CISCO交换机配置AA.pdf

CISCO 交换机配置 AA1 802.1x 工程笔记 在某网络测试时，工作笔记。一、802.1x 协议起源于 802.11 协议，后者是标准的无线局域网协议，802.1x 协议的要紧目的是为熟悉决无线局域网用户的接入认证问题。现在已经开始被应用于通常的有线 LAN 的接入。为了对端口加以操纵，以实现用户级的接入操纵。802.1x 就是 IEEE 为熟悉决基于端口的接入操纵（Port-Based Access Control）而定义的一个标准。1、802.1X 首先是一个认证协议，是一种对用户进行认证的方法与策略。2、802.1X 是基于端口的认证策略（这里的端口能够是一个实实在在的物理端口也能够是一个就像 VLAN 一样的逻辑端口，关于无线局域网来说个“端口”就是一条信道）3、802.1X 的认证的最终目的就是确定一个端口是否可用。关于一个端口，假如认证成功那么就“打开”这个端口，同意文所有的报文通过；假如认证不成功就使这个端口保持“关闭”，如今只同意 802.1X 的认证报文 EAPOL（Extensible Authentication Protocol over LAN）通过。二、802.1X 的认证体系分为三部分结构：Supplicant System，客户端(PC/网络设备)Authenticator System，认证系统 Authentication Server System，认证服务器 三、认证过程 1、认证通过前，通道的状态为 unauthorized，如今只能通过 EAPOL 的 802.1X 认证报文；2、认证通过时，通道的状态切换为 authorized，如今从远端认证服务器能够传递来用户的信息，比如 VLAN、CAR 参数、优先级、用户的访问操纵列表等等；3、认证通过后，用户的流量就将同意上述参数的监管，如今该通道能够通过任何报文，注意只有认证通过后才有 DHCP 等过程。4、Supplicant System-Client（客户端）是需要接入 LAN，及享受 switch 提供服务的设备（如 PC 机），客户端需要支持 EAPOL 协议，客户端务必运行 802.1X 客户端软件，如：802.1X-complain、Windows XP等 四、配置 1、先配置 switch 到 radius server 的通讯 全局启用 802.1x 身份验证功能 Switch#configure terminal Switch(config)#aaa new-model Switch(config)#aaa authentication dot1x default method1method2.指定 radius 服务器与密钥 switch(config)#radius-server host ip_add key string 2、在 port 上起用 802.1x Switch#configure terminal Switch(config)#interface fastethernet0/1 Switch(config-if)#switchport mode access Switch(config-if)#dot1x port-control auto Switch(config-if)#end 802.1x 的安全机制 编者按：IEEE 802.1x 作为一种新生的链路层验证机制协议，其原理、构成、工作进程与功能等到底如何呢？本文揭示了这项协议在网络安全方面的运行机理及其突出应用。尽管大多数组织的 IT 基础设施已经加强了边界防御，但其内部仍然容易受到攻击。这种脆弱性具体表现为内部用户可未经授权访问或者者恶意破坏关键的 IT 资源。作为全面的“深层防御”安全架构的一部分，关键内部基础设施的访问权只能提供给授权用户。局域网（LAN）历来是大门敞开。IEEE 802.1x 这项最新标准定义了为 LAN 实施访问操纵的机制，同意授权用户进来，而把非授权用户拒之门外。因此，有了 802.1x，LAN 便不再是一道敞开的门，其本身也成为安全架构与政策执行的一个重要部分，并有助于消除来自组织内部的安全威胁。802.1x 验证机制及其优点 IEEE 802.1x 是一种链路层验证机制协议，操纵着对网络访问端口即网络连接点的访问，如实施在无线接入点的物理交换端口或者逻辑端口。