亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

Chinaunix

標(biāo)題: [原創(chuàng)]實(shí)戰(zhàn)802.1x端口認(rèn)證 [打印本頁(yè)]

作者: 紅頭發(fā) 時(shí)間: 2007-05-14 15:24
標(biāo)題: [原創(chuàng)]實(shí)戰(zhàn)802.1x端口認(rèn)證
轉(zhuǎn)載請(qǐng)保留作者信息:
作者:紅頭發(fā)(aka CCIE#15101/JNCIP Candidate)
出處:http://www.91lab.com

一.802.1x端口認(rèn)證的原理:
IEEE 802.1x標(biāo)準(zhǔn)定義了WLAN用戶(hù)接入的認(rèn)證過(guò)程;現(xiàn)在802.1x標(biāo)準(zhǔn)已經(jīng)用于LAN,來(lái)實(shí)現(xiàn)基于交換機(jī)端口的認(rèn)證過(guò)程.802.1x標(biāo)準(zhǔn)是一種基于基于客戶(hù)到服務(wù)器的訪問(wèn)控制和認(rèn)證協(xié)議,防止用戶(hù)在未經(jīng)認(rèn)證的情況下接入到LAN.認(rèn)證服務(wù)器對(duì)交換機(jī)每個(gè)端口所連的客戶(hù)機(jī)進(jìn)行認(rèn)證.當(dāng)客戶(hù)機(jī)被認(rèn)證時(shí),IEEE 801.1x標(biāo)準(zhǔn)只允許EAPOL,CDP和STP流量穿越該端口到達(dá)客戶(hù)機(jī);認(rèn)證通過(guò)后才允許常規(guī)流量穿越該端口.

IEEE 802.1x標(biāo)準(zhǔn)里的設(shè)備角色如下圖:

1.客戶(hù)機(jī):向LAN發(fā)起訪問(wèn)請(qǐng)求的普通工作站,必須裝有和802.1x兼容的軟件(比如Windows XP).
2.認(rèn)證服務(wù)器:實(shí)行認(rèn)證功能,并響應(yīng)給交換機(jī).交換機(jī)充當(dāng)認(rèn)證代理,因此認(rèn)證服務(wù)器對(duì)客戶(hù)機(jī)來(lái)說(shuō)是透明的.認(rèn)證服務(wù)器目前只支持RADIUS和EAP擴(kuò)展.
3.交換機(jī):可以是普通的接入層交換機(jī)或無(wú)線(xiàn)AP.根據(jù)對(duì)用戶(hù)的認(rèn)證狀態(tài)來(lái)決定用戶(hù)的物理訪問(wèn).交換機(jī)充當(dāng)客戶(hù)機(jī)與認(rèn)證服務(wù)器的認(rèn)證代理.客戶(hù)機(jī)和交換機(jī)負(fù)責(zé)對(duì)EAP幀進(jìn)行封裝和解封裝.
當(dāng)交換機(jī)收到EAPOL幀后,把它中繼給認(rèn)證服務(wù)器,將原先的以太網(wǎng)幀頭部信息給去掉,將EAP幀重新封裝成RADIUS支持的格式,在封裝過(guò)程中,EAP幀不會(huì)被修改;當(dāng)認(rèn)證服務(wù)器返回EAP幀給交換機(jī)時(shí),交換機(jī)去掉頭部信息,將EAP幀重新封裝以太網(wǎng)頭部信息并轉(zhuǎn)發(fā)給客戶(hù)機(jī).

