感谢支持
我们一直在努力

Cisco 利用 802.1X,动态VLAN和DHCP技术实现方案

一、前言   


各行各业网络的快速发展,尤其是企业局域网的建设发生了日新月异的变化。金融业电子商务、网上办公、业务系统处理已 应用工作中的方方面面,但是由于局域网大量建设、网络接入的灵活性、开放性给企业安全管理带来了新的课题,如何建立安全灵活的可有效防范的企业局域网安全 摆在各企业IT管理者的面前。目前发生在各金融行业的安全事件中,大多是由于不合理的使用网络资源、病毒传播造成网络拥挤、随意更改IP地址银企网络冲 突、移动办公用户随意接入等不确定因素造成,给金融行业信息系统安全生产运行带来了严峻挑战。


  在网络接入点控制、地址分配、资源管理利用、授权访问等方面,很有必要研究技术手段解决网络接入带来的安全隐患。本文主要在网络接入点控制 和授权访问方面进行分析。目前局域网身份主要采取PPPoE,WEB+Portal,EAPoL等方式,前两种方案硬件投入大且无法有效的解决认证安全的 问题,尤其是接入点控制。IEEE 802.1X标准认证协议和动态VLAN的引入,在以太网交换机端口实现对用户认证、授权,,以其实现技术简单、灵活、投入收成为企业局域网的首选。利用 802.1X和RADIUS认证服务器的授权控制,根据用户不同动态分配交换机端口VLAN属性、ACL控制、利用DHCP分配IP地址实现较灵活的控 制,实现了用户地址分配和一定范围内的移动办公需求。整套方案应用成熟,易于实现,给企业局域网安全管理提供了一种有效的解决途径。


  二、技术简介


  1、IEEE 802.1X认证协议


它是基于C/S结构面向端口的访问控制认证协议。交换机端口有几种状态Block、 Listen、Learn和Forward,如果端口不配置认证,PC配置相应的地址即可访问网络。通过对端口802.1X的配置,端口处于受控状态 Authen和UNAuthen,在未认证状态下,端口仅收发EAPoL等认证包信息,不允许存取网络,如果未配置VLAN,端口处于那个VLAN都未 知;在认证通过后,根据用户在服务器上的配置,端口分配相应特性,才可以存取网络。这正是我们所需要的特性。


802.1X体系有三部分构成,客户机、交换机存取设备和认证服务器。图示:


Client:实现EAPoL的请求和应答,目前Win2000、WIN XP 、WIN2003、vista均内置了认证客户端软件,WIN98SE、Linux需要相应客户端软件的支持,可选用第三方的802.1X认证软件。


交换机:认证存取点,可以选取支持认证的无线AP和支持二层以上的交换机。应注意支持的兼容性,对802.1x和RFC RADIUS支持良好。尽管许多厂商都宣称支持802.1X,存在很多兼容性问题,往往引起工程实施中的难度。


认证服务器:实现客户端身份认证,并下发RADIUS的属性。应选用对IETF支持良好的服务器,常用的有CISCO ACS3.1-3.3,华为的CAMS等。


  总之,在工程实施中,应选用对802.1X、RFC RADIUS支持兼容好,注意各应用系统的软件版本,如Windows、交换机IOS和RADIUS的版本,这是工程成功的很重要的部分。


2、动态VLAN


是指根据交换机的某个设定,将端口划分到一个VLAN中。划分VLAN的条件有很多,根据MAC地址(MACBase)、不同的身份认证。RFC RADIUS服务器支持VLAN信息属性,可以把基于064(Tunnel-Type),065(Tunnel-Type),081(Tunnel- Private-Group-ID)的VLAN设定端口。所有用户及相关信息存于RADIUS服务器上,可以根据用户地址的变化调整用户的配置,并且用户 可以通过CISCO UCP WEB方式修改自己的密码。


3、DHCP


动态主机配置协议DHCP(Dynamic Host Configuration Protocol) 是一个简化主机IP地址分配管理的TCP/IP 标准协议,使网络管理员可以集中管理一个网络IP资源系统,对网络中的IP地址进行自动分配。DHCP免除了管理员人为分配和改变IP地址的工作,减少网 络管理的工作量。DHCP可以动态的或永久的给主机分配IP地址,也可以回收那些不用的或者分配使用时间到期的IP地址,从而这些地址可以再分配给其他用 户使用。


  三、相关要求


  1、认证服务器:支持IETF标准的服务器,最好为CISCO ACS 3.0以上版本,一定要安装在Win2000英文服务器版本。


2、交换机支持VLAN划分和802.1X协议,为了实现动态VLAN和多个二层交换机的Trunk接入,核心应选用三层交换机。一般规模的局域网建议 选用CISCO3550EMI,各种交换机的IOS要选择正确的版本,才能快速解决工程实施中的问题和异常。如CISCO IOS 12.1(14)EA1以上,华为3026E VRP 3.10R0032以上,不同的品牌的交换机不同。


