第5章 交换机端口安全及认证 5.1 交换机端口安全及配置 5.2 在三层交换机上配置访问控制列表ACL 5.3 交换机端口安全认证简介
5.3 交换机端口安全认证简介 5.3.1 AAA 5.3.2 IEEE802.1X
5.3.1 AAA AAA是验证、授权和记账(Authentication、Authorization、Accounting )三个英文单词的简称。其主要目的是管理哪些用户可以访问网络服务器,具有访问权的用户可以得到哪些服务,如何对正在使用网络资源的用户进行记账。具体为: 验证(Authentication): 验证用户是否可以获得访问权限; 授权(Authorization) : 授权用户可以使用哪些服务; 记账(Accounting) : 记录用户使用网络资源的情况。
1.AAA的体系结构 NAS 远程PC 认证服务器 RADIUS服务器 TACACS+服务器 工作站 请求者 认证者
AAA配置 1、开启AAA: 使用下列命令可以开启AAA,要禁用AAA,使用no aaa new-model。 NAS(config)#aaa new-model 注意:除非已经策划好了AAA环境,否则不要启动AAA。因为启动了AAA会对接入交换机或路由器等NAS的Telnet客户进行AAA强制认证。这时,除了访问控制台外不能通过任何方式访问NAS。
2、配置AAA认证服务器 (1)配置TACACS+服务器地址和共享密钥: 如果TACACS+服务器的IP地址为192.168.0.11,共享密码为tpass,则配置命令如下: NAS(config)#tacacs-server host 192.168.0.11 tacacs-server key tpass NAS#show tacacs (2)配置RADIUS服务器地址和共享密钥: 同理,如果RADIUS服务器的IP地址为192.168.0.22,共享密码为rtpass,则配置命令如下: NAS(config)#radius -server host 192.168.0.22 NAS(config)#radius -server key rpass NAS#show radius
2、配置AAA认证服务器 (3)配置本地用户及密钥 如果即没有TACACS+服务器,也没有RADIUS服务器。那么只有在NAS上配置本地用户进行验证了。但其功能比较简单,只有认证功能,没有授权及统计功能。配置命令如下: NAS(config)#username name secret password //配置密码为加密的普通本地用户 NAS(config)#username name privilege level password password //配置具有特权级别的用户。 如:NAS(config)#username lzg privilege 14 password teacher
3、配置AAA验证方式 4、配置AAA授权 5、配置AAA统计 AAA验证可以应用在经由PPP的客户连接、访问线路或进入特权模式。其命令格式为 NAS(config)#aaa authentication type {default}|list-name method1 {…[method4]} 4、配置AAA授权 AAA授权限制用户可以使用的服务权限。其命令格式为: NAS(config)#aaa authorization type {default}|list-name method1 {…[method4]} 5、配置AAA统计 与验证和授权类似,统计的方法列表定义了如何执行统计以及执行这些方法的顺序。其命令格式如下: NAS(config)#aaa accounting type {{default}|list-name} record-type method1 {…[method4]}
5.4.2 IEEE802.1X 1.IEEE802.1X功能 802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
2.IEEE802.1体系结构 与AAA系统体系结构类似,IEEE802.1的体系结构也包括如下图所示的3部分: 请求者 802.1x客户 认证服务器 RADIUS 认证者 交换机或AP
2.IEEE802.1体系结构 系统体系结构: 请求者:被认证的用户/设备。它请求访问LAN和交换机服务。请求者必须运行遵从802.1x的客户软件,如在XP以上的Windows操作系统中的软件; 认证者:对接入的用户/设备进行认证的设备或设备端口。它一般为支持RADIUS客户和802.1软件的交换机或无线接入点AP; 认证服务器:根据认证者的信息,对请求访问网络资源的用户/设备进行实际认证功能的设备。它一般是一个或多个RADIUS服务器。如果认证者采用本地认证,则认证服务器可以省略 。
3.IEEE802.1x工作过程 (1)当用户有上网需求时打开802.1X客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。此时,客户端程序将发出请求认证的报文给交换机或AP,开始启动一次认证过程。 (2)交换机或AP收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。 (3)客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给交换机。如果是采用RADIUS认证服务器认证,交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。如果采用本地认证,交换机或AP查询自己的用户数据库进行认证处理。
(4)认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给交换机,由交换机传给客户端程序。 (5)客户端程序收到由交换机传来的加密字后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的),并通过交换机传给认证服务器。 (6)认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,反馈认证失败的消息,并保持交换机端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。
4.IEEE802.1x配置 全局配置命令如下: aaa authentication dot1x default method1 [method2] 验证方法method1至method2为按顺序执行的验证方法,只有前一个方法返回ERROR才进行下一种方法的验证。因此为了最后能够访问设备,一般选择none为最终验证方法。常用的验证方法有: Local:本地验证,在交换机或AP本地建立用户数据库进行认证。如果是唯一认证验证方法或与none相结合,则可以省略RADIUS服务器; Group radius:采用RADIUS服务器验证,也是最常用、最适合大型网络使用的验证方法。在开启802.1X认证之前,一定要部署好RADIUS服务器,并且在交换机或AP上设置好RADIUS服务器的IP地址; None:不验证。如果没有部署RADIUS服务器或本地建立用户数据库,则可以采用该方法开启802.1X认证。也可以作为第2种验证方法以保证用户能够接入交换机,但已经达不到802.1X的验证功能了;
4.IEEE802.1x配置 实例:下面在三层交换机3550-1上的所有端口配置IEEE802.1X。AAA认证所使用的为本地用户名和密码。 3550-1#configure terminal 3550-1(config)#aaa new-model /启用AAA认证。 3550-1(config)#aaa authentication dot1x default local /全局启用802.1X协议认证,并使用本地用户名与密码。 3550-1(config)#int range f0/1 -24 3550-1(config-if-range)#dot1x port-control auto /在所有的接口上启用802.1X身份验证。 3550-1#show dot1x /显示802.1配置信息