第二部分? IEEE 802.1X管理網(wǎng)絡(luò)訪問(wèn)安全
IEEE 802.1x訪問(wèn)控制特性是一種基于行業(yè)標(biāo)準(zhǔn)的第2層訪問(wèn)控制方法，提供了集中管理功能。IEEE 802.1x訪問(wèn)控制特性還被廣泛應(yīng)用于無(wú)線網(wǎng)絡(luò)。
?
使用802.1x的時(shí)候，在交換機(jī)接收器端口連接的工作站發(fā)送的數(shù)據(jù)包之前，將請(qǐng)求身份驗(yàn)證服務(wù)器對(duì)工作站進(jìn)行身份驗(yàn)證。在身份驗(yàn)證服務(wù)器驗(yàn)證工作站的身份之前，802.1x訪問(wèn)控制特性只允許EAPOL(Extensible Authentication Protocol over LAN，LAN上的可擴(kuò)展身份驗(yàn)證協(xié)議)通信流通過(guò)工作站連接的端口。通過(guò)身份驗(yàn)證后，常規(guī)通信流才能通過(guò)該端口。
基于端口的802.1x身份驗(yàn)證涉及3種設(shè)備：
*?客戶（client）---使用802.1x請(qǐng)求網(wǎng)絡(luò)對(duì)其進(jìn)行身份驗(yàn)證的工作站。當(dāng)前，只有Microsoft Windows XP和Windows 2003內(nèi)置了對(duì)802.1x支持功能
*?身份驗(yàn)證服務(wù)器（Authentication server）---負(fù)責(zé)驗(yàn)證交換機(jī)轉(zhuǎn)發(fā)的客戶請(qǐng)求。當(dāng)前，身份驗(yàn)證服務(wù)器是安裝了EAPOL擴(kuò)展的RADIUS服務(wù)器。
*?交換機(jī)---負(fù)責(zé)將客戶請(qǐng)求轉(zhuǎn)發(fā)給身份驗(yàn)證服務(wù)器，并在客戶通過(guò)身份驗(yàn)證后授予其訪問(wèn)網(wǎng)絡(luò)的權(quán)限。在802.1x運(yùn)行期間，交換機(jī)實(shí)際上是代理
交換機(jī)端口的狀態(tài)決定了客戶是否能夠訪問(wèn)網(wǎng)絡(luò)。端口開(kāi)始處于未經(jīng)授權(quán)（unauthorized）狀態(tài)。在這種狀態(tài)下，除802.1x協(xié)議數(shù)據(jù)包外，端口不允許任何入站通信流和出站通信流通過(guò)。客戶通過(guò)身份驗(yàn)證后，端口將切換到授權(quán)（authorized）狀態(tài)，允許來(lái)自客戶的通信流通過(guò)。如果交換機(jī)請(qǐng)求客戶表明其身份（證明方發(fā)起的），而客戶不支持802.1x，端口將保持未經(jīng)許可狀態(tài)，客戶不能訪問(wèn)網(wǎng)絡(luò)。
相反地，當(dāng)啟用了802.1x的客戶連接到端口，并向交換機(jī)發(fā)送EAPOL啟動(dòng)幀一啟動(dòng)身份驗(yàn)證過(guò)程（懇求方發(fā)起），而交換機(jī)沒(méi)有運(yùn)行802.1x協(xié)議，無(wú)法響應(yīng)客戶時(shí)，客戶將開(kāi)始發(fā)送數(shù)據(jù)幀，就像端口處于許可狀態(tài)一樣。 2．驗(yàn)證開(kāi)始和消息交換
交換機(jī)或客戶可以發(fā)起驗(yàn)證。如果一個(gè)端口上使用dot1x port-control auto接口配置命令啟動(dòng)驗(yàn)證，那么交換機(jī)必須在確定該端口鏈路狀態(tài)從down轉(zhuǎn)換為UP時(shí)發(fā)起驗(yàn)證。交換機(jī)接著向客戶發(fā)送一個(gè)EAP-請(qǐng)求/身份幀來(lái)請(qǐng)求它的身份。根據(jù)收到的幀，客戶響應(yīng)一個(gè)EAP-響應(yīng)/身份幀。
?
