一. 前言
通过往期3篇文章《思科ISE 对公司访客进行Portal 认证》,《思科ISE对有线接入用户进行MAC认证》,《思科ISE对有线接入用户进行802.1X认证》的学习,想必大家对网络准入已经很熟悉了。了解了每一种准入方案的使用场景,为网络的安全起到了更大的保障。
通常情况下,我们在创建ACL时都是在路由器或者防火墙上进行创建,由于每个用户对应的ACL条目并不多,如果路由器或者防火墙上的ACL条目过多时,会降低它们的性能;我们可以在AAA服务器上创建ACL,当有用户要访问网络资源时,用户需要输入用户名和密码,然后AAA服务器将这个用户所对应的ACL条目动态地下发到目标主机上,从而实现针对不同授权的用户,实现不同网络权限的访问。
二. VLAN配置下发简介
本案例以授权ACL和动态VLAN为例,简单介绍如何通过思科ISE为终端用户授权。
一. 实验拓扑
二. 组网需求
如上图所示,某公司内部大量员工终端通过SwitchA上的接口GE1/0/1接入网络。为确保网络的安全性,管理员需对终端的网络访问权限进行控制,要求如下:
三. 配置逻辑
华为交换机的配置逻辑如下图所示.
【表1】 思科ISE的配置逻辑
四. 实验设备及注意事项
本举例适用于华为V200R009C00及之后版本的所有交换机,Cisco ISE的版本为2.1,Cisco ISE作为RADIUS服务器与设备对接实现授权时,需要注意以下事项:
五. 数据规划
【表2】 接入交换机业务数据规划
【表3】Cisco ISE服务器业务数据规划
六. 配置步骤
Step 1 - 配置接入交换机SwitchA。
Step 2 - Cisco ISE 服务器侧配置
【表4】
在“Add New Standard Profile”页面,设置访问权限。
【表5】
随着信息化的快速发展,对国家、组织、公司或个人来说至关重要的信息越来越多的通过网络来进行存储、传输和处理,为获取这些关键信息的各种网络犯罪也相应急剧上升。当前,网络安全在某种意义上已经成为一个事关国家安全,社会经济稳定的重大问题,得到越来越多的重视。
在网络安全中,身份认证技术作为第一道,甚至是最重要的一道防线,有着重要地位,可靠的身份认证技术可以确保信息只被正确的“人”所访问。身份认证技术提供了关于某个人或某个事物身份的保证,这意味着当某人(或某事)声称具有一个特别的身份时,认证技术将提供某种方法来证实这一声明是正确的。
【图1-1】
常见的网络接入身份认证技术主要有三种:
通过前期给分享的文章《思科ISE对公司访客进行Portal认证(基于HTTPS协议)》,大家应该对WebAuth认证很熟悉了。今天跟大家聊聊如何利用MAC认证方式为网络设备做接入认证。下一期文章将为大家分享,如何使用802.1x认证方式做网络接入认证。
MAC认证是网络接入控制方案(NAC)中的一种,它是基于接口和MAC地址对用户的网络访问权限进行控制的认证方法,并且不需要用户安装任何客户端软件。通过MAC认证能够实现保护企业内网的安全性的目的。MAC认证无需用户终端安装客户端,但是却需要在服务器上登记MAC地址,如果为每台终端设备做接入MAC地址记录。工作量非常大。所以通常,MAC认证一般适用于打印机、传真机等哑终端接入认证的场景。
1. 使用不同用户名格式的MAC地址认证
目前设备支持两种方式的MAC地址认证,通过RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器进行远程认证和在接入设备上进行本地认证。
根据设备最终用于验证用户身份的用户名格式和内容的不同,可以将MAC地址认证使用的用户帐户格式分为两种类型:
2. MAC地址两种认证类型介绍
2.1 RADIUS服务器认证方式进行MAC地址认证(本文将以RADIUS服务器方式为例为大家介绍)
当选用RADIUS服务器认证方式进行MAC地址认证时,设备作为RADIUS客户端,与RADIUS服务器配合完成MAC地址认证操作:
2.2 本地认证方式进行MAC地址认证
当选用本地认证方式进行MAC地址认证时,直接在设备上完成对用户的认证。需要在设备上配置本地用户名和密码:
Part 2 - 实验配置
一. 实验拓扑
【图2-1】
二. 实验需求
三. 配置逻辑
【图2-2】 华为交换机的配置逻辑
【表1】 思科ISE的配置逻辑
四. 实验设备及注意事项
五. 数据规划
【表2】交换机接口和VLAN规划
【表3】 网络设备IP地址规划
【表4】交换机业务数据规划
六. 实验步骤
Step 1 - 交换机VLAN配置。
2. 按照VLAN规划,将接口加入对应的VLAN。
Step 2 - Cisco ISE,业务服务器,终端IP地址配置略。
Step 3 - 交换机侧配置。
