認(rèn)證類似參考CCNA安全的東西_第1頁(yè)
認(rèn)證類似參考CCNA安全的東西_第2頁(yè)
認(rèn)證類似參考CCNA安全的東西_第3頁(yè)
認(rèn)證類似參考CCNA安全的東西_第4頁(yè)
認(rèn)證類似參考CCNA安全的東西_第5頁(yè)
已閱讀5頁(yè),還剩6頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、SwitchingIEEE 802.1x(DOT1X)Authentication簡(jiǎn)單的說(shuō),IEEE 802.1x 是一種認(rèn)證技術(shù),是對(duì)交換機(jī)上的 2 層接口所連接的主機(jī)做認(rèn)證,當(dāng)主機(jī)接到開啟了IEEE 802.1x認(rèn)證的接口上,就有可能被認(rèn)證,否則就有可能被拒絕訪問(wèn)網(wǎng)絡(luò)。在接口上開啟IEEE 802.1x認(rèn)證后,在沒(méi)有通過(guò)認(rèn)證之前,只有 IEEE 802.1x認(rèn)證消息,CDP,以及 STP的數(shù)據(jù)包能夠通過(guò)。因?yàn)橹鳈C(jī)接到開啟了IEEE 802.1x認(rèn)證的接口后,需要通過(guò)認(rèn)證才能訪問(wèn)網(wǎng)絡(luò),要通過(guò)認(rèn)證,只要輸入合法的用戶名和密碼即可。交換機(jī)收到用戶輸入的賬戶信息后,要判斷該賬戶是否合法,就必須和用

2、戶數(shù)據(jù)庫(kù)做個(gè)較對(duì),如果是數(shù)據(jù)庫(kù)中存在的,則認(rèn)證通過(guò),否則認(rèn)證失敗,最后拒絕該用戶訪問(wèn)網(wǎng)絡(luò)。交換機(jī)提供給IEEE 802.1x認(rèn)證的數(shù)據(jù)庫(kù)可以是交換機(jī)本地的,也可以是遠(yuǎn)程服務(wù)器上的,這需要通過(guò) AAA 來(lái)定義,如果 AAA 指定認(rèn)證方式為本地用戶數(shù)據(jù)庫(kù)(Local),則讀取本地的賬戶信息,如果 AAA 指定的認(rèn)證方式為遠(yuǎn)程服務(wù)器,則讀取遠(yuǎn)程服務(wù)器的賬戶信息, AAA為IEEE 802.1x提供的遠(yuǎn)程服務(wù)器認(rèn)證只能是RADIUS服務(wù)器,該RADIUS服務(wù)器只要運(yùn)行Access Control Server Version 3.0(ACS 3.0)或更高版本即可。當(dāng)開啟IEEE 802.1x后,并且

3、連接的主機(jī)支持IEEE 802.1x認(rèn)證時(shí),將得出如下結(jié)果:如果認(rèn)證通過(guò),交換機(jī)將接口放在配置好的VLAN 中,并放行主機(jī)的流量。如果認(rèn)證超時(shí),交換機(jī)則將接口放入guest vlan。如果認(rèn)證不通過(guò),但是定義了失敗VLAN,交換機(jī)則將接口放入定義好的失敗VLAN 中。如果服務(wù)器無(wú)響應(yīng),定義放行,則放行。注:不支持 IEEE 802.1x認(rèn)證的主機(jī),也會(huì)被放到guest vlan中。提示:當(dāng)交換機(jī)使用 IEEE 802.1x 對(duì)主機(jī)進(jìn)行認(rèn)證時(shí),如果主機(jī)通過(guò)了認(rèn)證,交換機(jī)還可以根據(jù)主機(jī)輸入的不同賬戶而將接口劃入不同的 VLAN,此方式稱為 IEEE 802.1x動(dòng)態(tài)VLAN認(rèn)證技術(shù),并且需要在RA

4、DIUS服務(wù)器上做更多的設(shè)置。本文檔并不對(duì)IEEE 802.1x 動(dòng)態(tài) VLAN 認(rèn)證技術(shù)做更多的介紹,如有需要,本文檔將補(bǔ)充對(duì) IEEE 802.1x動(dòng)態(tài)VLAN 認(rèn)證技術(shù)的詳細(xì)介紹與配置說(shuō)明。當(dāng)主機(jī)認(rèn)證失敗后,交換機(jī)可以讓主機(jī)多次嘗試認(rèn)證,稱為重認(rèn)證(re-authentication),在交換機(jī)上開啟re-authentication功能即可,默認(rèn)是關(guān)閉的。并且還可以配置認(rèn)證時(shí)間間隔,默認(rèn)60 秒,默認(rèn)可以嘗試 2次重認(rèn)證。如果要手工對(duì)某接口重認(rèn)證,在 enable 模式輸入命令 dot1x re-authenticate interface 在交換機(jī)接口上開啟認(rèn)證后,只要接口從 dow