通过操纵网络访问，用户能够在多层安全架构部署第一道防线。在连接设备得到验证之前，网络访问权完全被禁止。得到验证之后，用户能够被提供第 2 层交换机通常提供的服务以外的附加服务。这些服务包含第 3 层过滤、速率限制与第 4 层过滤，而不仅仅是简单的“开/关（on/off）”服务。链路层验证方案的一个优点是，它只要求存在链路层连接，客户端（在 802.1x 中称之请求者）不需要分配供验证用的第 3 层地址，因而降低了风险。此外，链路层验证涉及了所有能够在链路上工作的协议，从而不必为每种协议提供网络层验证。802.1x 还能够使执行点尽可能地接近网络边缘，因此能够针对连接设备的特定需求定制细粒度访问规则。IEEE 802.1x 的构成 IEEE 802.1x 定义了下列逻辑单元：网络访问端口：即网络上的连接点，它可能是物理端口，也可能是逻辑端口。请求者：连接到网络、请求其服务的设备，通常是终端站。请求者是请求验证的设备，但也有可能是一种网络设备。验证者：为验证服务提供便利的网络单元，验证者实际上并不提供验证服务，它充当请求者与验证服务器之间的代理，同时充当政策执行点。端口访问实体：参与验证过程的固件。请求者与验证者都拥有端口访问实体（PAE）单元，请求者的 PAE 负责对验证信息请求做出响应，验证者的 PAE 负责与请求者之间的通信，代理授予通过验证服务器验证的证书，同时操纵端口的授权状态。验证服务器：提供向验证者申请验证服务的实体，它根据证书提供授权，既能够同验证者放在一起，也能够放在远地。扩展验证协议（EAP）由于使用了扩展验证协议（EAP），802.1x 在请求者与验证者之间使用的实际验证机制相当灵活。EAP 原先是为点对点（PPP）链路上的应用而定义的，在因特网工程任务组的请求评论文档（RFC）2284 中得到了明确定义。基于以上所述，IEEE 定义了一种封装模式，同意 EAP 通过 LAN 传输，EAP over LAN（EAPoL）因此应运而生。各类验证服务都能够通过这种协议运行，包含用户名/口令、Kerberos、数字证书、一次性口令与生物检测术等服务。EAP 数据包在请求者与验证者之间的链路层上传输，并通过验证者与验证服务器之间的IP/RADIUS 连接。EAP 本身并不为流量传输明确规定任何保护机制，如加密等。相反，EAP 内运行的验证协议（在 RFC 2284当中定义为验证类型）为安全操作提供了数据的机密性与完整性。验证类型的一个例子就是 EAP 传输层安全（EAP-TLS），它利用了在 RFC 2246 中明确定义的传输层协议（TLS）。受控端口与不受控端口 802.1x 标准定义了两种逻辑抽象：受控端口与不受控端口。这两种端口都连接到网络访问端口上。受控端口提供了访问请求者所用的网络服务的功能，根据验证操作成功与否实现打开或者关闭操作。不受控端口始终处于连接状态，为验证服务的进行提供了始终连通的状态。受控端口需验证通过后才处于连接状态，从而提供给请求者网络服务。802.1x 的工作过程 802.1x 的工作相当简单。值得注意的是请求者与验证者之间的流量通过 EAPoL 传输，验证者与验证服务器之间的流量则通过 RADIUS 传输。开始时，受控端口处于中断状态，因此请求者无法访问 LAN 本身。请求者向验证者发出 EAPoL 起始消息，或者者验证者会向请求者发出 EAP 请求身份消息。请求者接到请求身份消息后，就会把证书提供给验证者，然后验证者进行封装后把 RADIUS 数据包里面的消息发送给验证服务器。RADIUS 服务器随后向请求者发出质问请求，该请求由验证者充当代理。请求者对质问做出响应后，验证者又一次充当数据通过验证服务器的代理。验证服务器确认证书后，就会做出请求者可不能够使用 LAN 服务的决定。只要让受控端口由中断状态转换到连接状态，即可实现这一步。增强授权功能 由于 802.1x 只明确规定了基本的开/关功能，其他功能甚少，大多数安全专家提到了 AAA，即验证、授权与审计，而 802.1x 仅仅提供了最基本的验证功能，即开/关。部分厂商因此提供了另一层保护，由于许多组织需要比“开/关”所能够实现的更高一级的细粒度。厂商为受控端口增添逻辑以提高保真度，从而大大增强了授权功能。这种所谓的授权服务能够提供高保真度的第 2、第 3 与第 4 层过滤功能，而且能够进行扩展，以获得动态自我配置的数据包过滤防火墙。