802.1X基本配置

基本的802.1X部署工作包括以下4步：
    1. 為Cisco Catalyst交換機配置802.1X認證方
    2. 為交換機配置訪客VLAN或者受限VLAN，並調整802.1X定時器（可選）
    3. 為Cisco ACS配置EAP-FAST，並在本地數據庫創建用戶賬戶
    4. 為客戶主機配置並部署802.1X請求方
    
一般性部署原則：
    • 在802.1X架構中采用擴展性較強的單點登錄（single sign-on），並確保身份憑證的安全性。
    • 進行部署前分析，並采用經過測試的部署計划。參數或者配置不但可能導致大量用戶無法訪問網絡。
    • 在正式部署前進行試驗性部署，並根據暴露出來的問題調整相關的配置。
    • 試驗性部署應該盡可能覆蓋企業網，以最大限度模擬實際的部署狀況。

為Cisco Catalyst交換機配置認證方
    1. 配置Radius服務器參數
    2. 配置AAA服務和Radius協議
    3. 全局啟用802.1X
    4. 在指定的訪問端口啟用802.1X
    5. 配置定期重認證（可選）
    6. 調整定時器和閾值（可選）
    7. 調整訪客策略與認證失敗策略（可選）
    
    
配置示例：
要求：
    • 企業用戶配置了請求方軟件，訪客用戶沒有配置請求方軟件。二者與LAN交換機的訪問端口連接。
    • 路由作為認證方，其管理IP為192.168.1.1。
    • VLAN100作為訪客VLAN，只提供互聯網接入服務。
    • Cisco ACS作為認證服務器（AAA服務器），其IP地址為10.1.1.1，采用Radius協議進行802.1X認證。
    

 

配置命令：

步驟1：為SW配置Radius參數（這里將UDP1645認證和UDP1646審計改為了UDP1812和UDP1813）

步驟2：配置AAA服務和Radius協議

步驟3：在全局和指定的接口啟用802.1X

其他兩種認證狀態

步驟4：配置定期重認證（可選）
重認證的好處：比如說在分布層交換機對用戶執行802.1X認證時，訪問層交換機並沒有察覺到用戶已經中斷了與自己的連接，端口依然是處於授權的狀態，那么此時就會給攻擊者留下可乘之機。啟用了重認證后，Radius服務器每個一段時間就會強制對客戶進行重認證，所以在一定的程度上消除了安全隱患。
重認證模式是關閉的！

步驟5：調整定時器和閾值（可選）
為了加快請求方和認證方之間的信息交換速度，管理員可以調整EAPOL定時器。

步驟6：配置訪客策略和認證失敗策略（可選）
用戶在一段時間內沒有收到交換機發送的EAPOL請求，那么將會被分配到另一個VLAN（訪客VLAN）。

配置802.1X認證方時應該遵循的原則：
認證方配置不當將導致請求方無法通過認證並訪問網絡資源，進行配置時務必謹慎！
原則：
    • 若交換機端口配置了訪客策略，在調整端口的EAPOL定時器之前必須進行測試，縮短端口的等待時間雖會加快訪客的處理速度，但是也可能導致合法用戶被分配給訪客VLAN。
    • 在調整認證方定時器的同時，可能也需要調整請求方的定時器。
    • 應該采取多種安全措施以確保攻擊者無法通過訪客VLAN入侵其他網絡資源，必要時，可以考慮將訪客用戶分配給一個獨立的虛擬路由轉發實例（VRF instance）。Cisco路由器和SW采用VRF實現流量划分，VRF有助於隔離訪客流量和企業流量。

查看802.1X相關信息命令：
查看802.1X配置參數：

認證通過數量：

802.1X協議版本：

排錯步驟：
    1. 驗證請求方配置，命令dot1x test eapol-capable用於測試用戶能否正常響應交換機發送的EAPOL請求，如果可以響應就進入2.
    2. 驗證Radius配置，命令test aaa用於測試SW和Cisco ACS之間的Radius通信是否正常，管理員還可以通過Cisco ACS產生的失敗認證嘗試（Failed Authentication Attempt）報告查看服務器存在的問題，如果交換機和ACS工作正常，進入3.
    3. 通過失敗認證嘗試報告查看請求方的身份憑證是否存在問題（如密碼錯誤），如果使用Windows Active Directory等外部數據庫，請確保外部數據可以正常工作。
    
其他：
日志消息：IOU2#show logging
驗證訪客VLAN和受限VLAN的分配：IOU2#show interfaces status