思科身份服务引擎的全局交换机配置安全访问操作指南系列作者:FayLee日期:2012年8月2015思科系统公司第2页安全访问操作指南目录全局交换机配置3交换机配置–全局设置.
3配置全局AAA命令.
4配置全局RADIUS命令5将交换机配置为允许面向/来自CiscoISE的分析.
6配置本地访问控制列表8配置全局802.
1X命令.
9全局配置示例11交换机:通用交换机端口配置12设置基本交换机端口配置.
12身份验证设置–灵活身份验证和高畅通性.
12身份验证设置–开放式身份验证和其他步骤.
15身份验证设置–定时器.
16在端口上应用初始ACL并启用身份验证.
16附录A:参考17CiscoTrustSec系统:17设备配置指南:172015思科系统公司第3页安全访问操作指南全局交换机配置本文档说明如何执行全局交换机配置.
在CiscoTrustSec2.
1系统中,交换机执行多种关键功能.
它处理Web身份验证的URL重定向以及从状态代理(思科网络访问控制[NAC]设备代理)到CiscoISE服务器的发现流量的重定向.
交换机在网络入口同时提供第2层和第3层流量实施,其中,第2层实施有助于确保仅授权用户和设备才可以获得网络访问权限.
这些推荐配置经过编译,成为适用于所有部署的最佳实践.
最佳实践的目标是使该配置在部署的不同阶段自始自终保持一致并选定不同的部署类型.
借此可以使用软件工具(例如CiscoPrime基础设施)设置端口模板,以便于配置多个端口和在接入层进行故障排除工作.
思科最佳实践:建议使用网络配置管理解决方案(例如CiscoPrimeLAN管理解决方案[LMS])管理整个企业范围的配置.
但是,此方案已经超过CiscoTrustSec2.
1测试实验室的范围,因此文中将不再提及.
相关内容将在未来版本中加以介绍.
交换机配置–全局设置相较于之前的NAC解决方案需要设备捕捉网络流量并重定向至Web身份验证页面,新的解决方案是在第2层接入(边缘)设备执行URL重定向,这可以简化Web身份验证部署和状态代理发现流程,无疑是一项巨大的改进.
注:必备配置:本指南假定交换机已预先配置了基础配置.
例如,最佳实践是使用网络时间协议(NTP)设置正确的日期和时间,但本指南中不会提及此设置.
最佳实践:始终确保交换机能够与客户端子网通信,有助于确保HTTP重定向功能正常运作.
为安全地进行最佳实践,请使用接入等级来限制可以管理交换机的地址.
本主题不在本文档说明范围之内.
在交换机上配置HTTP服务器步骤1在交换机上设置DNS域名.
a.
在设备上定义DNS域名之前,思科IOS软件不允许创建和安装证书或自生成密钥.
输入以下命令:C3750X(config)#ipdomain-namedomain_name步骤2通过输入以下命令,生成要用于HTTPS的密钥:C3750X(config)#cryptokeygeneratersageneral-keysmod2048注:为避免在Web重定向期间可能发生的证书不匹配错误,我们建议您使用由受信任证书颁发机构颁发的证书而非本地证书.
本主题不在本文档说明范围之内.
2015思科系统公司第4页安全访问操作指南步骤3在交换机上启用HTTP服务器.
必须在交换机上启用HTTP服务器才能执行HTTP/HTTPS捕捉和重定向.
输入以下命令:C3750X(config)#iphttpserverC3750X(config)#iphttpsecure-server注:在执行步骤2生成密钥之前,请勿运行iphttpsecure-server命令.
如果您没按照顺序执行命令,那么交换机会自动生成密钥长度较短的证书,此证书会导致重定向HTTPS流量时出现意外.
配置全局AAA命令步骤1在接入交换机上启用身份验证、授权和记帐(AAA).
默认情况下会禁用思科交换机的AAA"子系统".
启用AAA子系统之前,配置中所需的任何命令均不可用.
