802.1x访问控制(一)

不论是×××也好,还是802.1x都是为了进行网络安全规划所诞生的,在上章PDF中,×××用来进行对Internet中传输的数据进行加密,而本章的802.1x是提供访问控制。简单来说,传统网络模型下,当用户使用PC连接企业内部的交换机,就可以访问企业内部资源,交换机不能提供身份验证,面对这一缺憾,802.1x就是这个作用,提供2层的访问控制。802.1x的网络模型中,含有客户端,交换机,验证服务器三个组件。当客户端接入交换机的时候,需要通过验证服务器来验证准入。这就是简单的描述了802.1x访问控制。

其中的验证服务器我们称为AAA服务器,包括验证,授权,统计三个功能,在本章介绍中,所使用的radius服务器使用UDP的1645或1812用于验证和授权,端口1646或1813用于统计。

本章我们也通过实验来体现802.1x的访问控制是如何完成的。

实验拓扑:

我们使用PC连接交换机的F0/1接口,当接入接口的时候,需要通过RADIUS服务器进行验证,只有验证通过之后才能正常访问内部网络。

wps_clip_p_w_picpath-28863

首先需要安装Java,是安装ACS服务器(RADIUS)之前所需要的。

wps_clip_p_w_picpath-699

安装ACS4.2版本,使用4.2版本Java需要jre-6u14-windows-i586-s版本以上。

wps_clip_p_w_picpath-31923

当安装到下图的界面时候,这里需要验证服务器能够正常连接等需求,全部勾选,选择下一步即可。

wps_clip_p_w_picpath-22071

wps_clip_p_w_picpath-11734

交换机IP地址配置。

wps_clip_p_w_picpath-2851

下面就进入RADIUS服务器进行配置,安装完成之后在IE浏览器中输入http://127.0.0.1:2002进行访问。

wps_clip_p_w_picpath-21676

第一个任务需要添加管理员,在administration control中点击add administrator进行添加管理员。

wps_clip_p_w_picpath-27123

输入管理员用户名和密码,点击grant all给管理员添加所有权限,然后点击submit提交。

wps_clip_p_w_picpath-20971

之后选择network configration进行网络配置,在这里需要进行客户端和服务器两方面的配置,这里的客户端不是802.1x中的客户端,是指其中的交换机。首先点击配置服务器。

wps_clip_p_w_picpath-27209

这里需要配置以下几项,Key ,共享密钥,AAA服务器类型,选择RADIUS,端口我们使用默认的。

wps_clip_p_w_picpath-6480

客户端配置只需将交换机的IP地址和密钥填入就可以了。

wps_clip_p_w_picpath-10508

之后选择user setup添加用户,以便最后进行验证。

wps_clip_p_w_picpath-21458

输入用户名密码提交即可。

wps_clip_p_w_picpath-29756

进入Group Setup进入组设置,选择edit settings进行编辑。

wps_clip_p_w_picpath-25786

根据本章的实验拓扑,那么勾选,064,065选项,设置传输类型为VLAN,802协议。

wps_clip_p_w_picpath-16958

完成之后,RADIUS服务器的配置就完成了,下面进行交换机上的配置,输入以下命令即可。这里要说的就是dot1x port-control auto,这里是将端口设置为自动模式,则需要通过验证才能进行连接。