Step 4 - 配置ISE。
打开Internet Explorer浏览器,在地址栏输入ISE的访问地址,单击“Enter”。输入ISE管理员账号和密码登录ISE。
前言
通过上篇文章《思科ISE对有线接入用户进行MAC认证》你应该了解了NAC中的MAC认证方式不需要安装客户端,但是需要在认证服务器上登记MAC地址,管理比较复杂;那么这篇文章给大家介绍的是(NAC)中的另外一种802.1X认证,802.1X认证是网络接入控制方案,是一种基于端口的网络接入控制协议,通过它能够实现保护企业内网的安全性的目的。802.1X认证安全性较高。
802.1X理论介绍
1) 客户端是请求接入局域网的用户终端设备,它由局域网中的设备端对其进行认证。客户端上必须安装支持802.1X认证的客户端软件。
2) 设备端是局域网中控制客户端接入的网络设备,位于客户端和认证服务器之间,为客户端提供接入局域网的端口(物理端口或逻辑端口),并通过与服务器的交互来对所连接的客户端进行认证。
3) 认证服务器用于对客户端进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。认证服务器根据设备端发送来的客户端认证信息来验证客户端的合法性,并将验证结果通知给设备端,由设备端决定是否允许客户端接入。在一些规模较小的网络环境中,认证服务器的角色也可以由设备端来代替,即由设备端对客户端进行本地认证、授权和计费。
下图显示了受控端口上不同的授权状态对通过该端口报文的影响。图中对比了两个802.1X认证系统的端口状态。系统1的受控端口处于非授权状态,不允许报文通过;系统2的受控端口处于授权状态,允许报文通过。
3)受控方向
在非授权状态下,受控端口可以处于单向受控或双向受控状态。
802.1X系统使用EAP(Extensible Authentication Protocol,可扩展认证协议)来实现客户端、设备端和认证服务器之间认证信息的交互。EAP是一种C/S模式的认证框架,它可以支持多种认证方法,例如MD5-Challenge、EAP-TLS、PEAP等。在客户端与设备端之间,EAP报文使用EAPOL封装格式承载于数据帧中传递。在设备端与RADIUS服务器之间,EAP报文的交互有以下两种处理机制。
1). EAP中继
设备对收到的EAP报文进行中继,使用EAPOR(EAP over RADIUS)封装格式将其承载于RADIUS报文中发送给RADIUS服务器进行认证。
2). EAP终结
设备对EAP认证过程进行终结,将收到的EAP报文中的客户端认证信息封装在标准的RADIUS报文中,与服务器之间采用PAP(Password Authentication Protocol,密码验证协议)或CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)方法进行认证。
1). EAP中继方式
这种方式是IEEE 802.1X标准规定的,将EAP承载在其它高层协议中,如EAP over RADIUS,以便扩展认证协议报文穿越复杂的网络到达认证服务器。一般来说,需要RADIUS服务器支持EAP属性:EAP-Message和Message-Authenticator,分别用来封装EAP报文及对携带EAP-Message的RADIUS报文进行保护。
IEEE 802.1X认证系统的EAP中继方式业务流程
2). EAP终结方式
这种方式将EAP报文在设备端终结并映射到RADIUS报文中,利用标准RADIUS协议完成认证、授权和计费。设备端与RADIUS服务器之间可以采用PAP或者CHAP认证方法。下面以CHAP认证方法为例介绍基本业务流程。
IEEE 802.1X认证系统的EAP终结方式业务流程
一.实验拓扑
二.实验需求
三.实验设备及注意事项
四. 思科ISE的配置逻辑
【表1】 思科ISE的配置逻辑
五. 数据规划
【表2】交换机接口和VLAN规划
【表3】网络设备IP地址规划
【表4】交换机业务数据规划
【表5】ISE业务数据规划
六. 实验步骤
Step 1 - 交换机VLAN配置。
Step 2 - Cisco ISE,业务服务器,终端IP地址配置略。
Step 3 - 交换机侧配置。
Step 4 - Cisco ISE 配置
参数说明:
设备名称:Switch
IP地址:192.168.100.254,交换机上该接口必须与ISE互通。
RADIUS密钥:Helperaddress@2019,必须与交换机上配置的RADIUS认证和计费密钥一致
Step 5 - 认证终端安装802.1x服务
Step 5 - 检查配置结果
欢迎分享,转载请注明来源:夏雨云
微信扫一扫
支付宝扫一扫
评论列表(0条)