授权服务能够提供如下的一些服务：第 2 层协议过滤，去除了网络中不同意的第 2 层协议。第 3 层过滤，对提供特定单元访问权的网络执行逻辑视图。第 4 层过滤，禁止不同意的协议进入网络。速率限制，操纵可能有害的信息进入网络的速率。假如利用为每个端口进行编程的授权服务，就能针对特定用户或者用户级制订相应的细粒度安全策略，为它们提供仅供访问所需服务的功能，其它服务一概禁止。举一例，即使网络管理员能访问 SNMP，会计部门的人却没有理由同样能访问。假如有可能确定一个用户属于哪个组，那么在验证期间就能够实施特定的授权策略。就本例而言，SNMP 访问权应该授予网络管理组的成员，不然需收回权限，从而防止网络管理员之外的人无意或者恶意对网络设备乱加配置。CISCO 交换机配置 AAA、802.1X 与 VACL 一 启用 AAA、禁用 Telnet 与启用 ssh 1.启用 aaa 身份验证，以进行 SSH 访问：Switch#conf t Switch(config)#aaa new-model 2.配置主机名 Switch(config)#hostname sw1 3.配置本地用户名口令，以便在带外服务器不可用时能够访问交换机 sw1(config)#username cisco password cisco 5.配置交换机，使得只能通过 SSH 以带内方式访问交换机 sw1(config)#line vty 0 15 sw1(config-line)#transport input ssh sw1(config-line)#exit sw1(config)#exit 二 配置 vty 的 aaa 身份验证方式，首先使用 radius 服务器，假如服务器不可用，使用本地用户名口令数据库 sw1(config)#aaa authentication login TEST group radius line sw1(config)#line vty 0 15 sw1(config-line)#login authentication TEST sw1(config-line)#exit 三 在接口上配置 802.1x 1.为 radius 身份验证启用 802.1x sw1(config)#aaa authentication dot1x default group radius 2.全局启用 802.1x sw1(config)#dot1x system-auth-control 3.在接口上配置 802.1x sw1(config)#int range fa0/2-10 sw1(config-if-range)#swtichport access vlan 10 sw1(config-if-range)#dot1x port-control auto 四 配置 vacl 以丢弃所有通过 tcp 端口 8889 进入的桢 1.配置一个 acl，以推断数据包是否通过 tcp 端口 8889 进入：sw1(config)#access-list 100 permit tcp any any eq 8889 2.配置 vlan 访问映射表：sw1(config)#vlan access-map DROP_WORM 100 sw1(config-access-map)#match ip address 100 sw1(config-access-map)#action drop sw1(config-access-map)#exit 3.将 vlan 访问表应用于合适的 vlan sw1(config)#vlan filter DROP_WORM vlan 10-20 802.1x 工程笔记 在某网络测试时，工作笔记。一、802.1x 协议起源于 802.11 协议，后者是标准的无线局域网协议，802.1x 协议的要紧目的是为熟悉决无线局域网用户的接入认证问题。现在已经开始被应用于通常的有线 LAN 的接入。为了对端口加以操纵，以实现用户级的接入操纵。802.1x 就是 IEEE 为熟悉决基于端口的接入操纵（Port-Based Access Control）而定义的一个标准。1、802.1X 首先是一个认证协议，是一种对用户进行认证的方法与策略。