部署VLAN和ACL
Cisco Catalyst交換機(認證方)和Cisco ACS(認證服務器)具備動態分配VLAN或者ACL的能力。
Cisco ACS可以將某個用戶分配給指定的VLAN,或應用ACL過濾該用戶的流量。用戶成功通過802.1X認證后,Cisco ACS向交換機發送Radius屬性信息,有交換機負責VLAN的動態分配。
配置動態VLAN和ACL時,需要完成以下工作:
1. 為交換機配置授權
2. 為Cisco ACS配置VLAN(可選)
3. 為交換機配置ACL(可選)
4. 為Cisco ACS配置ACL(可選)
注意:
• 在配置VLAN和ACL之前,需要確保當前環境還部署了其他訪問控制手段,即動態VLAN和其他安全措施配合使用。
• 如果當前環境沒有配置其他的安全措施,應該考慮采用動態ACL,或者將動態VLAN和動態ACL配合使用。
參與EAP-TLS認證的設備及角色:
根據上圖中所示,Cisco ACS將SW(認證方)連接請求方的接口分配給VLAN10,並為數據庫中位於Group1中的用戶動態指定ACL,ACL的設置為放行HTTP、DNS、PING流量。另外,假設已經為SW和ACS配置好的相關Radius參數,SW已經配置了基本的端口認證。
配置:
1、為交換機配置授權
另外,若SW沒有配置802.1X或者ACS沒有配置自動VLAN,可以將端口分配給默認VLAN,如下配置:
Cisco交換機的MAC身份驗證旁路(MAB)技術介紹:
SW可以根據用戶的MAC地址進行身份的驗證,這種技術叫做MAC身份驗證旁路。但802.1X驗證失敗時,SW可以嘗試采用MAB對客戶進行認證,在ACS數據庫中存在MAC列表,啟用MAB的SW使用客戶設備的MAC地址作為身份憑證和該列表比較,如果列表中存在該MAC地址,則對該用戶授權,當客戶設備連接到SW的802.1X端口時,它將向SW發送以太網幀,其中包含MAC地址,SW轉發給ACS后,ACS驗證其身份,從而授予一定的權限。
MAB也可進行重認證,其過程與802.1X客戶的重認證過程相同,重認證基於一種稱為會話超時的Radius屬性,當授權期結束后,客戶連接將中斷。
如果啟用MAB的SW端口收到了EAPOL包,說明該端口連接客戶支持802.1X,SW將改用802.1X進行認證,如果802.1X端口連接到采用MAB的認證端口,客戶將不被取消授權而端口連接,但是在重認證階段,就會使用802.1X而不是使用MAB了。
MAB的特點:
802.1X認證:僅當端口啟用802.1X認證時,才能啟用MAB
訪客VLAN:若客戶設備不能提供合法額MAC地址,SW將把它分配到預先配置的訪客VLAN
受限VLAN:對SW的802.1X端口而言,若采用MAB對客戶身份進行驗證,則無法將其分配到受限VLAN中
端口安全:MAB可以與端口安全配合使用
語音VLAN:MAB也可以和語音VLAN配合使用
VLAN成員策略服務器(VMPS):802.1X與VMPS互斥,二者不能同時使用
私有VLAN:可以將某個端口划分到私有VLAN中,並為其配置MAB
配置WEB認證:
配置多主機模式(單主機模式為默認模式,不需要配置):
由於一台設備通過認證后,該端口就授權了,所以最好和端口安全配合使用。
配置多認證模式(由於每個主機都需要認證,所以不需要使用端口安全)
在使用dot1x host-mode 之前,必須開啟在端口開啟802.1X認證。
配置多域認證(VLAN10用戶數據VLAN供PC使用,VLAN20用於語音VLAN,供IP電話使用)
配置應急開發策略:關鍵端口、開放式認證
管理員可以通過接口配置命令authentication open啟用開放式認證。
解決802.1X兼容性問題:局域網喚醒技術(WoL,Wake on LAN)
不支持802.1X的IP電話
遠程引導技術