CCIE试验备考之交换security(2)
生活随笔
收集整理的這篇文章主要介紹了
CCIE试验备考之交换security(2)
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
第二部分? IEEE 802.1X管理網絡訪問安全
IEEE 802.1x訪問控制特性是一種基于行業標準的第2層訪問控制方法,提供了集中管理功能。IEEE 802.1x訪問控制特性還被廣泛應用于無線網絡。
?
使用802.1x的時候,在交換機接收器端口連接的工作站發送的數據包之前,將請求身份驗證服務器對工作站進行身份驗證。在身份驗證服務器驗證工作站的身份之前,802.1x訪問控制特性只允許EAPOL(Extensible Authentication Protocol over LAN,LAN上的可擴展身份驗證協議)通信流通過工作站連接的端口。通過身份驗證后,常規通信流才能通過該端口。
基于端口的802.1x身份驗證涉及3種設備:
*?客戶(client)---使用802.1x請求網絡對其進行身份驗證的工作站。當前,只有Microsoft Windows XP和Windows 2003內置了對802.1x支持功能
*?身份驗證服務器(Authentication server)---負責驗證交換機轉發的客戶請求。當前,身份驗證服務器是安裝了EAPOL擴展的RADIUS服務器。
*?交換機---負責將客戶請求轉發給身份驗證服務器,并在客戶通過身份驗證后授予其訪問網絡的權限。在802.1x運行期間,交換機實際上是代理
交換機端口的狀態決定了客戶是否能夠訪問網絡。端口開始處于未經授權(unauthorized)狀態。在這種狀態下,除802.1x協議數據包外,端口不允許任何入站通信流和出站通信流通過。客戶通過身份驗證后,端口將切換到授權(authorized)狀態,允許來自客戶的通信流通過。如果交換機請求客戶表明其身份(證明方發起的),而客戶不支持802.1x,端口將保持未經許可狀態,客戶不能訪問網絡。
相反地,當啟用了802.1x的客戶連接到端口,并向交換機發送EAPOL啟動幀一啟動身份驗證過程(懇求方發起),而交換機沒有運行802.1x協議,無法響應客戶時,客戶將開始發送數據幀,就像端口處于許可狀態一樣。 2.驗證開始和消息交換
交換機或客戶可以發起驗證。如果一個端口上使用dot1x port-control auto接口配置命令啟動驗證,那么交換機必須在確定該端口鏈路狀態從down轉換為UP時發起驗證。交換機接著向客戶發送一個EAP-請求/身份幀來請求它的身份。根據收到的幀,客戶響應一個EAP-響應/身份幀。
?
如果在啟動期間客戶沒有收到一個來自交換機的EAP-請求/身份幀,那么客戶可以發送一個EAPOL-開始幀來發起驗證。這提示交換機要請求客戶的身份。
如果網絡接入設備上沒有啟用或支持802.1X,則會丟棄任何來自客戶的EAPOL幀。如果客戶在嘗試開始驗證的指定次數之后還未收到EAP-請求/身份幀,那么客戶將發送幀如同端口已處于授權狀態。出于授權狀態的端口實際上意味著客戶已被成功驗證了。
當客戶提供其身份是,交換機開始他的中介職責,在客戶和驗證服務器之間傳遞EAP幀直到驗證成功或失敗。如果授權成功,交換端口即被授權
EAP幀的詳細交換基于所使用的驗證方法。如圖,由客戶發起的與RADIUS服務器一起使用OTP(一次口令)驗證方法的消息交換。 3.支持的拓撲
802.1X基于端口的驗證支持在兩種拓撲種:
*?點對點(單用戶)
*?無線LAN(多用戶)
在點對點配置中,只有一個客戶能夠連接到起用了802.1X的交換機端口上。交換機在端口鏈路狀態變為UP狀態時檢測客戶。如果客戶離開或被另一個客戶替換,交換機將端口鏈路狀態變為DOWN,端口返回到未授權狀態。
802.1X交換機端口被配置為一個多主機端口,一旦客戶通過驗證即變為授權的。當端口是授權的時候,所有其他非直連的主機獲準接入網絡。如果端口變為未授權的(在重新驗證失敗或受到一個EAPOL-下線消息時),交換機拒絕所有直連客戶的網絡訪問。
?