输入以下命令:C3750X(config)#aaanew-model注:此命令启用AAA网络安全服务提供的任何服务(例如,本地登录身份验证和授权),从而定义并应用方法列表等等.
有关更多详细信息,请参阅《思科IOS安全配置指南》.
步骤2创建802.
1X的身份验证方法.
必须通过身份验证方法指示交换机哪组RADIUS服务器用于处理802.
1X身份验证请求:C3750X(config)#aaaauthenticationdot1xdefaultgroupradius步骤3创建802.
1X的授权方法.
通过步骤2中创建的方法,可以由RADIUS服务器验证用户/设备身份(用户名/密码或证书).
但是,只有有效的凭证还不够,还必须获得授权.
授权是指用于定义用户或设备是否真正获得网络访问权限的条件以及实际允许的访问级别.
C3750X(config)#aaaauthorizationnetworkdefaultgroupradius步骤4创建802.
1X的记账方法.
RADIUS记账数据包非常有用,并且对于许多ISE功能是必需的.
这些类型的数据包将有助于确保RADIUS服务器(CiscoISE)了解交换机端口和终端的确切状态.
如果没有记账数据包,CiscoISE将只能了解身份验证和授权通信情况.
记账数据包提供有关授权会话的长度以及交换机制定的本地决策(例如AuthFailVLAN分配等)的信息.
C3750X(config)#aaaaccountingdot1xdefaultstart-stopgroupradius2015思科系统公司第5页安全访问操作指南配置全局RADIUS命令我们配置主动方法来检查RADIUS服务器的可用性.
通过此操作,交换机将定期向RADIUS服务器(CiscoISE)发送测试身份验证消息,并等待服务器的RADIUS响应.
并非一定要得到成功消息,身份验证失败的消息也可以,因为这也足以证明服务器处于活动状态.
最佳实践:不可能将这些身份验证记录从CiscoISE1.
1(377)中的日志记录服务器中过滤掉.
过滤会使CiscoISE控制面板上显示的身份验证成功和失败信息出现偏差,因此我们建议使用能够成功进行身份验证、但授权会拒绝访问的帐户.
步骤1在全局配置模式下,为RADIUS保持连接间隔添加用户名和密码.
此处创建的用户名将在后面的步骤中添加至CiscoISE中的本地用户数据库中,我们在稍后定义RADIUS服务器的步骤中会用到此帐户.
C3750X(config)#usernameradius-testpasswordpassword步骤2将CiscoISE服务器添加至RADIUS组.
在此步骤中,将使用以前创建的测试帐户把各个CiscoISE策略服务节点(PSN)添加至交换机配置中,并对各个PSN重复此步骤.
C3750X(config)#radius-serverhostise_ip_addressauth-port1812acct-port1813testusernameradius-testkeyshared_secret注:除正常过程中发生的所有身份验证或授权以外,服务器还将每小时一次主动检查响应.
步骤3设置停机条件.
交换机已配置为主动检查CiscoISE服务器来获取RADIUS响应.
现在配置交换机上的计数器,以确定服务器是处于活动状态还是处于停机状态.
默认设置为,等待5秒以获取来自RADIUS服务器的响应,并且进行3次测试尝试后将服务器标记为停机.
如果CiscoISE服务器在15秒内没有作出有效响应,系统会将其标记为停机.
C3750X(config)#radius-serverdead-criteriatime5tries3注:我们会在部署模式部分更加详细地讨论高畅通性.
步骤4启用授权变更(CoA).
之前,已经定义了RADIUS服务器(交换机会将RADIUS消息发送到该服务器)的IP地址.
而我们还会在其他列表中定义可执行授权变更(RFC3576)操作的服务器,此操作也是在全局配置模式下进行,如下所示:C3750X(config)#aaaserverradiusdynamic-authorC3750X(config-locsvr-da-radius)#clientise_ip_addressserver-keyshared_secret2015思科系统公司第6页安全访问操作指南步骤5将交换机配置为使用思科供应商特定属性.