如果在啟動(dòng)期間客戶沒(méi)有收到一個(gè)來(lái)自交換機(jī)的EAP-請(qǐng)求/身份幀，那么客戶可以發(fā)送一個(gè)EAPOL-開(kāi)始幀來(lái)發(fā)起驗(yàn)證。這提示交換機(jī)要請(qǐng)求客戶的身份。
如果網(wǎng)絡(luò)接入設(shè)備上沒(méi)有啟用或支持802.1X，則會(huì)丟棄任何來(lái)自客戶的EAPOL幀。如果客戶在嘗試開(kāi)始驗(yàn)證的指定次數(shù)之后還未收到EAP-請(qǐng)求/身份幀，那么客戶將發(fā)送幀如同端口已處于授權(quán)狀態(tài)。出于授權(quán)狀態(tài)的端口實(shí)際上意味著客戶已被成功驗(yàn)證了。
當(dāng)客戶提供其身份是，交換機(jī)開(kāi)始他的中介職責(zé)，在客戶和驗(yàn)證服務(wù)器之間傳遞EAP幀直到驗(yàn)證成功或失敗。如果授權(quán)成功，交換端口即被授權(quán)
EAP幀的詳細(xì)交換基于所使用的驗(yàn)證方法。如圖，由客戶發(fā)起的與RADIUS服務(wù)器一起使用OTP（一次口令）驗(yàn)證方法的消息交換。 3．支持的拓?fù)?br />802.1X基于端口的驗(yàn)證支持在兩種拓?fù)浞N：
*?點(diǎn)對(duì)點(diǎn)（單用戶）
*?無(wú)線LAN（多用戶）
在點(diǎn)對(duì)點(diǎn)配置中，只有一個(gè)客戶能夠連接到起用了802.1X的交換機(jī)端口上。交換機(jī)在端口鏈路狀態(tài)變?yōu)閁P狀態(tài)時(shí)檢測(cè)客戶。如果客戶離開(kāi)或被另一個(gè)客戶替換，交換機(jī)將端口鏈路狀態(tài)變?yōu)镈OWN,端口返回到未授權(quán)狀態(tài)。
802.1X交換機(jī)端口被配置為一個(gè)多主機(jī)端口，一旦客戶通過(guò)驗(yàn)證即變?yōu)槭跈?quán)的。當(dāng)端口是授權(quán)的時(shí)候，所有其他非直連的主機(jī)獲準(zhǔn)接入網(wǎng)絡(luò)。如果端口變?yōu)槲词跈?quán)的（在重新驗(yàn)證失敗或受到一個(gè)EAPOL-下線消息時(shí)），交換機(jī)拒絕所有直連客戶的網(wǎng)絡(luò)訪問(wèn)。
?
這個(gè)拓?fù)渲?#xff0c;無(wú)線接入點(diǎn)負(fù)責(zé)驗(yàn)證直連到它的客戶，并且該無(wú)線接入點(diǎn)作為交換機(jī)的一個(gè)客戶。 4．端口身份驗(yàn)證狀態(tài)：
*?Force-authorized---禁用基于端口的802.1x身份驗(yàn)證，導(dǎo)致端口切換到許可狀態(tài)，而不需要交換任何身份驗(yàn)證信息。端口發(fā)送和接收常規(guī)通信流，而不對(duì)客戶進(jìn)行基于802.1x的身份驗(yàn)證，這是默認(rèn)設(shè)置
*?Force-unauthorized---導(dǎo)致端口保持未經(jīng)許可狀態(tài)，并忽略客戶的所有身份驗(yàn)證請(qǐng)求。交換機(jī)不能通過(guò)這種端口為客戶提供身份驗(yàn)證服務(wù)。
*?Auto---啟用基于端口的802.1x身份驗(yàn)證，導(dǎo)致端口一開(kāi)始處于未經(jīng)許可狀態(tài)，只能接收和發(fā)送EAPOL幀。端口的鏈路狀態(tài)從down到up(驗(yàn)證方發(fā)起)或收到EAPOL啟動(dòng)幀（懇求方發(fā)起）后，身份驗(yàn)證過(guò)程便開(kāi)始了。交換機(jī)請(qǐng)求客戶說(shuō)明其身份，并在客戶和驗(yàn)證服務(wù)器之間轉(zhuǎn)發(fā)身份驗(yàn)證消息。交換機(jī)使用客戶的MAC地址來(lái)唯一地標(biāo)識(shí)每個(gè)試圖訪問(wèn)網(wǎng)絡(luò)的客戶。
如果客戶通過(guò)了身份驗(yàn)證（收到來(lái)自身份驗(yàn)證服務(wù)器的Accept幀），端口狀態(tài)將變?yōu)樵S可，客戶發(fā)送的所有幀都被允許通過(guò)端口。如果未通過(guò)身份驗(yàn)證，端口將保持未經(jīng)許可狀態(tài)。在這種狀態(tài)下，端口只允許用于重新驗(yàn)證身份的通信流通過(guò)，而不允許其他用戶通信流通過(guò)。如果身份驗(yàn)證服務(wù)器不可達(dá)，交換機(jī)可能重傳請(qǐng)求。如果重傳指定次數(shù)后，服務(wù)器仍沒(méi)有響應(yīng)，身份驗(yàn)證將一失敗告終，交換機(jī)不允許客戶訪問(wèn)網(wǎng)絡(luò)。此外，客戶注銷是將發(fā)送一條EAPOL注銷信息，導(dǎo)致服務(wù)器端口切換到未經(jīng)許可狀態(tài)。 5．802.1X配置指導(dǎo)
802.1X協(xié)議在第2層的靜態(tài)接入端口上支持，但在以下類型的端口上不支持：
*?中繼端口---試圖在一個(gè)中繼端口上啟用802.1X會(huì)產(chǎn)生錯(cuò)誤消息，因而不能激活802.1X。