這個拓撲中,無線接入點負責驗證直連到它的客戶,并且該無線接入點作為交換機的一個客戶。 4.端口身份驗證狀態:
*?Force-authorized---禁用基于端口的802.1x身份驗證,導致端口切換到許可狀態,而不需要交換任何身份驗證信息。端口發送和接收常規通信流,而不對客戶進行基于802.1x的身份驗證,這是默認設置
*?Force-unauthorized---導致端口保持未經許可狀態,并忽略客戶的所有身份驗證請求。交換機不能通過這種端口為客戶提供身份驗證服務。
*?Auto---啟用基于端口的802.1x身份驗證,導致端口一開始處于未經許可狀態,只能接收和發送EAPOL幀。端口的鏈路狀態從down到up(驗證方發起)或收到EAPOL啟動幀(懇求方發起)后,身份驗證過程便開始了。交換機請求客戶說明其身份,并在客戶和驗證服務器之間轉發身份驗證消息。交換機使用客戶的MAC地址來唯一地標識每個試圖訪問網絡的客戶。
如果客戶通過了身份驗證(收到來自身份驗證服務器的Accept幀),端口狀態將變為許可,客戶發送的所有幀都被允許通過端口。如果未通過身份驗證,端口將保持未經許可狀態。在這種狀態下,端口只允許用于重新驗證身份的通信流通過,而不允許其他用戶通信流通過。如果身份驗證服務器不可達,交換機可能重傳請求。如果重傳指定次數后,服務器仍沒有響應,身份驗證將一失敗告終,交換機不允許客戶訪問網絡。此外,客戶注銷是將發送一條EAPOL注銷信息,導致服務器端口切換到未經許可狀態。 5.802.1X配置指導
802.1X協議在第2層的靜態接入端口上支持,但在以下類型的端口上不支持:
*?中繼端口---試圖在一個中繼端口上啟用802.1X會產生錯誤消息,因而不能激活802.1X。
*?動態端口---處于動態模式的端口會與其相鄰的鄰居協商變成一個中繼端口,所以要在動態模式的端口設置802.1X會出錯。
*?VQP端口---試圖在一個動態接入(VLAN查詢協議[VQP])端口上啟用802.1X會出錯
*?活動的ETHERCHANNEL端口---在端口啟用802.1X之前,首先應將該端口從EtherChannel中移除。試圖在一個EtherChannel或一個EtherChannel中的一個活動端口上啟用802.1x會產生錯誤
l?安全端口---安全端口不能配置為802.1x
l?span目的端口---802.1x可以在一個SPAN目的的端口上啟用,但802.1X直到該端口不再是SPAN目的時才會生效。802.1X可以再SPAN源端口使用 6.配置802.1X
默認配置
特性????????????? 默認設置
------------------------------------------
交換機IEEE802.1x?????????? 禁用
AAA驗證?????????????????????????? 禁用
RADIUS服務器
IP地址??????????????????????????? 未指定
UDP端口?????????????????????????? 1812
密鑰?????????????????????????? 未指定
主機模式?????????????????? 點對點(單主機)
每個接口的802.1X啟用狀態?? 禁用(強制未授權),端口發送和接受正常的流量
周期性的重新驗證?????????? 禁止
重新驗證嘗試之間的次數?????????? 3600秒
安靜周期?????????????????? 60秒(交換機在與客戶的一次失敗驗證交換之后保持安靜狀態的時間)
重傳時間?????????????????? 30秒(交換機在重傳請求之前等待客戶對一個EAP請求/身份幀的響應時間)
最大重傳次數?????????????????? 2次(交換機在重新開始驗證過程之前發送一個EAP請求/身份幀的次數)
多主機支持?????????????????? 禁止
客戶超時周期?????????????????? 30秒(在將一個請求從驗證服務器中介給客戶時,交換機向客戶重傳該請求之前等待響應的時間)。該設置不能配置
驗證服務器超時周期?????????? 30秒(在將一個請求從客戶中介給驗證服務器時,交換機向服務器重傳該請求之前等待響應的時間)。該設置不能配置 配置IEEE802.1X認證
1) 進入全局模式?? configure terminal
2) 啟用AAA
??? aaa new-model
3) 建立IEEE802.1x認證列表
??? aaa authentication dot1x {default} method1
??? default:將后面指定的身份驗證方法作為默認配置,自動作用于所有IEEE802.1x
??? method1:指定身份驗證的方法
4) 啟用IEEE802.1x授權
??? dot1x system-auth-control
5) 建立授權(可選)
??? aaa authorization network {default} group radius
??? 指定通過RADIUS服務起來建立授權
6) 指定RADIUS服務器的地址
??? radius-server host IP地址
7) 指定密鑰
??? radius-server key 密鑰
8) 進入接口模式?? interface 接口
9) 啟用IEEE802.1x認證
???? switchport mode access dot1x port-control auto