5、n 狀態(tài)到 up 狀態(tài),就需要再次認(rèn)證。dot1x port-control auto接口開認(rèn)證對(duì)于開啟了認(rèn)證的接口,分為兩種狀態(tài),unauthorized(未認(rèn)證的)和authorized(認(rèn)證過(guò)的)。接口的狀態(tài),可以手工強(qiáng)制配置,接口可選的配置狀態(tài)分以下3種:force-authorized:就是強(qiáng)制將接口直接變認(rèn)證后的狀態(tài),即authorized狀態(tài)。 force-unauthorized:就是強(qiáng)制將接口直接變沒(méi)有認(rèn)證的狀態(tài),即unauthorized狀態(tài)。Auto:就是正常認(rèn)證狀態(tài),主機(jī)通過(guò)認(rèn)證,則接口在authorized狀態(tài),認(rèn)證失敗,則在 unauthorized狀態(tài)。.注:當(dāng)交

6、換機(jī)接口從up到down,或者主機(jī)離開了發(fā)送 logoff,都將合接口重新變成unauthorized狀態(tài)。開啟了IEEE 802.1x 認(rèn)證的接口除了有狀態(tài)之外,還有主機(jī)模式,稱為Host Mode,分兩種模式:single-host和 multiple-host。在 single-host模式(默認(rèn)),表示只有一臺(tái)主機(jī)能連上來(lái)。在 multiple-hosts模式,表示可以有多臺(tái)主機(jī)連上來(lái),并且一臺(tái)主機(jī)認(rèn)證通過(guò)后,所有主機(jī)都可以訪問(wèn)網(wǎng)絡(luò)。當(dāng)認(rèn)證超時(shí)或主機(jī)不支持認(rèn)證時(shí),接口將被劃到guest VLAN ,當(dāng)認(rèn)證失敗時(shí),將被劃失敗VLAN,也就是受限制的VLAN (restricted VLA

7、N), guest VLAN和restricted VLAN 可以定義為同一個(gè) VLAN,并且每接配置的。其實(shí)即使劃入這個(gè) VLAN 后,也會(huì)告訴客戶是認(rèn)證通過(guò),要不然會(huì)得不到DHCP。注:IEEE 802.1x認(rèn)證只能配置在靜態(tài)access模式的接口上。正常工作在IEEE 802.1x的接口被稱為port access entity (PAE) authenticator。在認(rèn)證超時(shí)或主機(jī)不支持認(rèn)證時(shí),才會(huì)將接口劃入guest-vlan,在IOS 12.2(25)SE之前,是不會(huì)將支持認(rèn)證但認(rèn)證失敗的接口劃入guest-vlan的,如果要開啟guest-vlan supplicant功能,要

8、全局配置dot1x guest-vlan supplicant。配置1.定義認(rèn)證方式     (1)定義IEEE 802.1x 使用本地賬戶數(shù)據(jù)庫(kù)認(rèn)證    sw1(config)#aaa new-model    sw1(config)#aaa authentication dot1x default local     (2)定義IEEE 802.1x 使用RADIUS 服務(wù)器認(rèn)證    sw1(config)#aaa new-model    sw1

9、(config)#aaa authentication dot1x default group radius     (3)定義RADIUS 服務(wù)器    sw1(config)#radius-server host .1 auth-port 1645 acct-port 1646 key cisco    說(shuō)明:定義RADIUS 服務(wù)器地址為.1,密碼為cisco,認(rèn)證端口UDP 1645, 默認(rèn)為1812,accounting 端口為1646,默認(rèn)為1813.。    2.開啟IEEE 802.1x

10、認(rèn)證     (1)全局開啟IEEE 802.1x 認(rèn)證    sw1(config)#dot1x system-auth-control    說(shuō)明:必須在全局開啟IEEE 802.1x 認(rèn)證。     (2)在接口下開啟IEEE 802.1x 認(rèn)證    說(shuō)明:接口模式必須為靜態(tài)access    sw1(config)#int f0/1    sw1(config-if)#swi    sw1(config-i

11、f)#switchport mo    sw1(config-if)#switchport mode acce    sw1(config-if)#switchport mode access sw1(config-if)#dot1x port-control auto   說(shuō)明:將接口設(shè)置為auto 狀態(tài),即正常認(rèn)證狀態(tài)。    (3)定義guest VLAN 和restricted VLAN   sw1(config)#vlan 10   sw1(config-vlan)#exit   sw

12、1(config)#vlan 20   sw1(config-vlan)#exit   sw1(config)#int f0/1   sw1(config-if)#dot1x guest-vlan 10   sw1(config-if)#dot1x auth-fail vlan 20   說(shuō)明:先在交換機(jī)上配置好VLAN,然后定義guest-vlan和restricted VLAN (auth-fail vlan),兩個(gè)VLAN 可以設(shè)置為同一個(gè)。   3.查看配置    (1)查看接口配置信息   sw

13、1#sh run int f0/1   Building configuration.   Current configuration : 153 bytes    !   interface FastEthernet0/1 switchport mode access     dot1x pae authenticator     dot1x port-control auto     dot1x guest-vlan 10   &#

14、160; dot1x auth-fail vlan 20    end    sw1#    說(shuō)明:可以看到,將接口配置為IEEE 802.1x后,接口自動(dòng)設(shè)置為dot1x pae authenticator。     (2)查看接口IEEE 802.1x狀態(tài)    sw1#sh dot1x interface f0/1    Dot1x Info for FastEthernet0/1    -    PAE &#