*?動(dòng)態(tài)端口---處于動(dòng)態(tài)模式的端口會(huì)與其相鄰的鄰居協(xié)商變成一個(gè)中繼端口，所以要在動(dòng)態(tài)模式的端口設(shè)置802.1X會(huì)出錯(cuò)。
*?VQP端口---試圖在一個(gè)動(dòng)態(tài)接入（VLAN查詢協(xié)議[VQP]）端口上啟用802.1X會(huì)出錯(cuò)
*?活動(dòng)的ETHERCHANNEL端口---在端口啟用802.1X之前，首先應(yīng)將該端口從EtherChannel中移除。試圖在一個(gè)EtherChannel或一個(gè)EtherChannel中的一個(gè)活動(dòng)端口上啟用802.1x會(huì)產(chǎn)生錯(cuò)誤
l?安全端口---安全端口不能配置為802.1x
l?span目的端口---802.1x可以在一個(gè)SPAN目的的端口上啟用，但802.1X直到該端口不再是SPAN目的時(shí)才會(huì)生效。802.1X可以再SPAN源端口使用 6．配置802.1X
默認(rèn)配置
特性????????????? 默認(rèn)設(shè)置
------------------------------------------
交換機(jī)IEEE802.1x?????????? 禁用
AAA驗(yàn)證?????????????????????????? 禁用
RADIUS服務(wù)器
IP地址??????????????????????????? 未指定
UDP端口?????????????????????????? 1812
密鑰?????????????????????????? 未指定
主機(jī)模式?????????????????? 點(diǎn)對(duì)點(diǎn)（單主機(jī)）
每個(gè)接口的802.1X啟用狀態(tài)?? 禁用（強(qiáng)制未授權(quán)），端口發(fā)送和接受正常的流量
周期性的重新驗(yàn)證?????????? 禁止
重新驗(yàn)證嘗試之間的次數(shù)?????????? 3600秒
安靜周期?????????????????? 60秒（交換機(jī)在與客戶的一次失敗驗(yàn)證交換之后保持安靜狀態(tài)的時(shí)間）
重傳時(shí)間?????????????????? 30秒（交換機(jī)在重傳請(qǐng)求之前等待客戶對(duì)一個(gè)EAP請(qǐng)求/身份幀的響應(yīng)時(shí)間）
最大重傳次數(shù)?????????????????? 2次（交換機(jī)在重新開(kāi)始驗(yàn)證過(guò)程之前發(fā)送一個(gè)EAP請(qǐng)求/身份幀的次數(shù)）
多主機(jī)支持?????????????????? 禁止
客戶超時(shí)周期?????????????????? 30秒（在將一個(gè)請(qǐng)求從驗(yàn)證服務(wù)器中介給客戶時(shí)，交換機(jī)向客戶重傳該請(qǐng)求之前等待響應(yīng)的時(shí)間）。該設(shè)置不能配置
驗(yàn)證服務(wù)器超時(shí)周期?????????? 30秒（在將一個(gè)請(qǐng)求從客戶中介給驗(yàn)證服務(wù)器時(shí)，交換機(jī)向服務(wù)器重傳該請(qǐng)求之前等待響應(yīng)的時(shí)間）。該設(shè)置不能配置 配置IEEE802.1X認(rèn)證
1） 進(jìn)入全局模式?? configure terminal
2） 啟用AAA
??? aaa new-model
3） 建立IEEE802.1x認(rèn)證列表
??? aaa authentication dot1x {default} method1
??? default:將后面指定的身份驗(yàn)證方法作為默認(rèn)配置，自動(dòng)作用于所有IEEE802.1x
??? method1:指定身份驗(yàn)證的方法
4） 啟用IEEE802.1x授權(quán)
??? dot1x system-auth-control
5） 建立授權(quán)（可選）
??? aaa authorization network {default} group radius
??? 指定通過(guò)RADIUS服務(wù)起來(lái)建立授權(quán)
6） 指定RADIUS服務(wù)器的地址
??? radius-server host　IP地址
7） 指定密鑰
??? radius-server key 密鑰
8） 進(jìn)入接口模式?? interface 接口
9） 啟用IEEE802.1x認(rèn)證
???? switchport mode access dot1x port-control auto
10） 驗(yàn)證結(jié)果
??? show dot1x 配置交換機(jī)域RADIUS服務(wù)器之間通信
1） 進(jìn)入全局模式?? configure terminal
2） 配置RADIUS服務(wù)器特征
?? radius-server host [主機(jī)名|IP地址] auth-port 端口號(hào) key 密鑰
?? auth-port:UDP端口號(hào) 配置主機(jī)模式
1） 進(jìn)入全局模式?? configure terminal
2） 進(jìn)入接口模式?? interface? 接口
3） 配置主機(jī)模式