802.1x認(rèn)證流程圖:

交換機(jī)啟用802.1x端口認(rèn)證后,端口狀態(tài)首先處于未授權(quán)(unauthorized)狀態(tài).在這種狀態(tài)下,只要該端口未配置成語(yǔ)音VLAN端口,那么只允許EAPOL,CDP和STP流量;當(dāng)客戶(hù)機(jī)認(rèn)證成功后,端口將轉(zhuǎn)變成授權(quán)(authorized)狀態(tài),允許所有的常規(guī)流量.如果端口被配置成了語(yǔ)音VLAN端口,在認(rèn)證成功前還允許VoIP流量.交換機(jī)下可以手動(dòng)定義的3種端口狀態(tài):
1.強(qiáng)制授權(quán)(force-authorized):禁用802.1x認(rèn)證,在未經(jīng)認(rèn)證強(qiáng)制將端口轉(zhuǎn)換成授權(quán)狀態(tài).這也是交換機(jī)的默認(rèn)配置.
2.強(qiáng)制未授權(quán)(force-unauthorized):將端口處于未授權(quán)狀態(tài),忽略客戶(hù)機(jī)發(fā)起的一切認(rèn)證嘗試請(qǐng)求,并且交換機(jī)的該端口將不能向客戶(hù)機(jī)提供認(rèn)證服務(wù).
3.自動(dòng)(auto):啟用802.1x認(rèn)證,初始化端口處于未授權(quán)狀態(tài),按照之前提到的認(rèn)證流程進(jìn)行認(rèn)證;認(rèn)證成功后,端口狀態(tài)轉(zhuǎn)換為授權(quán)狀態(tài).
還可以將啟用了802.1x的端口指定為單一主機(jī)(single-host)模式和多主機(jī)(multiple-hosts)模式.區(qū)別在于前者只能對(duì)其中一個(gè)客戶(hù)機(jī)進(jìn)行認(rèn)證;而后者只需要認(rèn)證其中一臺(tái)客戶(hù)機(jī),允許其他客戶(hù)機(jī)在認(rèn)證成功后訪問(wèn)網(wǎng)絡(luò)資源.下圖的AP仍然是做為客戶(hù)機(jī):

RADIUS服務(wù)器維系著一個(gè)用戶(hù)名到VLAN映射信息的數(shù)據(jù)庫(kù),基于客戶(hù)機(jī)用戶(hù)名的分配VLAN:
1.如果RADIUS服務(wù)器上沒(méi)有提供VLAN信息,或者802.1x認(rèn)證并未啟用,那么端口所屬的VLAN是由你在劃分VLAN時(shí)手動(dòng)指定的.
2.如果啟用了802.1x認(rèn)證,但是RADIUS服務(wù)器上的VLAN信息無(wú)效(VLAN信息制定錯(cuò)誤),端口將返回到未授權(quán)狀態(tài),并且仍將處于你在劃分VLAN時(shí)手動(dòng)指定的那個(gè)VLAN.
3.如果啟用了802.1x認(rèn)證,RADIUS服務(wù)器上的VLAN信息也有效,認(rèn)證成功后,端口將處于特定VLAN(根據(jù)用戶(hù)名到VLAN的映射信息決定).
4.如果端口啟用了多主機(jī)模式,當(dāng)?shù)谝粋€(gè)主機(jī)認(rèn)證成功后,所有主機(jī)將處于相同VLAN(根據(jù)用戶(hù)名到VLAN的映射信息決定).
5.如果端口同時(shí)啟用了802.1x認(rèn)證和端口安全(port security)特性,端口將處于特定VLAN(根據(jù)用戶(hù)名到VLAN的映射信息決定).
用戶(hù)名到VLAN映射這一特性不支持trunk端口和動(dòng)態(tài)VLAN端口.

可以為啟用了802.1x認(rèn)證的端口定義客戶(hù)(guest)VLAN,在客戶(hù)VLAN里只能做些有限的事情,比如這些客戶(hù)機(jī)通常是些不支持802.1x(如Windows 9

的客戶(hù)機(jī).客戶(hù)VLAN支持單一主機(jī)和多主機(jī)模式.可以把除了語(yǔ)音VLAN,RSPAN VLAN以及私有VLAN以外的任意VLAN指定為客戶(hù)VLAN.客戶(hù)VLAN只支持接入端口,不支持trunk端口和可路由端口.