10) 驗證結果
??? show dot1x 配置交換機域RADIUS服務器之間通信
1) 進入全局模式?? configure terminal
2) 配置RADIUS服務器特征
?? radius-server host [主機名|IP地址] auth-port 端口號 key 密鑰
?? auth-port:UDP端口號 配置主機模式
1) 進入全局模式?? configure terminal
2) 進入接口模式?? interface? 接口
3) 配置主機模式
??? dot1x host-mode multi-host
??? 允許多主機模式
4) 配置IEEE802.1x認證
??? dot1x port-control auto 配置重認證周期
1)?進入全局模式? configure terminal
2)?進入接口模式? interface 接口
3)?啟用IEEE802.1x重認證
???? dot1x reauthentication
4)?設置重認證周期
???? dot1x timeout reauth-period 秒數
???? 秒數:默認為3600秒,取值為1-65535
5)?驗證結果
???? show dot1x interface 接口 配置安靜周期
交換機在與客戶的一次失敗驗證交換之后保持安靜狀態的時間
1)?進入全局模式? configure terminal
2)?進入接口模式? interface 接口
3)?配置安靜周期Quiet period
??? dot1x timeout quiet-period 秒數
秒數:默認為60秒,取值為1-65535 配置交換機與主機之間重傳時間
交換機在重傳請求之前等待客戶對一個EAP請求/身份幀的響應時間
1)?進入全局模式? configure terminal
2)?進入接口模式? interfacer 接口
3)?配置重傳時間
??? dot1x timeout tx-period 秒數
秒數為5-65535,默認為5秒 配置交換機與主機之間重傳最大次數
交換機在重新開始驗證過程之前發送一個EAP請求/身份幀的次數
1)?進入全局模式? configure terminal
2)?進入接口模式? interfacer 接口
3)?配置重傳最大次數
??? dot1x max- req 次數
次數為1-10,默認為2次 配置交換機與主機之間重認證最大次數
1)?入全局模式? configure terminal
2)?進入接口模式? interfacer 接口
3)?配置重傳最大次數
??? dot1x max-reauth-req 次數
秒數為1-10,默認為2次
案例:
CCIE-LAB(V133)
題目要求:
you want to restrict unauthorized clients form connecting to your network configure sw1 so that the por f0/9 has 802.1x port-based authentication using a RADIUS server heinitial state of this port should be unauthorized ,but when transitions form down to up the authentication process to the Radius SERVER SHOULD BEGIN ,PERFORM ONLY THE MINIMUM AAA configuration pertinent to the 802.1x port-based? authentication
配置:
SW1
?? configure term
?? aaa new-model
?? aaa authentication dot1x default group radius
?? aaa authentication network default group radius
?? dot1x system-auto-control
?? interface f0/9
???? switchport mode access
???? dot1x port-control auto CCIE-LAB(YY)
you want to restrict unauthorized clients form connecting to your network configure sw1 so that the por f0/17 has 802.1x port-based authentication using a RADIUS server heinitial state of this port should be unauthorized ,but when transitions form down to up the authentication process to the Radius SERVER SHOULD BEGIN ,PERFORM ONLY THE MINIMUM AAA configuration pertinent to the 802.1x port-based? authentication.RADIUS Server address:150.1.1.254,key is cisco.