??? dot1x host-mode multi-host
??? 允許多主機(jī)模式
4） 配置IEEE802.1x認(rèn)證
??? dot1x port-control auto 配置重認(rèn)證周期
1）?進(jìn)入全局模式? configure terminal
2）?進(jìn)入接口模式? interface 接口
3）?啟用IEEE802.1x重認(rèn)證
???? dot1x reauthentication
4）?設(shè)置重認(rèn)證周期
???? dot1x timeout reauth-period 秒數(shù)
???? 秒數(shù)：默認(rèn)為3600秒，取值為1-65535
5）?驗(yàn)證結(jié)果
???? show dot1x interface 接口 配置安靜周期
交換機(jī)在與客戶的一次失敗驗(yàn)證交換之后保持安靜狀態(tài)的時(shí)間
1）?進(jìn)入全局模式? configure terminal
2）?進(jìn)入接口模式? interface 接口
3）?配置安靜周期Quiet period
??? dot1x timeout quiet-period 秒數(shù)
秒數(shù)：默認(rèn)為60秒，取值為1-65535 配置交換機(jī)與主機(jī)之間重傳時(shí)間
交換機(jī)在重傳請(qǐng)求之前等待客戶對(duì)一個(gè)EAP請(qǐng)求/身份幀的響應(yīng)時(shí)間
1）?進(jìn)入全局模式? configure terminal
2）?進(jìn)入接口模式? interfacer 接口
3）?配置重傳時(shí)間
??? dot1x timeout tx-period 秒數(shù)
秒數(shù)為5-65535，默認(rèn)為5秒 配置交換機(jī)與主機(jī)之間重傳最大次數(shù)
交換機(jī)在重新開(kāi)始驗(yàn)證過(guò)程之前發(fā)送一個(gè)EAP請(qǐng)求/身份幀的次數(shù)
1）?進(jìn)入全局模式? configure terminal
2）?進(jìn)入接口模式? interfacer 接口
3）?配置重傳最大次數(shù)
??? dot1x max- req 次數(shù)
次數(shù)為1-10，默認(rèn)為2次 配置交換機(jī)與主機(jī)之間重認(rèn)證最大次數(shù)
1）?入全局模式? configure terminal
2）?進(jìn)入接口模式? interfacer 接口
3）?配置重傳最大次數(shù)
??? dot1x max-reauth-req 次數(shù)
秒數(shù)為1-10，默認(rèn)為2次
案例：
CCIE-LAB(V133)
題目要求：
you want to restrict unauthorized clients form connecting to your network configure sw1 so that the por f0/9 has 802.1x port-based authentication using a RADIUS server heinitial state of this port should be unauthorized ,but when transitions form down to up the authentication process to the Radius SERVER SHOULD BEGIN ,PERFORM ONLY THE MINIMUM AAA configuration pertinent to the 802.1x port-based? authentication
配置：
SW1
?? configure term
?? aaa new-model
?? aaa authentication dot1x default group radius
?? aaa authentication network default group radius
?? dot1x system-auto-control
?? interface f0/9
???? switchport mode access
???? dot1x port-control auto CCIE-LAB(YY)
you want to restrict unauthorized clients form connecting to your network configure sw1 so that the por f0/17 has 802.1x port-based authentication using a RADIUS server heinitial state of this port should be unauthorized ,but when transitions form down to up the authentication process to the Radius SERVER SHOULD BEGIN ,PERFORM ONLY THE MINIMUM AAA configuration pertinent to the 802.1x port-based? authentication.RADIUS Server address:150.1.1.254,key is cisco.