除了客戶(hù)VLAN,還可以定義受限(restricted)VLAN,該VLAN是分配給無(wú)法訪問(wèn)客戶(hù)VLAN的服務(wù)受限的客戶(hù)機(jī),通常是些支持802.1x,但是認(rèn)證失敗的客戶(hù)機(jī).如果沒(méi)有這一特性,當(dāng)客戶(hù)機(jī)在多次認(rèn)證失敗后,STP將把該端口堵塞;而啟用這一特性后,交換機(jī)在3次認(rèn)證失敗(默認(rèn)情況)之后,將端口定義到受限VLAN里.可以把除了語(yǔ)音VLAN,RSPAN VLAN以及私有VLAN以外的任意VLAN指定為客戶(hù)VLAN.受限VLAN只支持單一主機(jī)模式和層2端口.

在某些CISCO IOS版本,比如CATALYST 3560系列CISCO IOS Release 12.2(25)SED及其后續(xù)版本,如果交換機(jī)無(wú)法到達(dá)RADIUS服務(wù)器,那么客戶(hù)機(jī)也將無(wú)法被認(rèn)證.這種情況下可以采用一種叫做臨界認(rèn)證(critical authentication)的方法(即inaccessible authentication bypass),將客戶(hù)機(jī)連接到臨界(critical)端口來(lái)訪問(wèn)網(wǎng)絡(luò)資源.當(dāng)啟用該特性后,交換機(jī)將檢查認(rèn)證服務(wù)器的狀態(tài),如果服務(wù)器可用,那么交換機(jī)將能夠?qū)蛻?hù)機(jī)認(rèn)證;如果服務(wù)器不可用,交換機(jī)將授權(quán)客戶(hù)機(jī)訪問(wèn)網(wǎng)絡(luò)的權(quán)限,并將端口設(shè)置為臨界認(rèn)證(critical-authentication)狀態(tài).該特性依賴(lài)于:
1.如果在認(rèn)證過(guò)程中,RADIUS服務(wù)器突然不可用,那么交換機(jī)把端口設(shè)置為臨界認(rèn)證狀態(tài)直到下一次的認(rèn)證嘗試的開(kāi)始.
2.如果端口處于未授權(quán)狀態(tài),當(dāng)客戶(hù)機(jī)連接到臨界端口時(shí)RADIUS服務(wù)器不可用,那么端口將進(jìn)入臨界認(rèn)證狀態(tài),并處于用戶(hù)手動(dòng)劃分VLAN時(shí)所指定的那個(gè)VLAN.
3.如果端口處于授權(quán)狀態(tài),當(dāng)客戶(hù)機(jī)連接到臨界端口,進(jìn)行重認(rèn)證的時(shí)候RADIUS服務(wù)器不可用,端口將進(jìn)入臨界認(rèn)證狀態(tài),端口被定義到之前RADIUS服務(wù)器所指定的那個(gè)VLAN里.

可以基于MAC地址對(duì)客戶(hù)機(jī)進(jìn)行認(rèn)證(MAC authentication bypass特性),比如在連接到打印機(jī)的端口上啟用802.1x認(rèn)證.甚至還可以將端口安全特性和802.1x認(rèn)證結(jié)合使用.

作者: 紅頭發(fā) 時(shí)間: 2007-05-14 15:24
二.配置802.1x端口認(rèn)證:
配置實(shí)例:
!
aaa new-model                                                    /---啟用AAA---/
aaa authentication dot1x default group radius          /---創(chuàng)建802.1x端口認(rèn)證方式列表---/
dot1x system-auth-control                                     /---為交換機(jī)全局啟用802.1x端口認(rèn)證---/
aaa authorization network default group radius       /---配置授權(quán),比如VLAN的分配---/
radius-server host 1.1.1.1                                     /---定義和RADIUS服務(wù)器地址---/
radius-server key 91lab                                        /---定義和RADIUS服務(wù)器通信的密碼---/
!
interface range fa0/1 – 24
switchport mode access                                        /---如果指定了RADIUS服務(wù)器,指定端口為接入端口---/
dot1x port-control auto                                        /---在端口啟用802.1x端口認(rèn)證---/
dot1x host-mode multi-host                                  /---定義客戶(hù)機(jī)機(jī)模式---/
dot1x guest-vlan 2                                              /---定義客戶(hù)VLAN---/
dot1x auth-fail vlan 2                                           /---定義受限VLAN---/
!