此处我们将交换机配置为在身份验证请求和记账更新期间向CiscoISEPSN发送任何已定义的供应商特定属性(VSA).
C3750X(config)#radius-servervsasendauthenticationC3750X(config)#radius-servervsasendaccounting步骤6接下来,我们将启用供应商特定属性(VSA).
C3750X(config)#radius-serverattribute6on-for-login-authC3750X(config)#radius-serverattribute8include-in-access-reqC3750X(config)#radius-serverattribute25access-requestinclude步骤7确保交换机始终从正确的接口发送流量.
交换机通常可能具有多个与其关联的IP地址.
因此,最好始终强制所有管理通信均通过一个指定接口执行,此接口IP地址必须与CiscoISE网络设备对象中定义的IP地址相匹配.
思科最佳实践:作为网络管理最佳实践,对于所有管理通信使用环回适配器,同时向内部路由协议通告该环回接口.
C3750X(config)#ipradiussource-interfaceinterface_nameC3750X(config)#snmp-servertrap-sourceinterface_nameC3750X(config)#snmp-serversource-interfaceinformsinterface_name将交换机配置为允许面向/来自CiscoISE的分析CiscoISE将使用简单网络管理协议(SNMP)查询交换机的某些属性,从而帮助识别连接至交换机的设备.
我们会配置SNMP社区供CiscoISE查询,并配置要发送至CiscoISE的SNMP陷阱.
步骤1配置只读SNMP社区.
CiscoISE只需"只读"SNMP命令,确保此社区字符串与CiscoISE内网络设备对象中配置的社区字符串相匹配.
思科最佳实践:该最佳实践是使用接入类限制SNMP对交换机的访问的安全最佳实践.
SNMP配置不属于CiscoTrustSec2.
1的测试范围,因此本文档中不会进行介绍.
C3750X(config)#snmp-servercommunitycommunity_stringRO2015思科系统公司第7页安全访问操作指南步骤2配置交换机来发送陷阱消息.
现在,我们将启用SNMP陷阱发送,其中包含对MAC地址表的更改.
每当在地址表中插入、删除或移动新地址时,都会向CiscoISE发送包括设备MAC地址和接口标识符的陷阱.
C3750X(config)#snmp-serverenabletrapsmac-notificationchangemovethreshold步骤3将CiscoISE添加为SNMP陷阱接收器.
在此,将服务器添加陷阱接收器,用于接收已配置的MAC通知:C3750X(config)#snmp-serverhostise_ip_addressversion2ccommunity_stringmac-notification步骤4为受信任端口配置动态主机配置协议(DHCP)监听.
DHCP监听对于CiscoTrustSec2.
1不是必需的做法,但却是最佳实践.
它不仅通过拒绝欺诈DHCP服务器实现更好的可用性,而且还为诸如动态地址解析协议(ARP)检测等其他安全工具准备交换机.
DHCP监听还有助于为CiscoTrustSec技术后续版本中引入的功能准备交换机.
配置DHCP监听之前,请确保对您信任的DHCP服务器位置进行备注.
配置DHCP监听时,交换机会拒绝来自任何未配置为"trusted"的端口的DHCP服务器应答.
输入上行链路接口的接口配置模式,并将其配置为信任端口.
注:仅当上行链路端口是交换机端口或中继端口而不是第3层接口时,才需要执行此步骤.
这一事实说明,本节结尾处的示例配置中不使用ipdhcpsnoopingtrust命令的原因.
C3750X(config)#interfaceinterface_nameC3750X(config-if)#ipdhcpsnoopingtrust步骤5启用DHCP监听.
系统在全局配置模式下启用DHCP监听.
启用DHCP监听后,必须配置与之配合使用的VLAN,如下所示:C3750X(config)#ipdhcpsnoopingC3750X(config)#ipdhcpsnoopingvlanvlan_id_or_vlan_range2015思科系统公司第8页安全访问操作指南配置本地访问控制列表交换机上的某些功能需要使用本地配置的访问控制列表(ACL),例如URL重定向.