配置:
sw1
?? config termi
?? aaa new-model
?? aaa authentication dot1x default group radius
?? aaa authentication network default group raidus
?? radius-server host 150.1.1.254
?? radius-server key cisco
?? dot1x system-auth-control
?? interface f0/17
????? switchport mode access
????? dot1x port-control auto
?? show dot1x
?? show dot1x interface f0/17 配置訪客vlan(guest vlan)
如果端口指定了訪客Guest VLAN項,此端口下的接入用戶如果認證失敗或根本無用戶賬號的話,會成為Guest VLAN 組的成員,可以享用此組內的相應網絡資源,這一種功能同樣可為網絡應用的某一些群體開放最低限度的資源,并為整個網絡提供了一個最外圍的接入安全。用戶可以去下載客戶端,但是不能去上公網,他限制了未撥號用戶可以訪問的資源。
配置過程:
1) 進入全局模式?? configure terminal
2) 進入接口模式?? interface 接口
3) 配置接口模式
??? switchport mode access
4)?配置dot1x認證
??? dot1x port-control auto
5)?配置某個活動vlan成為訪客vlan
??? dot1x guest-vlan vlan號
??? vlan號:1-4094,除了RSPAN vlan、私有VLAN的主Vlan、語音vlan
案例:
CCIE-LAB(210)
題目要求:
配置sw3上基于802.1X安全的GUEST VLAN,vlan號為999,端口范圍為fa0/11-18,RADIUS SERVER地址為150.1.1.254,密碼為cisco。
配置:
SW3:
config terminal
vlan 999
?? name guestvlan
aaa new-model
aaa authentication dot1x default group radius
aaa authentication network default group radius
dot1x system-auth-control
radius-server host 150.1.1.254
radius-server key cisco
interface fa0/11 –18
? switchport mode access
? dot1x port-control auto
? dot1x guest-vlan 999
? 配置受限vlan
可以配置端口指定為受限vlan,當認證失敗之后(超過認證次數3次),不能訪問guest vlan的客戶將加入受限的vlan, 限制了未認證成功的用戶可以訪問的資源。
配置過程:
1)?進入全局模式? configure terminal
2)?進入接口模式? interface 接口
3)?配置接口模式
??? switchport mode access
4)?配置受限vlan
??? dot1x auth-fail vlan vlan號
5)?配置最大認證接收次數
??? dot1x auth-fail auth-attwmpts 次數
次數:取值為1-3,默認為3 配置物理地址認證旁路
使用mac地址認證旁路特性,交換機可以使用客戶端的mac地址作為客戶認證,比如端口上連接一臺打印機。當一個802.1x端口上使用mac認證旁路特性,交換機將使用mac地址作為客戶端的身份的驗證,認證服務器有一張客戶mac地址表用作是否允許客戶訪問網絡。交換機等待客戶的EAP響應/身份幀的認證時間超時,交換機會嘗試使用mac地址作為客戶的認證。
配置過程:
1)?進入全局模式? configure terminal
2)?進入接口模式? interface 接口
3)?配置接口
??? dot1x port-control auto
??? dot1x mac-address-bypass [eap]
??? eap:交換機使用eap認證 非法IEEE802.1x
配置過程:
1)?進入接口模式? interface 接口
2)?非法ieee802.1x功能
??? no dot1x pae 恢復原始配置參數
配置過程:
1)?進入接口模式
2)?恢復原始配置
dot1x default
IEEE 802.1x訪問控制特性是一種基于行業標準的第2層訪問控制方法,提供了集中管理功能。IEEE 802.1x訪問控制特性還被廣泛應用于無線網絡。
?
