在实践中,我们利用Cisco Secure ACS v3.1软件和Cisco Catalyst 3550-24-EMI(IOS:12.1(14)EA1 EMI)交换机结合,通过802.1x认证实现了局域网自动分配VLAN。
下面介绍具体的配置过程:
1、在ACS服务器端配置与802.1x相关内容:
要配置VLAN自动分配,必须使用IETF所规定的VSA(Vendor-specific attributes)值。
配置802.1x动态分配VLAN所用到的VSA值规定如下:
[64] Tunnel-Type = VLAN
[65] Tunnel-Medium-Type = 802
[81] Tunnel-Private-Group-ID = VLAN名称或VLAN号(本文中用VLAN 192)
小提示:Cisco Secure ACS在3.0版本之前并不支持802.1x,所以要在服务器端安装版本3.1。
因为802.1x使用Radius进行认证,所以在选用认证协议时应选用Radius(IETF),而缺省是Cisco的TACACS+。
在Interface Configuration中对Radius(IETF)进行配置,在组用户属性中选中[64]Tunnel-Type、[65]Tunnel-Medium-Type、[81]Tunnel-Private-Group-ID。
在Group Setup中对Radius Vendor-Specific Attributes值进行编辑:选中[64]Tunnel-Type,将tag 1的值选为VLAN;选中[65] Tunnel-Medium-Type,将tag 1的值选为802;选中[81]Tunnel-Private-Group-ID,将tag 1的值设为192,表明为VLAN 192。
设置完后,按Submit+Reset键提交并立即生效。
2、3550交换机上配置与802.1x相关的内容:
Cisco 3550交换机上的相关配置:
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius /说明(1)/
dot1x system-auth-control /说明(2)/
interface FastEthernet0/1
description to Server
switchport mode access
dot1x port-control auto /说明(3)/
dot1x max-req 3
spanning-tree portfast
radius-server host 192.168.1.1 auth-port 1812 acct-port 1813 key bocfjacs1 /说明(4)/
radius-server vsa send authentication /说明(5)/
说明:
(1)如果只是做802.1x认证,则aaa authorization network这句可不要。如要做VLAN分配或per-user ACL,则必须加上network authorization。
(2)在12.1(14)EA1版以后,802.1x的配置有了修改,此语句作用是启用802.1x认证。
(3)dot1x port-control auto语句在F0/1口上启用802.1x认证,另外注意我们并没有给F0/1口划分VLAN。
(4)radius-server host 192.168.1.1语句定义radius server的IP地址,并给出验证字串为bocfjacs1。
(5)radius-server vsa send authentication语句允许交换机识别和使用VSA值—要配置VLAN自动分配必须使用IETF所规定的VSA值。
3、客户机端的设置:
客户机端多是安装了Windows XP或Windows 2000操作系统的计算机。Windows XP内置对802.1x的支持,微软在前不久出了一个补丁可以让Windows 2000也支持802.1x。
注意:Windows 2000 SP4也内置了对802.1x的支持,而SP3以下可使用此补丁:http://support.microsoft.com/default.aspx?scid=kb;en-us;313664。
安装完此补丁后,802.1x默认是不启动的,可在服务中手动打开Wireless Configuration服务。打开此服务后,在网卡连接属性中会多出一栏Authentication,在此栏中选中Enable network access control using IEEE 802.1x项,同时在EAP type中选中MD5-Challenge。
4、测试配置是否成功:
在完成以上配置后,可以看到在启用了802.1x认证的F0/1口上状态灯显示为黄灯。而在客户机端过一会后会弹出一个认证窗口。在用户名/密码处填入ACS中定义好的用户名/密码,域名处不用填,同时观察Windows托盘区的连接图标,上面会有和认证服务器联系及认证用户的浮动提示,F0/1的状态灯也会顺利转换为绿灯。
认证通过后检验VLAN值是否已正确分配:
ping VLAN 192的网关地址——ping 192.168.1.254,正常;
ping其它VLAN的网关地址——ping 22.224.64.254,正常;
打开IE浏览网页看可否上互联网,正常。
由此可以确认配置成功!
小技巧
与防火墙的数据包过滤原理不同,AAA认证主要是对用户身份实施检验和权限设定,它的具体内容包括:
·Authentication(身份鉴定)—判断“Who are you(您是谁)”,了解您是否是一个合法的用户。它用到的判别依据通常是用户名+密码,但视具体使用技术,也可能更为严密。
·Authorization(授权)—判断“What you''re allowed to do(您允许做什么)”,它跟Authentication紧密结合,在了解用户身份的同时了解该用户的特权级别,确定各项应用或读写操作中哪些是可以做的,哪些是不被允许的。
·Accounting(审计)—判断“What you did and when(您做过什么,在什么时候)”,安全检验不是一次性的,它还需要结合时间轨迹。Accounting提供的跟踪功能使网络管理员能及时发现用户的非法企图,从而防患于未然。同时,审计结果也成为网络应用计费的依据。
文章转载地址:http://www.365master.com/kt_article_show.php?article_id=1880&categ_code=10071007