您创建的某些ACL可以立即使用,而某些则要到部署的稍后阶段才能使用.
本部分的目标是同时为所有可能的部署模式准备好交换机,并限制重复的交换机配置所带来的运营成本.
步骤1添加以下要在监控模式下交换机端口上使用的ACL:C3750X(config)#ipaccess-listextACL-ALLOWC3750X(config-ext-nacl)#permitipanyany步骤2添加以下要在低影响和封闭模式下交换机端口上使用的ACL:C3750X(config)#ipaccess-listextACL-DEFAULTC3750X(config-ext-nacl)#remarkDHCPC3750X(config-ext-nacl)#permitudpanyeqbootpcanyeqbootpsC3750X(config-ext-nacl)#remarkDNSC3750X(config-ext-nacl)#permitudpanyanyeqdomainC3750X(config-ext-nacl)#remarkPingC3750X(config-ext-nacl)#permiticmpanyanyC3750X(config-ext-nacl)#remarkPXE/TFTPC3750X(config-ext-nacl)#permitudpanyanyeqtftpC3750X(config-ext-nacl)#remarkDropalltherestC3750X(config-ext-nacl)#denyipanyanylog步骤3添加以下要用于对Web身份验证进行URL重定向的ACL:C3750X(config)#ipaccess-listextACL-WEBAUTH-REDIRECTC3750X(config-ext-nacl)#remarkexplicitlydenyDNSfrombeingredirectedtoaddressabugC3750X(config-ext-nacl)#denyudpanyanyeq53C3750X(config-ext-nacl)#remarkredirectallapplicabletraffictotheISEServerC3750X(config-ext-nacl)#permittcpanyanyeq80C3750X(config-ext-nacl)#permittcpanyanyeq443C3750X(config-ext-nacl)#remarkallothertrafficwillbeimplicitlydeniedfromtheredirection步骤4添加以下要用于状况代理URL重定向的ACL:C3750X(config)#ipaccess-listextACL-AGENT-REDIRECTC3750X(config-ext-nacl)#remarkexplicitlydenyDNSfrombeingredirectedtoaddressabugC3750X(config-ext-nacl)#denyudpanyanyeq53C3750X(config-ext-nacl)#remarkredirectHTTPtrafficonlyC3750X(config-ext-nacl)#permittcpanyanyeq80C3750X(config-ext-nacl)#remarkallothertrafficwillbeimplicitlydeniedfromtheredirection2015思科系统公司第9页安全访问操作指南配置全局802.
1X命令步骤1在交换机上全局启用802.
1X.
在交换机上全局启用802.
1X实际上不会在任何交换机端口上启用身份验证.
此时会对身份验证进行配置,但直到配置监控模式才会启用身份验证.
C3750X(config)#dot1xsystem-auth-control步骤2使可下载的ACL发挥作用.
可下载访问控制列表(dACL)是CiscoTrustSec部署中十分常见的实施机制.
为使dACL在交换机上正常运作,必须全局启用IP设备跟踪,如下所示:C3750X(config)#ipdevicetracking注:在某些不常见情况下,Windows7和设备不会响应ARP,此时要求使用命令ipdevicetrackinguseSVI.
步骤3在交换机上启用系统日志.
许多事件都会在思科IOS软件上生成系统日志.
某些系统日志消息可以发送至思科ISE,用于排除故障.
要帮助确保思科ISE能够编译来自交换机的合适系统日志消息,请使用以下命令:注:日志应发送至起监控作用的思科ISE节点.
C3750X(config)#loggingmonitorinformationalC3750X(config)#loggingorigin-idipC3750X(config)#loggingsource-interfaceC3750X(config)#logginghosttransportudpport20514在交换机上设置标准日志记录功能,以支持对思科ISE功能进行故障排除/录制.