2、802.1X 是基于端口的认证策略（这里的端口能够是一个实实在在的物理端口也能够是一个就像 VLAN 一样的逻辑端口，关于无线局域网来说个“端口”就是一条信道）3、802.1X 的认证的最终目的就是确定一个端口是否可用。关于一个端口，假如认证成功那么就“打开”这个端口，同意文所有的报文通过；假如认证不成功就使这个端口保持“关闭”，如今只同意 802.1X 的认证报文 EAPOL（Extensible Authentication Protocol over LAN）通过。二、802.1X 的认证体系分为三部分结构：Supplicant System，客户端(PC/网络设备)Authenticator System，认证系统 Authentication Server System，认证服务器 三、认证过程 1、认证通过前，通道的状态为 unauthorized，如今只能通过 EAPOL 的 802.1X 认证报文；2、认证通过时，通道的状态切换为 authorized，如今从远端认证服务器能够传递来用户的信息，比如 VLAN、CAR 参数、优先级、用户的访问操纵列表等等；3、认证通过后，用户的流量就将同意上述参数的监管，如今该通道能够通过任何报文，注意只有认证通过后才有 DHCP 等过程。4、Supplicant System-Client（客户端）是需要接入 LAN，及享受 switch 提供服务的设备（如 PC 机），客户端需要支持 EAPOL 协议，客户端务必运行 802.1X 客户端软件，如：802.1X-complain、Windows XP等 四、配置 1、先配置 switch 到 radius server 的通讯 全局启用 802.1x 身份验证功能 Switch#configure terminal Switch(config)#aaa new-model Switch(config)#aaa authentication dot1x default method1method2.指定 radius 服务器与密钥 switch(config)#radius-server host ip_add key string 2、在 port 上起用 802.1x Switch#configure terminal Switch(config)#interface fastethernet0/1 Switch(config-if)#switchport mode access Switch(config-if)#dot1x port-control auto Switch(config-if)#end 802.1x 的安全机制 编者按：IEEE 802.1x 作为一种新生的链路层验证机制协议，其原理、构成、工作进程与功能等到底如何呢？本文揭示了这项协议在网络安全方面的运行机理及其突出应用。尽管大多数组织的 IT 基础设施已经加强了边界防御，但其内部仍然容易受到攻击。这种脆弱性具体表现为内部用户可未经授权访问或者者恶意破坏关键的 IT 资源。作为全面的“深层防御”安全架构的一部分，关键内部基础设施的访问权只能提供给授权用户。局域网（LAN）历来是大门敞开。IEEE 802.1x 这项最新标准定义了为 LAN 实施访问操纵的机制，同意授权用户进来，而把非授权用户拒之门外。因此，有了 802.1x，LAN 便不再是一道敞开的门，其本身也成为安全架构与政策执行的一个重要部分，并有助于消除来自组织内部的安全威胁。802.1x 验证机制及其优点 IEEE 802.1x 是一种链路层验证机制协议，操纵着对网络访问端口即网络连接点的访问，如实施在无线接入点的物理交换端口或者逻辑端口。通过操纵网络访问，用户能够在多层安全架构部署第一道防线。在连接设备得到验证之前，网络访问权完全被禁止。得到验证之后，用户能够被提供第 2 层交换机通常提供的服务以外的附加服务。这些服务包含第 3 层过滤、速率限制与第 4 层过滤，而不仅仅是简单的“开/关（on/off）”服务。链路层验证方案的一个优点是，它只要求存在链路层连接，客户端（在 802.1x 中称之请求者）不需要分配供验证用的第 3 层地址，因而降低了风险。此外，链路层验证涉及了所有能够在链路上工作的协议，从而不必为每种协议提供网络层验证。802.1x 还能够使执行点尽可能地接近网络边缘，因此能够针对连接设备的特定需求定制细粒度访问规则。