使用802.1x的時候,在交換機接收器端口連接的工作站發送的數據包之前,將請求身份驗證服務器對工作站進行身份驗證。在身份驗證服務器驗證工作站的身份之前,802.1x訪問控制特性只允許EAPOL(Extensible Authentication Protocol over LAN,LAN上的可擴展身份驗證協議)通信流通過工作站連接的端口。通過身份驗證后,常規通信流才能通過該端口。
基于端口的802.1x身份驗證涉及3種設備:
*?客戶(client)---使用802.1x請求網絡對其進行身份驗證的工作站。當前,只有Microsoft Windows XP和Windows 2003內置了對802.1x支持功能
*?身份驗證服務器(Authentication server)---負責驗證交換機轉發的客戶請求。當前,身份驗證服務器是安裝了EAPOL擴展的RADIUS服務器。
*?交換機---負責將客戶請求轉發給身份驗證服務器,并在客戶通過身份驗證后授予其訪問網絡的權限。在802.1x運行期間,交換機實際上是代理
交換機端口的狀態決定了客戶是否能夠訪問網絡。端口開始處于未經授權(unauthorized)狀態。在這種狀態下,除802.1x協議數據包外,端口不允許任何入站通信流和出站通信流通過。客戶通過身份驗證后,端口將切換到授權(authorized)狀態,允許來自客戶的通信流通過。如果交換機請求客戶表明其身份(證明方發起的),而客戶不支持802.1x,端口將保持未經許可狀態,客戶不能訪問網絡。
相反地,當啟用了802.1x的客戶連接到端口,并向交換機發送EAPOL啟動幀一啟動身份驗證過程(懇求方發起),而交換機沒有運行802.1x協議,無法響應客戶時,客戶將開始發送數據幀,就像端口處于許可狀態一樣。 2.驗證開始和消息交換
交換機或客戶可以發起驗證。如果一個端口上使用dot1x port-control auto接口配置命令啟動驗證,那么交換機必須在確定該端口鏈路狀態從down轉換為UP時發起驗證。交換機接著向客戶發送一個EAP-請求/身份幀來請求它的身份。根據收到的幀,客戶響應一個EAP-響應/身份幀。
?
如果在啟動期間客戶沒有收到一個來自交換機的EAP-請求/身份幀,那么客戶可以發送一個EAPOL-開始幀來發起驗證。這提示交換機要請求客戶的身份。
如果網絡接入設備上沒有啟用或支持802.1X,則會丟棄任何來自客戶的EAPOL幀。如果客戶在嘗試開始驗證的指定次數之后還未收到EAP-請求/身份幀,那么客戶將發送幀如同端口已處于授權狀態。出于授權狀態的端口實際上意味著客戶已被成功驗證了。
當客戶提供其身份是,交換機開始他的中介職責,在客戶和驗證服務器之間傳遞EAP幀直到驗證成功或失敗。如果授權成功,交換端口即被授權
EAP幀的詳細交換基于所使用的驗證方法。如圖,由客戶發起的與RADIUS服務器一起使用OTP(一次口令)驗證方法的消息交換。 3.支持的拓撲
802.1X基于端口的驗證支持在兩種拓撲種:
*?點對點(單用戶)
*?無線LAN(多用戶)
在點對點配置中,只有一個客戶能夠連接到起用了802.1X的交換機端口上。交換機在端口鏈路狀態變為UP狀態時檢測客戶。如果客戶離開或被另一個客戶替換,交換機將端口鏈路狀態變為DOWN,端口返回到未授權狀態。
802.1X交換機端口被配置為一個多主機端口,一旦客戶通過驗證即變為授權的。當端口是授權的時候,所有其他非直連的主機獲準接入網絡。如果端口變為未授權的(在重新驗證失敗或受到一個EAPOL-下線消息時),交換機拒絕所有直連客戶的網絡訪問。
?