实施策略模块(EPM)是思科IOS软件的一部分,负责实现诸如Web身份验证和可下载ACL等功能:启用EPM日志记录会生成与可下载ACL授权相关的系统日志,当此类日志发送至思科ISE时,部分日志可以在思科ISE中进行关联.
注:对于概念验证或试点项目来说,启用系统日志是理想之选.
对于大规模建立的部署来说,如果担心流量问题,可以禁用系统日志记录.
C3750X(config)#epmlogging2015思科系统公司第10页安全访问操作指南实际上,思科ISE仅收集和使用以下NAD系统日志消息:AP-6-AUTH_PROXY_AUDIT_STARTAP-6-AUTH_PROXY_AUDIT_STOPAP-1-AUTH_PROXY_DOS_ATTACKAP-1-AUTH_PROXY_RETRIES_EXCEEDEDAP-1-AUTH_PROXY_FALLBACK_REQAP-1-AUTH_PROXY_AAA_DOWNAUTHMGR-5-MACMOVEAUTHMGR-5-MACREPLACEMKA-5-SESSION_STARTMKA-5-SESSION_STOPMKA-5-SESSION_REAUTHMKA-5-SESSION_UNSECUREDMKA-5-SESSION_SECUREDMKA-5-KEEPALIVE_TIMEOUTDOT1X-5-SUCCESS/FAILMAB-5-SUCCESS/FAILAUTHMGR-5-START/SUCCESS/FAILAUTHMGR-SP-5-VLANASSIGN/VLANASSIGNERREPM-6-POLICY_REQEPM-6-POLICY_APP_SUCCESS/FAILUREEPM-6-IPEVENT:DOT1X_SWITCH-5-ERR_VLAN_NOT_FOUNDRADIUS-4-RADIUS_DEAD2015思科系统公司第11页安全访问操作指南全局配置示例hostnameC3750Xusernameradius-testpassword0Cisco123!
aaanew-modelaaaauthenticationdot1xdefaultgroupradiusaaaauthorizationnetworkdefaultgroupradiusaaaaccountingdot1xdefaultstart-stopgroupradius!
aaaserverradiusdynamic-authorclient10.
1.
100.
3server-keyCisco123!
ipdhcpsnoopingvlan10-13ipdhcpsnoopingipdomain-namects.
localipdevicetracking!
dot1xsystem-auth-control!
iphttpserveriphttpsecure-server!
ipaccess-listextendedACL-AGENT-REDIRECTremarkexplicitlypreventDNSfrombeingredirectedtoaddressabugdenyudpanyanyeqdomainremarkredirectHTTPtrafficonlypermittcpanyanyeqwwwremarkallothertrafficwillbeimplicitlydeniedfromtheredirectionipaccess-listextendedACL-ALLOWpermitipanyanyipaccess-listextendedACL-DEFAULTremarkDHCPpermitudpanyeqbootpcanyeqbootpsremarkDNSpermitudpanyanyeqdomainping
ipradiussource-interfaceLoopback0snmp-servercommunityCisco123ROsnmp-servertrap-sourceLoopback0snmp-serversource-interfaceinformsLoopback0snmp-serverenabletrapsmac-notificationchangemovethresholdsnmp-serverhost10.
1.
100.
3version2cCisco123mac-notificationradius-serverattribute6on-for-login-authradius-serverattribute8include-in-access-reqradius-serverattribute25access-requestincluderadius-serverdead-criteriatime5tries3radius-serverhost10.
1.
100.
3auth-port1812acct-port1813testusernameradius-testkeyCisco123radius-servervsasendaccountingradius-servervsasendauthenticationloggingmonitorinformationalepmloggingloggingorigin-idiploggingsource-interfaceLoopback0logginghost10.
1.
100.
3transportudpport205142015思科系统公司第12页安全访问操作指南交换机:通用交换机端口配置在上一节中,我们定义了接入层交换机全局配置设置的通用命令,包括RADIUS、SNMP、分析和AAA方法.
本节重点介绍如何构建一个端点配置,从而无论使用哪种交换机类型或部署模式,均可以在整个思科TrustSec部署中使用该端点配置.