  3、客户端操作系统比较常用的Windws,Linux等。Win 2000SP4,Win XP,Win2003、vista均内置了对802.1X的支持,Win98、Linux需要客户端软件的支持。比较常见的802.1X客户端有华为、港湾等。


  四、解决方案


  1、方案要点


一台CISCO 3550,IOS 12.1.(14)EA1,三台华为3026E,VRP3.10R0032在3550上划分4个VLAN,见下表:


VLAN Id  IP地址      掩码     网路地址


100  10.1.0.254   255.255.255.0  10.1.0.0


110  10.1.10.254   255.255.255.0  10.1.10.0


120  10.1.20.2254  255.255.255.0  10.1.20.0


130  10.1.30.254   255.255.255.0  10.1.30.0


   三台华为3026E的地址配置在Vlan100上,分别为10.1.0.251,10.1.0.252,10.1.0.253。交换机和 ACS的MD Key统一设定为newman。ACS 3.3服务器属于VLAN100的地址,地址为10.1.0.250。DHCP用Win 2000Server内置的DHCP服务器。802.1X用华为V2.20-0231版、港湾的客户端软件。


  2、ACS3.3安装配置要点


安装Win2000 Server英文版,ACS 3.3按默认IETF选项安装,配置


   (1)增加Server配置中的AAA Server和Client


AAA Server:10.1.0.250


AAA Client:10.1.0.251,10.1.0.252,10.1.0.253,10.0.254


   (2)配置RADIUS的Interface,支持064,065,081属性


   (3)配置全局属性System Blobal支持EAP-MD5 Challege认证报文


   (4)修改组属性


组名  064  065  081   其他默认


group100  Vlan  802  100   可选


group110  Vlan  802  110   如时间等


group120  Vlan  802  120


group130  Vlan  802  130


   (5)RADIUS服务器增加4个用户


用户名  所属组  其他属性


User100  Group100  可选


User110  Group110  如session等


User120  Group120


User130  Group130


  3、DHCP安装配置要点


安装Win2000的DHCP服务,配置如表所示的四个作用域,其他可选默认选项


用域   地址范围        掩码        网关


Vlan100 10.1.0.1-10.1.0.249    255.255.255.0   10.1.0.254


Vlan110 10.1.10.1-10.1.10.249   255.255.255.0   10.1.10.254


Vlan120 10.1.20.1-10.1.20.249   255.255.255.0   10.1.20.254


Vlan130 10.1.30.1-10.1.30.249   255.255.255.0   10.1.30.254


  4、CISCO3550配置


    定义AAA


aaa new-model配置通过RADIUS认证


aaa authen dot1x default group radius


aaa author network default radius


dot1x system-auth-control 启用802.1X


radius-server host 10.1.0.250 key newman 指定认证服务器


radius-server vsa seng authentication可以接受VSA信息


int vlan100定义Vlan接口及地址、DHCP服务器地址


ip addr 10.1.0.254 255.255.255.0


int vlan110


ip addr 10.1.10.254 255.255.255.0


ip help-address 10.1.0.250


int vlan120


ip addr 10.1.20.254 255.255.255.0


ip help-address 10.1.0.250


int vlan 130


ip addr 10.1.30.254 255.255.255.0


ip help-address 10.1.0.250


ip routing 启用路由功能


service dhcp启用DHCP服务


int f0/1 一端口示例,启用802.1X认证


switchport mode access


dot1x port-control auto


spanning-tree portfast


这样当接入F0/1的PC通过用户user100的认证,将分配vlan100和10.1.0.0的网络地址,用户user110的认证,将分配vlan110和10.1.10.0的网络地址,其他类同。


   5、华为3026E配置


radius scheme system定义radius scheme


server-type stand 定义服务器的标准为IETF模式


primary authen 10.1.0.250 定义认证服务器


primary accounting 127.0.0.1 1646如果需要计费配置相应服务器地址


accounting optinal 必选项


keu authen newman Md key的值


user-name-format without-domain传输用户名为标准,不添加域


domain system


radius-scheme system 指定domain为system


access-limit disable


state active


vlan-assignment string指定华为接受的vlan号为字符串模式


domain default enable system指定系统的默认domain为system


local-server nas-ip 127.0.0.1 key newman指定AAAclient地址,用于AAA服务器认证


dot1x 启用全局的802.1X协议


dot1x authen eap 指定认证模式为eap-md5


vlan 100定义可以传输的VLAN


int e0/1 一端口的示例,启用认证协议


dot1x

赞(0) 打赏
转载请注明出处:服务器评测 » Cisco 利用 802.1X,动态VLAN和DHCP技术实现方案
分享到: 更多 (0)

听说打赏我的人,都进福布斯排行榜啦!

支付宝扫一扫打赏

微信扫一扫打赏