配置：
sw1
?? config termi
?? aaa new-model
?? aaa authentication dot1x default group radius
?? aaa authentication network default group raidus
?? radius-server host 150.1.1.254
?? radius-server key cisco
?? dot1x system-auth-control
?? interface f0/17
????? switchport mode access
????? dot1x port-control auto
?? show dot1x
?? show dot1x interface f0/17 配置訪客vlan(guest vlan)
如果端口指定了訪客Guest VLAN項(xiàng)，此端口下的接入用戶如果認(rèn)證失敗或根本無(wú)用戶賬號(hào)的話，會(huì)成為Guest VLAN 組的成員，可以享用此組內(nèi)的相應(yīng)網(wǎng)絡(luò)資源，這一種功能同樣可為網(wǎng)絡(luò)應(yīng)用的某一些群體開(kāi)放最低限度的資源，并為整個(gè)網(wǎng)絡(luò)提供了一個(gè)最外圍的接入安全。用戶可以去下載客戶端，但是不能去上公網(wǎng)，他限制了未撥號(hào)用戶可以訪問(wèn)的資源。
配置過(guò)程：
1） 進(jìn)入全局模式?? configure terminal
2） 進(jìn)入接口模式?? interface 接口
3） 配置接口模式
??? switchport mode access
4）?配置dot1x認(rèn)證
??? dot1x port-control auto
5）?配置某個(gè)活動(dòng)vlan成為訪客vlan
??? dot1x guest-vlan vlan號(hào)
??? vlan號(hào)：1-4094，除了RSPAN vlan、私有VLAN的主Vlan、語(yǔ)音vlan
案例：
CCIE-LAB(210)
題目要求：
配置sw3上基于802.1X安全的GUEST VLAN，vlan號(hào)為999，端口范圍為fa0/11-18,RADIUS SERVER地址為150.1.1.254，密碼為cisco。
配置：
SW3:
config terminal
vlan 999
?? name guestvlan
aaa new-model
aaa authentication dot1x default group radius
aaa authentication network default group radius
dot1x system-auth-control
radius-server host 150.1.1.254
radius-server key cisco
interface fa0/11 –18
? switchport mode access
? dot1x port-control auto
? dot1x guest-vlan 999
? 配置受限vlan
可以配置端口指定為受限vlan,當(dāng)認(rèn)證失敗之后（超過(guò)認(rèn)證次數(shù)3次），不能訪問(wèn)guest vlan的客戶將加入受限的vlan, 限制了未認(rèn)證成功的用戶可以訪問(wèn)的資源。
配置過(guò)程：
1）?進(jìn)入全局模式? configure terminal
2）?進(jìn)入接口模式? interface 接口
3）?配置接口模式
??? switchport mode access
4）?配置受限vlan
??? dot1x auth-fail vlan vlan號(hào)
5）?配置最大認(rèn)證接收次數(shù)
??? dot1x auth-fail auth-attwmpts 次數(shù)
次數(shù)：取值為1-3，默認(rèn)為3 配置物理地址認(rèn)證旁路
使用mac地址認(rèn)證旁路特性，交換機(jī)可以使用客戶端的mac地址作為客戶認(rèn)證，比如端口上連接一臺(tái)打印機(jī)。當(dāng)一個(gè)802.1x端口上使用mac認(rèn)證旁路特性，交換機(jī)將使用mac地址作為客戶端的身份的驗(yàn)證，認(rèn)證服務(wù)器有一張客戶mac地址表用作是否允許客戶訪問(wèn)網(wǎng)絡(luò)。交換機(jī)等待客戶的EAP響應(yīng)/身份幀的認(rèn)證時(shí)間超時(shí)，交換機(jī)會(huì)嘗試使用mac地址作為客戶的認(rèn)證。
配置過(guò)程：
1）?進(jìn)入全局模式? configure terminal
2）?進(jìn)入接口模式? interface 接口
3）?配置接口
??? dot1x port-control auto
??? dot1x mac-address-bypass [eap]
??? eap:交換機(jī)使用eap認(rèn)證 非法IEEE802.1x
配置過(guò)程：
1）?進(jìn)入接口模式? interface 接口
2）?非法ieee802.1x功能
??? no dot1x pae 恢復(fù)原始配置參數(shù)
配置過(guò)程：
1）?進(jìn)入接口模式
2）?恢復(fù)原始配置
dot1x default

轉(zhuǎn)載于:https://blog.51cto.com/hellome/21533

總結(jié)

以上是生活随笔為你收集整理的CCIE试验备考之交换security(2)的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。