注:如果您使用的是诸如CiscoPrimeLAN管理解决方案(LMS)4.
1等批量配置工具,则可能需要确保在以下任何命令之前运行此命令.
设置基本交换机端口配置在配置交换机端口上的任何身份验证设置之前,必须确保将交换机端口配置为第2层端口,而不是第3层端口.
要实现此配置,我们要运行一个只有一个单词的简单命令,此后,我们运行的其他命令均会生效.
步骤1输入交换机端口范围的接口配置模式:C3750X(config)#interfacerangefirst_interface-last_interface步骤2确保端口是第2层交换机端口.
C3750X(config-if-range)#switchport步骤3使用主机宏为第2层边缘配置端口.
主机宏会自动为您运行三条命令.
它会将端口配置为接入端口(非中继)、禁用隧道组,以及将生成树配置为处于快速端口模式.
C3750X(config-if-range)#switchporthost!
–SwitchOutput:switchportmodewillbesettoaccessspanning-treeportfastwillbeenabledchannelgroupwillbedisabled身份验证设置–灵活身份验证和高畅通性802.
1X的默认行为是如果身份验证失败则拒绝访问网络.
许多客户部署均不希望采用这种行为,因为它既不允许访客访问,也不允许员工修复其计算机系统和获取完整网络访问权限.
处理802.
1X身份验证失败的下一个阶段是提供"Auth-FailVLAN",使身份验证失败的设备/用户能够获得授权,可访问提供有限资源的VLAN.
此步骤是正确定向中的一步,但仍缺乏所需的可行性,在必须对所有打印机和其他非身份验证设备使用MAC身份验证绕行的环境中尤其如此.
如果使用802.
1X的默认行为,对于没有请求方的打印机和其他设备,管理员所采用的端口配置方式必须与计划进行身份验证的端口的配置方式不同.
2015思科系统公司第13页安全访问操作指南因此,思科创建了灵活身份验证(Flex-Auth).
Flex-Auth允许网络管理员在交换机端口上设置身份验证顺序和优先级,从而使端口能够依次尝试使用802.
1X、MAC身份验证绕行和Web身份验证.
提供所有这些功能的同时,还能够在所有接入端口上保持完全相同的配置,因此能够为客户提供比传统802.
1X部署更简单的运行模式.
如前所述,在交换机端口上执行身份验证有多种方法:802.
1X(dot1x)、MAC身份验证绕行(MAB)和基于Web的身份验证(Web-Auth).
如果采用802.
1X身份验证,则交换机会在链路状态变更为"up"之后定期发送身份请求(EAP-Identity-Request)(请参阅"身份验证设置-定时器"一节,了解建议的定时器更改方式).
此外,终端请求方还应该定期将基于LAN的EAP启动(EAPoL启动)消息发送至交换机端口,从而加快身份验证速度.
如果设备无法进行身份验证,则只需等待dot1x超时,随后系统将执行MAC身份验证绕行(MAB).
假如设备MAC地址位于正确的数据库中,则会获得网络访问授权(图3).
图1.
灵活身份验证以下步骤引导您完成Flex-Auth的配置,执行身份验证高可用性的可配置操作.
步骤4在交换机端口上配置身份验证方法的优先级.
最佳实践是始终首选较强的身份验证方法(dot1x).
dot1x方法也是所有思科交换机的默认设置.
C3750X(config-if-range)#authenticationprioritydot1xmab步骤5配置交换机端口上身份验证方法的顺序.
在某些部署方法中,MAC身份验证绕行(MAB)应发生在802.
1X身份验证之前.
对于这些极端情况,思科交换机确实允许网络管理员设置用户可定义的身份验证顺序.
但是,最佳实践是保持先dot1x后MAB的顺序.
C3750X(config-if-range)#authenticationorderdot1xmab2015思科系统公司第14页安全访问操作指南注:Web身份验证也是身份验证顺序命令的一个选项.
