CCIE試驗備考之交換security(2)

第二部分  IEEE 802.1X管理網絡通路安全

IEEE 802.1x通路控制特性是一種基于行業标準的第2層通路控制方法，提供了集中管理功能。IEEE 802.1x通路控制特性還被廣泛應用于無線網絡。

使用802.1x的時候，在交換機接收器端口連接配接的工作站發送的資料包之前，将請求身份驗證伺服器對工作站進行身份驗證。在身份驗證伺服器驗證工作站的身份之前，802.1x通路控制特性隻允許EAPOL(Extensible Authentication Protocol over LAN，LAN上的可擴充身份驗證協定)通信流通過工作站連接配接的端口。通過身份驗證後，正常通信流才能通過該端口。

基于端口的802.1x身份驗證涉及3種裝置：

* 客戶（client）---使用802.1x請求網絡對其進行身份驗證的工作站。目前，隻有Microsoft Windows XP和Windows 2003内置了對802.1x支援功能

* 身份驗證伺服器（Authentication server）---負責驗證交換機轉發的客戶請求。目前，身份驗證伺服器是安裝了EAPOL擴充的RADIUS伺服器。

* 交換機---負責将客戶請求轉發給身份驗證伺服器，并在客戶通過身份驗證後授予其通路網絡的權限。在802.1x運作期間，交換機實際上是代理

交換機端口的狀态決定了客戶是否能夠通路網絡。端口開始處于未經授權（unauthorized）狀态。在這種狀态下，除802.1x協定資料包外，端口不允許任何入站通信流和出站通信流通過。客戶通過身份驗證後，端口将切換到授權（authorized）狀态，允許來自客戶的通信流通過。如果交換機請求客戶表明其身份（證明方發起的），而客戶不支援802.1x，端口将保持未經許可狀态，客戶不能通路網絡。

相反地，當啟用了802.1x的客戶連接配接到端口，并向交換機發送EAPOL啟動幀一啟動身份驗證過程（懇求方發起），而交換機沒有運作802.1x協定，無法響應客戶時，客戶将開始發送資料幀，就像端口處于許可狀态一樣。

2．驗證開始和消息交換

交換機或客戶可以發起驗證。如果一個端口上使用dot1x port-control auto接口配置指令啟動驗證，那麼交換機必須在确定該端口鍊路狀态從down轉換為UP時發起驗證。交換機接着向客戶發送一個EAP-請求/身份幀來請求它的身份。根據收到的幀，客戶響應一個EAP-響應/身份幀。

如果在啟動期間客戶沒有收到一個來自交換機的EAP-請求/身份幀，那麼客戶可以發送一個EAPOL-開始幀來發起驗證。這提示交換機要請求客戶的身份。

如果網絡接入裝置上沒有啟用或支援802.1X，則會丢棄任何來自客戶的EAPOL幀。如果客戶在嘗試開始驗證的指定次數之後還未收到EAP-請求/身份幀，那麼客戶将發送幀如同端口已處于授權狀态。出于授權狀态的端口實際上意味着客戶已被成功驗證了。

當客戶提供其身份是，交換機開始他的中介職責，在客戶和驗證伺服器之間傳遞EAP幀直到驗證成功或失敗。如果授權成功，交換端口即被授權

EAP幀的詳細交換基于所使用的驗證方法。如圖，由客戶發起的與RADIUS伺服器一起使用OTP（一次密碼）驗證方法的消息交換。

3．支援的拓撲

802.1X基于端口的驗證支援在兩種拓撲種：

* 點對點（單使用者）

* 無線LAN（多使用者）

在點對點配置中，隻有一個客戶能夠連接配接到起用了802.1X的交換機端口上。交換機在端口鍊路狀态變為UP狀态時檢測客戶。如果客戶離開或被另一個客戶替換，交換機将端口鍊路狀态變為DOWN,端口傳回到未授權狀态。

802.1X交換機端口被配置為一個多主機端口，一旦客戶通過驗證即變為授權的。當端口是授權的時候，所有其他非直連的主機獲準接入網絡。如果端口變為未授權的（在重新驗證失敗或受到一個EAPOL-下線消息時），交換機拒絕所有直連客戶的網絡通路。

這個拓撲中，無線接入點負責驗證直連到它的客戶，并且該無線接入點作為交換機的一個客戶。

4．端口身份驗證狀态：

* Force-authorized---禁用基于端口的802.1x身份驗證，導緻端口切換到許可狀态，而不需要交換任何身份驗證資訊。端口發送和接收正常通信流，而不對客戶進行基于802.1x的身份驗證，這是預設設定