這個拓撲中,無線接入點負責驗證直連到它的客戶,并且該無線接入點作為交換機的一個客戶。 4.端口身份驗證狀態:
*?Force-authorized---禁用基于端口的802.1x身份驗證,導致端口切換到許可狀態,而不需要交換任何身份驗證信息。端口發送和接收常規通信流,而不對客戶進行基于802.1x的身份驗證,這是默認設置
*?Force-unauthorized---導致端口保持未經許可狀態,并忽略客戶的所有身份驗證請求。交換機不能通過這種端口為客戶提供身份驗證服務。
*?Auto---啟用基于端口的802.1x身份驗證,導致端口一開始處于未經許可狀態,只能接收和發送EAPOL幀。端口的鏈路狀態從down到up(驗證方發起)或收到EAPOL啟動幀(懇求方發起)后,身份驗證過程便開始了。交換機請求客戶說明其身份,并在客戶和驗證服務器之間轉發身份驗證消息。交換機使用客戶的MAC地址來唯一地標識每個試圖訪問網絡的客戶。
如果客戶通過了身份驗證(收到來自身份驗證服務器的Accept幀),端口狀態將變為許可,客戶發送的所有幀都被允許通過端口。如果未通過身份驗證,端口將保持未經許可狀態。在這種狀態下,端口只允許用于重新驗證身份的通信流通過,而不允許其他用戶通信流通過。如果身份驗證服務器不可達,交換機可能重傳請求。如果重傳指定次數后,服務器仍沒有響應,身份驗證將一失敗告終,交換機不允許客戶訪問網絡。此外,客戶注銷是將發送一條EAPOL注銷信息,導致服務器端口切換到未經許可狀態。 5.802.1X配置指導
802.1X協議在第2層的靜態接入端口上支持,但在以下類型的端口上不支持:
*?中繼端口---試圖在一個中繼端口上啟用802.1X會產生錯誤消息,因而不能激活802.1X。
*?動態端口---處于動態模式的端口會與其相鄰的鄰居協商變成一個中繼端口,所以要在動態模式的端口設置802.1X會出錯。
*?VQP端口---試圖在一個動態接入(VLAN查詢協議[VQP])端口上啟用802.1X會出錯
*?活動的ETHERCHANNEL端口---在端口啟用802.1X之前,首先應將該端口從EtherChannel中移除。試圖在一個EtherChannel或一個EtherChannel中的一個活動端口上啟用802.1x會產生錯誤
l?安全端口---安全端口不能配置為802.1x
l?span目的端口---802.1x可以在一個SPAN目的的端口上啟用,但802.1X直到該端口不再是SPAN目的時才會生效。802.1X可以再SPAN源端口使用 6.配置802.1X
默認配置
特性????????????? 默認設置
------------------------------------------
交換機IEEE802.1x?????????? 禁用
AAA驗證?????????????????????????? 禁用
RADIUS服務器
IP地址??????????????????????????? 未指定
UDP端口?????????????????????????? 1812
密鑰?????????????????????????? 未指定
主機模式?????????????????? 點對點(單主機)
每個接口的802.1X啟用狀態?? 禁用(強制未授權),端口發送和接受正常的流量
周期性的重新驗證?????????? 禁止
重新驗證嘗試之間的次數?????????? 3600秒
安靜周期?????????????????? 60秒(交換機在與客戶的一次失敗驗證交換之后保持安靜狀態的時間)
重傳時間?????????????????? 30秒(交換機在重傳請求之前等待客戶對一個EAP請求/身份幀的響應時間)
最大重傳次數?????????????????? 2次(交換機在重新開始驗證過程之前發送一個EAP請求/身份幀的次數)
多主機支持?????????????????? 禁止
客戶超時周期?????????????????? 30秒(在將一個請求從驗證服務器中介給客戶時,交換機向客戶重傳該請求之前等待響應的時間)。該設置不能配置
驗證服務器超時周期?????????? 30秒(在將一個請求從客戶中介給驗證服務器時,交換機向服務器重傳該請求之前等待響應的時間)。該設置不能配置 配置IEEE802.1X認證
1) 進入全局模式?? configure terminal
2) 啟用AAA
??? aaa new-model
3) 建立IEEE802.1x認證列表
??? aaa authentication dot1x {default} method1
??? default:將后面指定的身份驗證方法作為默認配置,自動作用于所有IEEE802.1x
??? method1:指定身份驗證的方法
4) 啟用IEEE802.1x授權
??? dot1x system-auth-control
5) 建立授權(可選)
??? aaa authorization network {default} group radius
??? 指定通過RADIUS服務起來建立授權
6) 指定RADIUS服務器的地址
??? radius-server host IP地址
7) 指定密鑰
??? radius-server key 密鑰
8) 進入接口模式?? interface 接口
9) 啟用IEEE802.1x認證
???? switchport mode access dot1x port-control auto