此处配置的Web-Auth是指本地Web身份验证.
最佳实践是使用中央Web身份验证.
有关Web身份验证的详细信息,请参阅"Web身份验证".
步骤6将端口配置为使用Flex-Auth,如下所示:C3750X(config-if-range)#authenticationeventfailactionnext-method步骤7将端口配置为在RADIUS服务器关闭时使用本地VLAN.
在"ConfiguretheGlobalRADIUSCommands"程序中,我们已将RADIUS服务器条目配置为使用测试帐户,该帐户会在思科ISE停止响应RADIUS请求后主动向交换机发送警报.
现在,我们将交换机端口配置为在发现服务器处于"停机"状态后对端口进行本地授权,并在服务器再次启动时重新初始化身份验证.
C3750X(config-if-range)#authenticationeventserverdeadactionreinitializevlanvlan-id引入此功能的目的在于解决单个端口上存在多个身份验证主机时发生的以下问题:一部分身份验证主机已进行身份验证,而RADIUS服务器可运行;而其他主机(新主机)尝试在RADIUS服务器关闭时进行身份验证.
引入这一新功能之前,所有通过身份验证的主机(RADIUS服务器运行时)均能获取完整的网络访问权限,而其他主机(新主机)则无法获取网络访问权限.
通过这一新的命令行界面(CLI)功能,当新主机尝试访问网络并且RADIUS服务器关闭时,该端口会立即重新初始化,并且所有主机(在此端口中)都均会获得相同的VLAN.
步骤8将端口配置为在RADIUS服务器关闭时允许在网络上使用电话.
电话是在身份验证成功后通过配置RADIUS服务器以将属性device-traffic-class=voice向下传递到网络来放置在语音域上,从而无法运行.
但是,当RADIUS服务器不可用时,电话将无法访问语音.
这项新功能称为临界语音VLAN.
通过此新功能,当端口处于临界身份验证模式下并且来自主机的流量都带有语音VLAN标记时,设备(电话)会放入到端口的已配置语音VLAN中.
电话通过思科发现协议(CDP)、链路层发现协议(LLDP)或DHCP获取语音VLAN标识.
以下是用于启用此功能的命令:C3750X(config-if-range)#authenticationeventserverdeadactionauthorizevoice步骤9设置端口的主机模式.
启用802.
1X的端口的默认行为是每个端口只授权一个MAC地址.
我们还提供其他选项,最值得注意的是多域身份验证(MDA)和多重身份验证(Multi-Auth)模式.
在所有思科TrustSec部署的初期,最佳实践是使用多重身份验证模式来确保部署802.
1X的过程中不会出现拒绝服务.
注:由于802.
1X在本地处理端口安全功能,因此在TrustSec部署中不推荐这一功能.
2015思科系统公司第15页安全访问操作指南Multi-Auth模式对于每个交换机端口的MAC地址数几乎没有限制,并且要求每个MAC地址均使用经过身份验证的会话.
当部署到达身份验证的最后阶段或进入实施阶段,则建议使用多域模式.
对于每个端口,多域身份验证将在数据域中支持一个MAC地址,在语音域中支持一个MAC地址.
C3750X(config-if-range)#authenticationhost-modemulti-auth步骤10配置违例操作.
如果发生身份验证违例(例如MAC地址数超过端口上支持的最大数量),则默认会将端口置于错误禁用状态.
虽然此行为看似正常且安全,但却可能带来意外的拒绝服务,在部署初期尤为如此.
因此,我们会将该操作设置为受限制.
使用这种运行模式,第一台通过身份验证的设备可以继续其授权操作,而其他设备则会被拒绝.
C3750X(config-if-range)#authenticationviolationrestrict身份验证设置–开放式身份验证和其他步骤默认情况下802.
1X采用二进制.
身份验证成功意味着已授权用户访问网络,不成功的身份验证意味着用户无权访问网络.