* Force-unauthorized---導緻端口保持未經許可狀态，并忽略客戶的所有身份驗證請求。交換機不能通過這種端口為客戶提供身份驗證服務。

* Auto---啟用基于端口的802.1x身份驗證，導緻端口一開始處于未經許可狀态，隻能接收和發送EAPOL幀。端口的鍊路狀态從down到up(驗證方發起)或收到EAPOL啟動幀（懇求方發起）後，身份驗證過程便開始了。交換機請求客戶說明其身份，并在客戶和驗證伺服器之間轉發身份驗證消息。交換機使用客戶的MAC位址來唯一地辨別每個試圖通路網絡的客戶。

如果客戶通過了身份驗證（收到來自身份驗證伺服器的Accept幀），端口狀态将變為許可，客戶發送的所有幀都被允許通過端口。如果未通過身份驗證，端口将保持未經許可狀态。在這種狀态下，端口隻允許用于重新驗證身份的通信流通過，而不允許其他使用者通信流通過。如果身份驗證伺服器不可達，交換機可能重傳請求。如果重傳指定次數後，伺服器仍沒有響應，身份驗證将一失敗告終，交換機不允許客戶通路網絡。此外，客戶登出是将發送一條EAPOL登出資訊，導緻伺服器端口切換到未經許可狀态。

5．802.1X配置指導

802.1X協定在第2層的靜态接入端口上支援，但在以下類型的端口上不支援：

* 中繼端口---試圖在一個中繼端口上啟用802.1X會産生錯誤消息，因而不能激活802.1X。

* 動态端口---處于動态模式的端口會與其相鄰的鄰居協商變成一個中繼端口，是以要在動态模式的端口設定802.1X會出錯。

* VQP端口---試圖在一個動态接入（VLAN查詢協定[VQP]）端口上啟用802.1X會出錯

* 活動的ETHERCHANNEL端口---在端口啟用802.1X之前，首先應将該端口從EtherChannel中移除。試圖在一個EtherChannel或一個EtherChannel中的一個活動端口上啟用802.1x會産生錯誤

l 安全端口---安全端口不能配置為802.1x

l span目的端口---802.1x可以在一個SPAN目的的端口上啟用，但802.1X直到該端口不再是SPAN目的時才會生效。802.1X可以再SPAN源端口使用