作者: 紅頭發(fā) 時(shí)間: 2007-05-14 15:27
三.實(shí)戰(zhàn)802.1x端口認(rèn)證:
玩轉(zhuǎn)802.1x端口認(rèn)證,以下是設(shè)備需求:
1.裝有英文版WIN2K Server(必須打SP4,IE6.0,還要裝JAVA虛擬機(jī))的PC一臺(tái)做為認(rèn)證服務(wù)器,其實(shí)ACS 4.0的用中文版的WIN2K Server也是可以的,我用的是VMWare.然后安裝CISCO Secure ACS軟件,我用的是ACS 4.0.PC配置越高越好.
2.CATALYST 3560交換機(jī)一臺(tái),做為認(rèn)證代理.別的型號(hào)也行,只要支持802.1x即可.
3.客戶(hù)機(jī)系統(tǒng)為Windows XP,再安裝ACS的客戶(hù)軟件(CISCO_SSC-XP2K-4.msi).

拓?fù)淙缦?

服務(wù)器端:
1.先新建個(gè)用戶(hù):

2.配置AAA服務(wù)端(感謝大王同學(xué)友情提供他的小黑):

3.配置AAA客戶(hù)端(其實(shí)就是802.1x的認(rèn)證代理,即CATALYST 3560):

802.1x認(rèn)證代理(CATALYST 3560)的配置如下:
!
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
!
dot1x system-auth-control
!
interface FastEthernet0/1
switchport mode access
dot1x port-control auto
!
interface Vlan1
ip address 192.168.0.3 255.255.255.0
!
radius-server host 192.168.0.167
radius-server key 123456
!

驗(yàn)證如下(認(rèn)證通過(guò)后端口狀態(tài)會(huì)轉(zhuǎn)換為AUTHORIZED):

客戶(hù)機(jī):

認(rèn)證成功:

接下來(lái)就可以訪問(wèn)網(wǎng)絡(luò)資源了,All is done!

轉(zhuǎn)載請(qǐng)保留作者信息:
作者:紅頭發(fā)(aka CCIE#15101/JNCIP Candidate)
出處:http://www.91lab.com

作者: apen 時(shí)間: 2007-05-15 10:56
不錯(cuò)，收藏一下。

作者: 學(xué)華 時(shí)間: 2007-05-19 22:29
CISCO Secure ACS軟件,ACS 4.0. 這個(gè)軟件能提供嗎這個(gè)幾年前做個(gè) 用W2K 做服務(wù)器功能有限, ACS 免費(fèi)的有人數(shù)限制嗎

作者: cnadl 時(shí)間: 2007-05-20 19:59

原帖由 學(xué)華 于 2007-5-19 22:29 發(fā)表
CISCO Secure ACS軟件,ACS 4.0. 這個(gè)軟件能提供嗎這個(gè)幾年前做個(gè) 用W2K 做服務(wù)器功能有限, ACS 免費(fèi)的有人數(shù)限制嗎

如無(wú)記錯(cuò)，這東西列表價(jià)5,6000+ 美刀

作者: helloljj 時(shí)間: 2008-06-18 14:09
謝謝提供，圖啥都沒(méi)。

作者: helloljj 時(shí)間: 2008-06-18 14:22
紅頭發(fā)，我記得在學(xué)校時(shí)看過(guò)你的文章，QOS的。

作者: ssffzz1 時(shí)間: 2008-06-18 20:13
我從來(lái)是看到這位仁兄的文章都關(guān)窗口了。

廣告內(nèi)容大于文章內(nèi)容，怎么看哦。

歡迎光臨 Chinaunix (http://www.72891.cn/)