10) 驗證結果
??? show dot1x 配置交換機域RADIUS服務器之間通信
1) 進入全局模式?? configure terminal
2) 配置RADIUS服務器特征
?? radius-server host [主機名|IP地址] auth-port 端口號 key 密鑰
?? auth-port:UDP端口號 配置主機模式
1) 進入全局模式?? configure terminal
2) 進入接口模式?? interface? 接口
3) 配置主機模式
??? dot1x host-mode multi-host
??? 允許多主機模式
4) 配置IEEE802.1x認證
??? dot1x port-control auto 配置重認證周期
1)?進入全局模式? configure terminal
2)?進入接口模式? interface 接口
3)?啟用IEEE802.1x重認證
???? dot1x reauthentication
4)?設置重認證周期
???? dot1x timeout reauth-period 秒數
???? 秒數:默認為3600秒,取值為1-65535
5)?驗證結果
???? show dot1x interface 接口 配置安靜周期
交換機在與客戶的一次失敗驗證交換之后保持安靜狀態的時間
1)?進入全局模式? configure terminal
2)?進入接口模式? interface 接口
3)?配置安靜周期Quiet period
??? dot1x timeout quiet-period 秒數
秒數:默認為60秒,取值為1-65535 配置交換機與主機之間重傳時間
交換機在重傳請求之前等待客戶對一個EAP請求/身份幀的響應時間
1)?進入全局模式? configure terminal
2)?進入接口模式? interfacer 接口
3)?配置重傳時間
??? dot1x timeout tx-period 秒數
秒數為5-65535,默認為5秒 配置交換機與主機之間重傳最大次數
交換機在重新開始驗證過程之前發送一個EAP請求/身份幀的次數
1)?進入全局模式? configure terminal
2)?進入接口模式? interfacer 接口
3)?配置重傳最大次數
??? dot1x max- req 次數
次數為1-10,默認為2次 配置交換機與主機之間重認證最大次數
1)?入全局模式? configure terminal
2)?進入接口模式? interfacer 接口
3)?配置重傳最大次數
??? dot1x max-reauth-req 次數
秒數為1-10,默認為2次
案例:
CCIE-LAB(V133)
題目要求:
you want to restrict unauthorized clients form connecting to your network configure sw1 so that the por f0/9 has 802.1x port-based authentication using a RADIUS server heinitial state of this port should be unauthorized ,but when transitions form down to up the authentication process to the Radius SERVER SHOULD BEGIN ,PERFORM ONLY THE MINIMUM AAA configuration pertinent to the 802.1x port-based? authentication
配置:
SW1
?? configure term
?? aaa new-model
?? aaa authentication dot1x default group radius
?? aaa authentication network default group radius
?? dot1x system-auto-control
?? interface f0/9
???? switchport mode access
???? dot1x port-control auto CCIE-LAB(YY)
you want to restrict unauthorized clients form connecting to your network configure sw1 so that the por f0/17 has 802.1x port-based authentication using a RADIUS server heinitial state of this port should be unauthorized ,but when transitions form down to up the authentication process to the Radius SERVER SHOULD BEGIN ,PERFORM ONLY THE MINIMUM AAA configuration pertinent to the 802.1x port-based? authentication.RADIUS Server address:150.1.1.254,key is cisco.