此范例无法为现代企业提供很好的帮助,大多数组织需要利用预执行环境(PXE)进行工作站成像,或者可能具有某些必须通过DHCP进行启动且么有任何方法来运行请求方的瘦客户端.
此外,802.
1X的早期采用者在整个公司范围内部署身份验证时也造成了影响.
例如,请求方配置错误,未知设备由于缺少请求方而无法进行身份验证,以及因许多其他原因对所有设备都有影响.
参见下图1.
为帮助部署,思科创建了开放式身份验证模式.
采用开放式身份验证,所有流量均可通过交换机端口,即使端口未获得授权也可以.
此功能允许在整个企业内对身份验证进行配置,而不会拒绝对任何设备的访问.
图2.
默认身份验证模式(封闭式)与开放式身份验证模式步骤1将端口设置为开放式身份验证.
C3750X(config-if-range)#authenticationopen2015思科系统公司第16页安全访问操作指南步骤2在端口上启用MAC身份验证绕行.
C3750X(config-if-range)#mab步骤3支持端口执行IEEE802.
1X身份验证.
C3750X(config-if-range)#dot1xpaeauthenticator身份验证设置–定时器很多定时器可以在部署中根据需要进行修改.
除非遇到调整定时器可纠正意外行为这种特定情况,否则我们建议将除802.
1X传送定时器(传送时间)以外的所有定时器都保留默认值.
传送时间定时器的默认值为30秒.
将此值保留为30秒意味着默认等待90秒(3x传送时间)后,交换机端口会开始采用下一方法进行身份验证,对非身份验证设备启用MAB流程.
思科最佳实践:根据多种配置,最佳实践的建议是将tx-period值设置为10秒,从而为MAB设备提供最佳时间.
将该值设置为10秒以内可能会导致端口过快采用MAC身份验证绕行.
步骤1配置传送时间定时器.
C3750X(config-if-range)#dot1xtimeouttx-period10在端口上应用初始ACL并启用身份验证此步骤将为监控模式准备端口:在端口上应用默认ACL而不拒绝任何流量.
步骤1应用初始ACL(ACL-ALLOW).
C3750X(config-if-range)#ipaccess-groupACL-ALLOWin步骤2开启身份验证.
C3750X(config-if-range)#authenticationport-controlauto注:需要此命令才能启用身份验证(802.
1X、MAB、Web-Auth).
如果没有此命令,则所有流程看似在运行,但不会向RADIUS服务器发送任何身份验证.
2015思科系统公司第17页安全访问操作指南附录A:参考CiscoTrustSec系统:http://www.
cisco.
com/go/trustsechttp://www.
cisco.
com/en/US/solutions/ns340/ns414/ns742/ns744/landing_DesignZone_TrustSec.
html设备配置指南:思科身份服务引擎用户指南:http://www.
cisco.
com/en/US/products/ps11640/products_user_guide_list.
html有关思科IOS软件、思科IOSXE软件和思科NX-OS软件版本的更多信息,请参阅以下URL:对于CiscoCatalyst2900系列交换机:http://www.
cisco.
com/en/US/products/ps6406/products_installation_and_configuration_guides_list.
html对于CiscoCatalyst3000系列交换机:http://www.
cisco.
com/en/US/products/ps7077/products_installation_and_configuration_guides_list.
html对于CiscoCatalyst3000-X系列交换机:http://www.
cisco.
com/en/US/products/ps10745/products_installation_and_configuration_guides_list.
html对于CiscoCatalyst4500系列交换机:http://www.
cisco.
com/en/US/products/hw/switches/ps4324/products_installation_and_configuration_guides_list.
html对于CiscoCatalyst6500系列交换机:http://www.
cisco.
com/en/US/products/hw/switches/ps708/products_installation_and_configuration_guides_list.
html对于CiscoASR1000系列路由器:http://www.
cisco.
com/en/US/products/ps9343/products_installation_and_configuration_guides_list.
html对于思科无线局域网控制器:http://www.
cisco.
com/en/US/docs/wireless/controller/7.
2/configuration/guide/cg.
html