15、160;                        = AUTHENTICATOR    PortControl                  = AUTO  &

16、#160; ControlDirection             = Both    HostMode                     = SINGLE_HOST    ReAuthentication  &

17、#160;          = Disabled    QuietPeriod                  = 60    ServerTimeout            

18、;    = 30    SuppTimeout                  = 30 ReAuthPeriod                     = 3600 (Lo

19、cally configured) ReAuthMax                        = 2 MaxReq                    

20、0;      = 2 TxPeriod                         = 30 RateLimitPeriod               

21、   = 0 Auth-Fail-Vlan                   = 20 Auth-Fail-Max-attempts           = 3 Guest-Vlan         

22、0;             = 10 sw1# 說(shuō)明:以上是IEEE 802.1x 的默認(rèn)參數(shù)。 4.設(shè)置其它IEEE 802.1x參數(shù) (1)開啟重認(rèn)證功能(默認(rèn)關(guān)閉) sw1(config)#int f0/1 sw1(config-if)#dot1x reauthentication、 (2)重認(rèn)證次數(shù)(默認(rèn)2 次) sw1(config)#int f0/1 sw1(config-if)#dot1x max-reauth-req 3 (3)在劃到限制VLAN 之前,可以

23、嘗試幾次輸入(默認(rèn)是3 次) sw1(config)#int f0/1 sw1(config-if)#dot1x auth-fail max-attempts 2 (4)設(shè)置主機(jī)模式(默認(rèn)Single-host) sw1(config)#int f0/1 sw1(config-if)#dot1x host-mode multi-host (5)查看配置 sw1#sh dot1x interface f0/1 Dot1x Info for FastEthernet0/1 - PAE         

24、0;                    = AUTHENTICATOR PortControl                      = AUTO ControlDirection 

25、                = Both HostMode                         = MULTI_HOST ReAuthentication   &#

26、160;             = Enabled QuietPeriod                      = 60 ServerTimeout         

27、60;          = 30 SuppTimeout                      = 30 ReAuthPeriod             

28、0;       = 3600 (Locally configured) ReAuthMax                        = 3 MaxReq            

29、60;              = 2 TxPeriod                         = 30 RateLimitPeriod       

30、;           = 0 Auth-Fail-Vlan                   = 20 Auth-Fail-Max-attempts           = 2 Guest-Vlan 

31、60;                     = 10 sw1# 說(shuō)明:以上的配置已經(jīng)顯示。 5.強(qiáng)制接口為authorized 狀態(tài) (1)直接將接口F0/2 配置為authorized狀態(tài) sw1(config)#int f0/2 sw1(config-if)#switchport mode access sw1(config-if)#dot1x port-control force-aut

32、horized (2)查看接口F0/2 的配置 sw1#sh run int f0/2 Building configuration. Current configuration : 82 bytes ! interface FastEthernet0/2 switchport mode access dot1x pae authenticator end sw1# 說(shuō)明:可以看到,接口只有dot1x pae authenticator,沒(méi)有auto字樣 (3)查看接口F0/2 的狀態(tài) sw1#sh dot1x interface f0/2 Dot1x Info for FastEtherne

33、t0/2 - PAE                              = AUTHENTICATOR PortControl              

34、0;       = FORCE_AUTHORIZED ControlDirection                 = Both HostMode                   

35、      = SINGLE_HOST ReAuthentication                 = Disabled QuietPeriod                    

36、  = 60 ServerTimeout                    = 30 SuppTimeout                      = 30 ReAuthPeriod

37、                     = 3600 (Locally configured) ReAuthMax                        = 2

38、 MaxReq                           = 2 TxPeriod                    

39、0;    = 30 RateLimitPeriod                  = 0 sw1# 說(shuō)明:接口已經(jīng)為authorized狀態(tài)。     (4)直接將接口F0/3 配置為authorized狀態(tài)    sw1(config)#int f0/3    sw1(config-if)#switchport mode

40、 access    sw1(config-if)#dot1x pae authenticator    說(shuō)明:命令dot1x pae authenticator也將接口直接設(shè)置為authorized狀態(tài)。     (5)查看接口F0/3 的配置    sw1#sh run int f0/3    Building configuration.    Current configuration : 82 bytes     ! 

41、0;  interface FastEthernet0/3     switchport mode access     dot1x pae authenticator    end    sw1#    說(shuō)明:可以看到,命令dot1x pae authenticator等同命令dot1x port-control force-authorized。     (6)查看接口F0/2 的狀態(tài)    sw1#sh dot

42、1x interface f0/3    Dot1x Info for FastEthernet0/3    -    PAE                          = AUTHENTICATOR    PortControl  

43、0;               = FORCE_AUTHORIZED    ControlDirection             = Both    HostMode          

44、0;          = SINGLE_HOST    ReAuthentication             = Disabled    QuietPeriod               &#

45、160;  = 60    ServerTimeout                = 30    SuppTimeout                  = 30    ReAuthPeriod     

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論