《CCNP安全Secure 642-637认证考试指南》——6.2节规划基本的802.1X部署

本节书摘来自异步社区《ccnp安全secure 642-637认证考试指南》一书中的第6章，第6.2节规划基本的802.1x部署，作者【美】sean wilkins , trey smith，更多章节内容可以访问云栖社区“异步社区”公众号查看

6.2 规划基本的802.1x部署

ccnp安全secure 642-637认证考试指南

在这一章中，我们将讨论如何为通信双方配置基本的双向认证。在双向认证中，不仅网络需要对用户的身份进行验证，用户也需要对网络的身份进行验证。请注意，认证对象为使用计算机的用户而非计算机本身。第7章将介绍机器认证（machine authentication）。认证方与认证服务器之间采用共享密钥（shared secret）作为身份凭证1，请求方与认证服务器之间采用eap-fast作为认证协议。管理员需要收集输入参数、确定配置方式并根据通行的部署原则进行配置。

接下来，我们将介绍各种802.1x/cisco ibns组件的配置。

认证方：cisco catalyst交换机；

认证服务器（aaa服务器）：cisco安全访问控制服务器（cisco acs）4.2；

有线请求方：cisco安全服务客户端（cisco ssc）5.1。

6.2.1　收集输入参数

802.1x认证架构涉及多种技术，良好的前期规划有助于成功的部署。下面列出了规划时需要收集的一些重要信息。

列出所有允许非授权用户访问网络资源的局域网交换机，根据上述信息确定需要配置802.1x的交换机以及交换机可用的功能。

确定储存用户身份信息的数据库类型（如windows active directory）。为使802.1x认证过程对用户完全透明，部署802.1x时可以考虑采用同一种数据库作为认证数据库。

确定客户信息（如采用何种平台与操作系统），以便选择合适的请求方。

确定企业采用的软件派发机制，后者将影响当前和今后的请求方配置与支持工作。

确定请求方与认证服务器之间的网络路径是否可信。如果网络路径可信，可以考虑让认证服务器自动部署受保护的访问凭证（pac）文件，否则应采用手动方式部署pac文件。

6.2.2　部署工作

基本的802.1x部署工作包括以下4步。

步骤1　为cisco catalyst交换机配置802.1x认证方。

步骤2　为交换机配置访客vlan或受限vlan，并调整802.1x定时器（可选）。

步骤3　为cisco acs配置eap-fast，并在本地数据库创建用户账户。

步骤4　为客户主机配置并部署802.1x请求方。本章以工作在windows环境下的cisco ssc为例介绍如何配置请求方。

6.2.3　部署选择

根据所用的系统与网络类型，规划802.1x部署时需要考虑以下问题。

eap选取可供选择的eap类型很多。如果采用简单密码或一次性密码（otp）作为身份凭证，则应遵循以下原则。

采用简单密码时，可以考虑部署eap-fast作为外部认证协议，eap-mschapv2作为内部认证协议。由于请求方的身份凭证在加密的tls隧道中传输，因此攻击者无法获取这些重要信息。如果网络环境较为安全，也可以直接部署eap-mschapv2而无需采用eap-fast。

采用一次性密码时，可以考虑部署eap-fast或eap-peap作为外部认证协议，eap-gtc作为内部认证协议。为安全起见，务必不要单独使用eap-gtc。

请求方选取请求方既可以集成在操作系统中（如windows本地请求方），也可以是第三方软件（如cisco ssc）。选择请求方时应遵循以下原则。

如果对功能要求不高且希望简化配置的难度，可以考虑采用操作系统自带的请求方。

如果需要支持多种认证协议且需要在有线与无线环境实施认证，可以考虑采用cisco ssc。

6.2.4　一般性部署原则

部署802.1x认证架构时应遵循以下一般性原则。

在802.1x架构中采用扩展性较强的单点登录（single sign-on），并确保身份凭证的安全性。

进行部署前分析，并采用经过测试的部署计划。参数或配置不当可能导致大量用户无法访问网络。

在正式部署前进行试验性部署，并根据暴露出来的问题调整相关的配置。

试验性部署应尽可能覆盖企业网，以最大限度模拟实际的部署状况。

1共享密钥仅配置在认证方与认证服务器上，用于验证并加密认证方与认证服务器之间的通信。——译者注