客VLAN入侵其他网络资源,必要时,可以考虑将访客用户分配给一个独立的虚拟路由转发实例(VRF instance)。Cisco路由器和SW采用VRF实现流量划分,VRF有助于隔离访客流量和企业流量。
查看802.1X相关信息命令:
查看802.1X配置参数:
认证通过数量:
802.1X协议版本:
排错步骤:
1. 验证请求方配置,命令dot1x test eapol-capable用于测试用户能否正常响应交换机发送的EAPOL请求,如果可以响应就进入2.
2. 验证Radius配置,命令test aaa用于测试SW和Cisco ACS之间的Radius通信是否正常,管理员还可以通过Cisco ACS产生的失败认证尝试(Failed Authentication Attempt)报告查看服务器存在的问题,如果交换机和ACS工作正常,进入3.
3. 通过失败认证尝试报告查看请求方的身份凭证是否存在问题(如密码错误),如果使用Windows Active Directory等外部数据库,请确保外部数据可以正常工作。
其他:
日志消息:IOU2#show logging
验证访客VLAN和受限VLAN的分配:IOU2#show interfaces status
以上是关于802.1X基本配置的主要内容,如果未能解决你的问题,请参考以下文章
自学Aruba7.3-Aruba安全认证-802.1x认证(web页面配置)