wps_clip_p_w_picpath-28712

验证方法将网卡的IEEE802.1x验证方式改为MD5模式即可,弹出需要输入用户密码的对话框,然后进行输入在服务器上配置的用户密码并进行验证即可。

802.1x访问控制(二)穿越代理

    上一章内容我们实现了验证,本章通过设置穿越代理完成授权的过程,如以下拓扑。

wps_clip_p_w_picpath-22713

当PC 192.168.1.12连入之后,通过ACS服务器进行认证和授权。同样,先安装ACS服务器,这里就不多介绍了。

wps_clip_p_w_picpath-14089

wps_clip_p_w_picpath-18241

根据拓扑规划PC和服务器的IP地址。

wps_clip_p_w_picpath-31635

wps_clip_p_w_picpath-15450

WEB服务器的IP地址。

wps_clip_p_w_picpath-31422

通过虚拟目录建立两个IP地址,不同的用户可以访问不同的地址。从而验证实验。

wps_clip_p_w_picpath-12189

关于安装ACS之后需要添加管理员,设置网络这里就不做介绍了,上章都有详细说明,关于上章的组中的设置就不需要。

首先需要添加ACL应用。

wps_clip_p_w_picpath-10827

勾选ACL应用。然后提交。

wps_clip_p_w_picpath-29194

然后进入shared profile进行ACL的设置。

wps_clip_p_w_picpath-10341

点击ADD进行添加访问控制列表。

wps_clip_p_w_picpath-32192

输入访问控制列表的名称

wps_clip_p_w_picpath-28890

通过permit控制访问

wps_clip_p_w_picpath-26812

然后进入组设置中,进行用户组对ACL的应用。

wps_clip_p_w_picpath-19832

这是在ASA上的IP地址的配置。

wps_clip_p_w_picpath-14926

ASA创越代理的配置。

wps_clip_p_w_picpath-25120

配置完成后当访问WEB服务器的时候就会激活认证,通过不同的用户就可以验证访问控制列表的实现。

wps_clip_p_w_picpath-8541

802.1x访问控制(二)通过AAA服务器为远程接入×××认证授权

通过本章的名称就可以想到本章的内容,当外部的员工通过×××的方式连入局域网,也需要通过验证服务器授权访问。

实验如以下拓扑:

wps_clip_p_w_picpath-31360

IP地址配置。验证服务器地址

wps_clip_p_w_picpath-14776

外部PC地址。

wps_clip_p_w_picpath-11929

ASA IP地址配置。

wps_clip_p_w_picpath-16646

WEB服务器地址

wps_clip_p_w_picpath-23677

WEB服务器配置。

wps_clip_p_w_picpath-24592

安装ACS服务器

wps_clip_p_w_picpath-10467

wps_clip_p_w_picpath-4983

×××服务器的配置(管理连接配置)

wps_clip_p_w_picpath-1416

建立隧道组。

wps_clip_p_w_picpath-22300

配置加密地图和传输集。

wps_clip_p_w_picpath-29562

ACS的服务器配置

wps_clip_p_w_picpath-4545

客户端配置

wps_clip_p_w_picpath-10423

添加应用

wps_clip_p_w_picpath-27305

添加地址池。

wps_clip_p_w_picpath-15303

配置地址池的地址范围,当×××接入之后直接通过ACS服务器进行地址池的分发。

wps_clip_p_w_picpath-16706

配置ACL访问控制列表。

wps_clip_p_w_picpath-19777

在组上应用访问控制列表。与上章一样,不同的用户应用不同的访问控制列表。

wps_clip_p_w_picpath-32545

之后配置完ACS服务器,需要在PC上安装easy ***的客户端,用于连接×××。

wps_clip_p_w_picpath-9817

连入之后就可以测试了。

wps_clip_p_w_picpath-32470

本次内容用于建立802.1x访问控制的配置,这里也将路由交换的配置粘贴在下方,用来范例,方便大家学习使用。

Easy×××_for_ASA_and_RADIUS

aaa-server aaa protocol radius

aaa-server aaa (inside) host 192.168.1.2

key cisco

exit

crypto isakmp enable outside

crypto isakmp policy 10

encryption aes

hash sha

authentication pre-share

group 2

exit

tunnel-group ez*** type ipsec-ra

tunnel-group ez*** general-attributes

authentication-server-group aaa

exit

tunnel-group ez*** ipsec-attributes

pre-shared-key cisco123

exit

crypto ipsec transform-set test esp-aes esp-sha-hmac

crypto dynamic-map ***_dymap 10 set transform-set test

crypto map mymap 1000 ipsec-isakmp dynamic ***_dymap

crypto map mymap int outside

SSL_×××for_ASA_and_RADIUS

aaa-server aaa protocol radius

aaa-server aaa (inside) host 192.168.1.2

key cisco

exit

web***

port 444

enable outside

svc p_w_picpath disk0:/sslclient-win-1.1.3.173.pkg

svc enable

exit

group-policy ***_group_policy internal

group-policy ***_group_policy attributes

***-tunnel-protocol web*** svc

web***

svc ask enable

exit

exit

tunnel-group ***_group type web***

tunnel-group ***_group general-attributes

default-group-policy ***_group_policy

authentication-server-group aaa

exit

tunnel-group ***_group web***-attributes

group-alias groups enable

exit

web***

tunnel-group-list enable

exit