标签:速度 主机 创建用户 工作 没有 虚拟 登录 instance 自己
基本的802.1X部署工作包括以下4步:
1. 为Cisco Catalyst交换机配置802.1X认证方
2. 为交换机配置访客VLAN或者受限VLAN,并调整802.1X定时器(可选)
3. 为Cisco ACS配置EAP-FAST,并在本地数据库创建用户账户
4. 为客户主机配置并部署802.1X请求方
一般性部署原则:
? 在802.1X架构中采用扩展性较强的单点登录(single sign-on),并确保身份凭证的安全性。
? 进行部署前分析,并采用经过测试的部署计划。参数或者配置不但可能导致大量用户无法访问网络。
? 在正式部署前进行试验性部署,并根据暴露出来的问题调整相关的配置。
? 试验性部署应该尽可能覆盖企业网,以最大限度模拟实际的部署状况。
为Cisco Catalyst交换机配置认证方
1. 配置Radius服务器参数
2. 配置AAA服务和Radius协议
3. 全局启用802.1X
4. 在指定的访问端口启用802.1X
5. 配置定期重认证(可选)
6. 调整定时器和阈值(可选)
7. 调整访客策略与认证失败策略(可选)
配置示例:
要求:
? 企业用户配置了请求方软件,访客用户没有配置请求方软件。二者与LAN交换机的访问端口连接。
? 路由作为认证方,其管理IP为192.168.1.1。
? VLAN100作为访客VLAN,只提供互联网接入服务。
? Cisco ACS作为认证服务器(AAA服务器),其IP地址为10.1.1.1,采用Radius协议进行802.1X认证。
配置命令:
步骤1:为SW配置Radius参数(这里将UDP1645认证和UDP1646审计改为了UDP1812和UDP1813)
步骤2:配置AAA服务和Radius协议
步骤3:在全局和指定的接口启用802.1X
其他两种认证状态
步骤4:配置定期重认证(可选)
重认证的好处:比如说在分布层交换机对用户执行802.1X认证时,访问层交换机并没有察觉到用户已经中断了与自己的连接,端口依然是处于授权的状态,那么此时就会给攻击者留下可乘之机。启用了重认证后,Radius服务器每个一段时间就会强制对客户进行重认证,所以在一定的程度上消除了安全隐患。
重认证模式是关闭的!
步骤5:调整定时器和阈值(可选)
为了加快请求方和认证方之间的信息交换速度,管理员可以调整EAPOL定时器。
步骤6:配置访客策略和认证失败策略(可选)
用户在一段时间内没有收到交换机发送的EAPOL请求,那么将会被分配到另一个VLAN(访客VLAN)。