6．配置802.1X

預設配置

特性              預設設定

------------------------------------------

交換機IEEE802.1x           禁用

AAA驗證                           禁用

RADIUS伺服器

IP位址                            未指定

UDP端口                           1812

密鑰                           未指定

主機模式                   點對點（單主機）

每個接口的802.1X啟用狀态   禁用（強制未授權），端口發送和接受正常的流量

周期性的重新驗證           禁止

重新驗證嘗試之間的次數           3600秒

安靜周期                   60秒（交換機在與客戶的一次失敗驗證交換之後保持安靜狀态的時間）

重傳時間                   30秒（交換機在重傳請求之前等待客戶對一個EAP請求/身份幀的響應時間）

最大重傳次數                   2次（交換機在重新開始驗證過程之前發送一個EAP請求/身份幀的次數）

多主機支援                   禁止

客戶逾時周期                   30秒（在将一個請求從驗證伺服器中介給客戶時，交換機向客戶重傳該請求之前等待響應的時間）。該設定不能配置

驗證伺服器逾時周期           30秒（在将一個請求從客戶中介給驗證伺服器時，交換機向伺服器重傳該請求之前等待響應的時間）。該設定不能配置

配置IEEE802.1X認證

1） 進入全局模式   configure terminal

2） 啟用AAA

    aaa new-model

3） 建立IEEE802.1x認證清單

    aaa authentication dot1x {default} method1

    default:将後面指定的身份驗證方法作為預設配置，自動作用于所有IEEE802.1x

    method1:指定身份驗證的方法

4） 啟用IEEE802.1x授權

    dot1x system-auth-control

5） 建立授權（可選）

    aaa authorization network {default} group radius

    指定通過RADIUS服務起來建立授權

6） 指定RADIUS伺服器的位址

    radius-server host　IP位址

7） 指定密鑰

    radius-server key 密鑰

8） 進入接口模式   interface 接口

9） 啟用IEEE802.1x認證

     switchport mode access dot1x port-control auto

10） 驗證結果

    show dot1x

配置交換機域RADIUS伺服器之間通信

2） 配置RADIUS伺服器特征

   radius-server host [主機名|IP位址] auth-port 端口号 key 密鑰

   auth-port:UDP端口号

配置主機模式

2） 進入接口模式   interface  接口

3） 配置主機模式

    dot1x host-mode multi-host

    允許多主機模式

4） 配置IEEE802.1x認證

    dot1x port-control auto

配置重認證周期

1） 進入全局模式  configure terminal

2） 進入接口模式  interface 接口

3） 啟用IEEE802.1x重認證

     dot1x reauthentication

4） 設定重認證周期

     dot1x timeout reauth-period 秒數

     秒數：預設為3600秒，取值為1-65535

5） 驗證結果

     show dot1x interface 接口

配置安靜周期

交換機在與客戶的一次失敗驗證交換之後保持安靜狀态的時間

3） 配置安靜周期Quiet period

    dot1x timeout quiet-period 秒數

秒數：預設為60秒，取值為1-65535

配置交換機與主機之間重傳時間

交換機在重傳請求之前等待客戶對一個EAP請求/身份幀的響應時間

2） 進入接口模式  interfacer 接口

3） 配置重傳時間

    dot1x timeout tx-period 秒數

秒數為5-65535，預設為5秒

配置交換機與主機之間重傳最大次數

交換機在重新開始驗證過程之前發送一個EAP請求/身份幀的次數

3） 配置重傳最大次數

    dot1x max- req 次數

次數為1-10，預設為2次

配置交換機與主機之間重認證最大次數

1） 入全局模式  configure terminal

    dot1x max-reauth-req 次數

秒數為1-10，預設為2次

案例：

CCIE-LAB(V133)

題目要求：

you want to restrict unauthorized clients form connecting to your network configure sw1 so that the por f0/9 has 802.1x port-based authentication using a RADIUS server heinitial state of this port should be unauthorized ,but when transitions form down to up the authentication process to the Radius SERVER SHOULD BEGIN ,PERFORM ONLY THE MINIMUM AAA configuration pertinent to the 802.1x port-based  authentication

配置：

SW1

   configure term

   aaa new-model

   aaa authentication dot1x default group radius

   aaa authentication network default group radius

   dot1x system-auto-control

   interface f0/9

     switchport mode access

     dot1x port-control auto

CCIE-LAB(YY)

you want to restrict unauthorized clients form connecting to your network configure sw1 so that the por f0/17 has 802.1x port-based authentication using a RADIUS server heinitial state of this port should be unauthorized ,but when transitions form down to up the authentication process to the Radius SERVER SHOULD BEGIN ,PERFORM ONLY THE MINIMUM AAA configuration pertinent to the 802.1x port-based  authentication.RADIUS Server address:150.1.1.254,key is cisco.

sw1

   config termi

   aaa authentication network default group raidus

   radius-server host 150.1.1.254

   radius-server key cisco

   dot1x system-auth-control

   interface f0/17

      switchport mode access

      dot1x port-control auto

   show dot1x

   show dot1x interface f0/17

配置訪客vlan(guest vlan)

如果端口指定了訪客Guest VLAN項，此端口下的接入使用者如果認證失敗或根本無使用者賬号的話，會成為Guest VLAN 組的成員，可以享用此組内的相應網絡資源，這一種功能同樣可為網絡應用的某一些群體開放最低限度的資源，并為整個網絡提供了一個最外圍的接入安全。使用者可以去下載下傳用戶端，但是不能去上公網，他限制了未撥号使用者可以通路的資源。

配置過程：

2） 進入接口模式   interface 接口

3） 配置接口模式

    switchport mode access

4） 配置dot1x認證

5） 配置某個活動vlan成為訪客vlan

    dot1x guest-vlan vlan号

    vlan号：1-4094，除了RSPAN vlan、私有VLAN的主Vlan、語音vlan

CCIE-LAB(210)

配置sw3上基于802.1X安全的GUEST VLAN，vlan号為999，端口範圍為fa0/11-18,RADIUS SERVER位址為150.1.1.254，密碼為cisco。

SW3:

config terminal

vlan 999

   name guestvlan

aaa new-model

aaa authentication dot1x default group radius

aaa authentication network default group radius

dot1x system-auth-control

radius-server host 150.1.1.254

radius-server key cisco

interface fa0/11 –18

  switchport mode access

  dot1x port-control auto

  dot1x guest-vlan 999

配置受限vlan

可以配置端口指定為受限vlan,當認證失敗之後（超過認證次數3次），不能通路guest vlan的客戶将加入受限的vlan, 限制了未認證成功的使用者可以通路的資源。

3） 配置接口模式

4） 配置受限vlan

    dot1x auth-fail vlan vlan号

5） 配置最大認證接收次數

    dot1x auth-fail auth-attwmpts 次數

次數：取值為1-3，預設為3

配置實體位址認證旁路

使用mac位址認證旁路特性，交換機可以使用用戶端的mac位址作為客戶認證，比如端口上連接配接一台列印機。當一個802.1x端口上使用mac認證旁路特性，交換機将使用mac位址作為用戶端的身份的驗證，認證伺服器有一張客戶mac位址表用作是否允許客戶通路網絡。交換機等待客戶的EAP響應/身份幀的認證時間逾時，交換機會嘗試使用mac位址作為客戶的認證。

3） 配置接口

    dot1x mac-address-bypass [eap]

    eap:交換機使用eap認證

非法IEEE802.1x

1） 進入接口模式  interface 接口

2） 非法ieee802.1x功能

    no dot1x pae

恢複原始配置參數

1） 進入接口模式

2） 恢複原始配置

dot1x default