IEEE 802.1x 的构成 IEEE 802.1x 定义了下列逻辑单元：网络访问端口：即网络上的连接点，它可能是物理端口，也可能是逻辑端口。请求者：连接到网络、请求其服务的设备，通常是终端站。请求者是请求验证的设备，但也有可能是一种网络设备。验证者：为验证服务提供便利的网络单元，验证者实际上并不提供验证服务，它充当请求者与验证服务器之间的代理，同时充当政策执行点。端口访问实体：参与验证过程的固件。请求者与验证者都拥有端口访问实体（PAE）单元，请求者的 PAE 负责对验证信息请求做出响应，验证者的 PAE 负责与请求者之间的通信，代理授予通过验证服务器验证的证书，同时操纵端口的授权状态。验证服务器：提供向验证者申请验证服务的实体，它根据证书提供授权，既能够同验证者放在一起，也能够放在远地。扩展验证协议（EAP）由于使用了扩展验证协议（EAP），802.1x 在请求者与验证者之间使用的实际验证机制相当灵活。EAP 原先是为点对点（PPP）链路上的应用而定义的，在因特网工程任务组的请求评论文档（RFC）2284 中得到了明确定义。基于以上所述，IEEE 定义了一种封装模式，同意 EAP 通过 LAN 传输，EAP over LAN（EAPoL）因此应运而生。各类验证服务都能够通过这种协议运行，包含用户名/口令、Kerberos、数字证书、一次性口令与生物检测术等服务。EAP 数据包在请求者与验证者之间的链路层上传输，并通过验证者与验证服务器之间的 IP/RADIUS连接。EAP 本身并不为流量传输明确规定任何保护机制，如加密等。相反，EAP 内运行的验证协议（在 RFC 2284 当中定义为验证类型）为安全操作提供了数据的机密性与完整性。验证类型的一个例子就是 EAP 传输层安全（EAP-TLS），它利用了在 RFC 2246 中明确定义的传输层协议（TLS）。受控端口与不受控端口 802.1x 标准定义了两种逻辑抽象：受控端口与不受控端口。这两种端口都连接到网络访问端口上。受控端口提供了访问请求者所用的网络服务的功能，根据验证操作成功与否实现打开或者关闭操作。不受控端口始终处于连接状态，为验证服务的进行提供了始终连通的状态。受控端口需验证通过后才处于连接状态，从而提供给请求者网络服务。802.1x 的工作过程 802.1x 的工作相当简单。值得注意的是请求者与验证者之间的流量通过 EAPoL 传输，验证者与验证服务器之间的流量则通过 RADIUS 传输。开始时，受控端口处于中断状态，因此请求者无法访问 LAN 本身。请求者向验证者发出 EAPoL 起始消息，或者者验证者会向请求者发出 EAP 请求身份消息。请求者接到请求身份消息后，就会把证书提供给验证者，然后验证者进行封装后把 RADIUS 数据包里面的消息发送给验证服务器。RADIUS 服务器随后向请求者发出质问请求，该请求由验证者充当代理。请求者对质问做出响应后，验证者又一次充当数据通过验证服务器的代理。验证服务器确认证书后，就会做出请求者可不能够使用 LAN 服务的决定。只要让受控端口由中断状态转换到连接状态，即可实现这一步。增强授权功能 由于 802.1x 只明确规定了基本的开/关功能，其他功能甚少，大多数安全专家提到了 AAA，即验证、授权与审计，而 802.1x 仅仅提供了最基本的验证功能，即开/关。部分厂商因此提供了另一层保护，由于许多组织需要比“开/关”所能够实现的更高一级的细粒度。厂商为受控端口增添逻辑以提高保真度，从而大大增强了授权功能。这种所谓的授权服务能够提供高保真度的第 2、第 3 与第 4 层过滤功能，而且能够进行扩展，以获得动态自我配置的数据包过滤防火墙。授权服务能够提供如下的一些服务：第 2 层协议过滤，去除了网络中不同意的第 2 层协议。第 3 层过滤，对提供特定单元访问权的网络执行逻辑视图。第 4 层过滤，禁止不同意的协议进入网络。速率限制，操纵可能有害的信息进入网络的速率。假如利用为每个端口进行编程的授权服务，就能针对特定用户或者用户级制订相应的细粒度安全策略，为它们提供仅供访问所需服务的功能，其它服务一概禁止。举一例，即使网络管理员能访问 SNMP，会计部门的人却没有理由同样能访问。假如有可能确定一个用户属于哪个组，那么在验证期间就能够实施特定的授权策略。就本例而言，SNMP 访问权应该授予网络管理组的成员，不然需收回权限，从而防止网络管理员之外的人无意或者恶意对网络设备乱加配置。