配置:
sw1
?? config termi
?? aaa new-model
?? aaa authentication dot1x default group radius
?? aaa authentication network default group raidus
?? radius-server host 150.1.1.254
?? radius-server key cisco
?? dot1x system-auth-control
?? interface f0/17
????? switchport mode access
????? dot1x port-control auto
?? show dot1x
?? show dot1x interface f0/17 配置訪客vlan(guest vlan)
如果端口指定了訪客Guest VLAN項,此端口下的接入用戶如果認證失敗或根本無用戶賬號的話,會成為Guest VLAN 組的成員,可以享用此組內的相應網絡資源,這一種功能同樣可為網絡應用的某一些群體開放最低限度的資源,并為整個網絡提供了一個最外圍的接入安全。用戶可以去下載客戶端,但是不能去上公網,他限制了未撥號用戶可以訪問的資源。
配置過程:
1) 進入全局模式?? configure terminal
2) 進入接口模式?? interface 接口
3) 配置接口模式
??? switchport mode access
4)?配置dot1x認證
??? dot1x port-control auto
5)?配置某個活動vlan成為訪客vlan
??? dot1x guest-vlan vlan號
??? vlan號:1-4094,除了RSPAN vlan、私有VLAN的主Vlan、語音vlan
案例:
CCIE-LAB(210)
題目要求:
配置sw3上基于802.1X安全的GUEST VLAN,vlan號為999,端口范圍為fa0/11-18,RADIUS SERVER地址為150.1.1.254,密碼為cisco。
配置:
SW3:
config terminal
vlan 999
?? name guestvlan
aaa new-model
aaa authentication dot1x default group radius
aaa authentication network default group radius
dot1x system-auth-control
radius-server host 150.1.1.254
radius-server key cisco
interface fa0/11 –18
? switchport mode access
? dot1x port-control auto
? dot1x guest-vlan 999
? 配置受限vlan
可以配置端口指定為受限vlan,當認證失敗之后(超過認證次數3次),不能訪問guest vlan的客戶將加入受限的vlan, 限制了未認證成功的用戶可以訪問的資源。
配置過程:
1)?進入全局模式? configure terminal
2)?進入接口模式? interface 接口
3)?配置接口模式
??? switchport mode access
4)?配置受限vlan
??? dot1x auth-fail vlan vlan號
5)?配置最大認證接收次數
??? dot1x auth-fail auth-attwmpts 次數
次數:取值為1-3,默認為3 配置物理地址認證旁路
使用mac地址認證旁路特性,交換機可以使用客戶端的mac地址作為客戶認證,比如端口上連接一臺打印機。當一個802.1x端口上使用mac認證旁路特性,交換機將使用mac地址作為客戶端的身份的驗證,認證服務器有一張客戶mac地址表用作是否允許客戶訪問網絡。交換機等待客戶的EAP響應/身份幀的認證時間超時,交換機會嘗試使用mac地址作為客戶的認證。
配置過程:
1)?進入全局模式? configure terminal
2)?進入接口模式? interface 接口
3)?配置接口
??? dot1x port-control auto
??? dot1x mac-address-bypass [eap]
??? eap:交換機使用eap認證 非法IEEE802.1x
配置過程:
1)?進入接口模式? interface 接口
2)?非法ieee802.1x功能
??? no dot1x pae 恢復原始配置參數
配置過程:
1)?進入接口模式
2)?恢復原始配置
dot1x default
轉載于:https://blog.51cto.com/hellome/21533
總結
以上是生活随笔為你收集整理的CCIE试验备考之交换security(2)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 无法启动 MS DTC 事务管理器。Lo
- 下一篇: Smarty中的ob_start问题