实现终端设备的安全接入

引言：众所周知，交换机上的MAC地址表很容易受到攻击。使用接入安全技术，可以对该端口进行限制（例如限制其MAC地址数量，对其进行账户认证等），来有效解决该问题。具体的解决方法包括端口安全和802.1X认证技术。

众所周知，交换机上的MAC地址表很容易受到攻击。使用接入安全技术，可以对该端口进行限制（例如限制其MAC地址数量，对其进行账户认证等），来有效解决该问题。具体的解决方法包括端口安全和802.1x认证技术。

在无线网络领域，802.1x认证模式特得到了日益广泛的应用。例如对于无线网络常用的 WEP，WPA，WPA2等基于预共享密钥的认证技术来说，其实际上是可以被破解。

为提高安全性，可以使用802.1认证框架。这样，当用户连接无线网络时，必须经过802.1X的安全认证过程，只有输入正确的账户名和密码才可以连接到无线网络中。当然，在802.1X中还可以实现基于证书的认证，这样可以大大提高安全性。

当客户端刚连接到交换机后，交换机会立即发出一个EAP要求，要求客户端进行认证，之后客户端会发送账户名和密码信息，在该过程中使用EAPOL协议进行封装。当交换机处理时，会从封装的信息中提取账户名和密码信息，使用Radius协议进行封装，并基于IP传送给认证服务器，认证服务器在自己的数据库中进行查询，如果认证通过，则返回给交换机一个允许通过的消息，让客户机可以正常接入。

以简单的例子来说明如何实现基于802.1x的安全认证。在一台思科三层交换机上的e0/2接口上连接了一台ACS服务器，该服务器的IP为10.1.1.100，在交换机的e0/0接口上连接一台客户机，其地址为20.1.1.2，在该交换机的e0/1接口上连接了一台路由器，其IP为20.1.1.1。ACS服务器和这两台设备分别处于VLAN 10和VLAN 20中。在默认情况下，该客户机可以直接访问处于同一VLAN中的路由器。有了802.1x认证保护机制，该客户机在没有得到授权的情况下，是禁止访问该路由器的。

当该客户机连接到交换机后，会和交换机进行EAPMD5等方式的认证，即客户机会发送AAA认证信息给认证服务器，认证服务器会返回给其是否通过认证的信息。在交换机的管理界面中执行“vlan 10”，“name AAA” 和“vlan 20”，“name Client”命令，创建两个VLAN，并分别设置其名称。进入全局配置模式，执行“int range ethernet 0/0 -1”命令，可以针对该接口段进行配置。执 行“switchport host”命令，将该接口段均设置为Access状态，并对其进行优化。执行“switchport access vlan 20”命令，表示将该接口段放置到VLAN20中。执行“exit”和“do sh vlan bri”命令，查看VLAN的状态信息。对应的，执行“int eth 0/2”，“switchport host”，“switchport access valn 10”命令，将e0/2端口分配到VLAN10中。因为是三层交换机，且存在两个VLAN，所以需要使用SVI接口可让其进行通讯。 执 行“int vlan 20”，“ip address 20.1.1.254 255.255.255.0”，“no shut”命令为VLAN 20配置网关地址。执行“int vlan 10”，“ip address xxx.xxx.xxx.xxx 255.255.255.0”，“no shut”命令为VALN 10配置网关，其中“xxx.xxx.xxx.xxx”为ACS服务器的网关地址。

关于802.1x的配置，需要在交换机和ACS服务器分别进行。对于交换机来说，需要先配置线下保护功能，因为在默认情况下，不管是交换机还是路由器，是没有启用AAA的。一旦启用了AAA，所有的线程（包括Console）也会被激活AAA。这样，如果启用了AAA，在没有配置账户名和密码的情况下，当使用Console端口访问设备时，因为在本地没有认证信息，所以是无法对设备进行访问和管理的。执行线下保护，可以让Console连接不会受到其影响。这样，即使通过Telnet，SSH等方式无法访问设备，也可通过Console接口进行设备管理。

在交换机配置模式下执行“aaa new-model”命令，开启AAA功能。执行“aaa authentication login noaaa line none”命令，表示在执行AAA验证登录时启用名为“noaaa”的策略，针对Line进行了保护。如果Line下有的话就执行AAA验证，否则不进行验证。执行“line console 0”命令，表示该策略需要在Console 0下被调用。执行“login authentication noaaa”命令，表示调用了“noaaa”的策略，这样就可以让Console口摆脱了AAA的认证控制。要想实现802.1x认证，必须要让交换机知道向什么设备进行验证。执行“aaa group server radius rzjgaaa”命令，定义一个AAA的Group指定对方的Server，Server使用的是Redius协议，将Server Group的名称设置为“rzjgaaa”。 执 行“serverprivate 10.10.10.100 key cisco”命令，指定该Server的地址，在发现AAA服务器时需要携带的密码，这里为“Cisco”。

之后需要在AAA服务器上配置802.1x的配置信息，访 问“http:// xxx.xxx.xxx.xxx/aceadmin/login.jsp”命令，进入ACS服务器登录界面，输入正确的管理员账户（默认为“acsadmin”）和密码，执行登录操作。在管理界面左侧点击“Network Device Group”、“Network Device and AAA Client”项，在右侧点击“Creat”按钮，输入其名称和描述信息，选 择“Single IP Address”项，输入交换机的IP，可以是上述两个VALN的地址。选择“RADIUS”项，在“Share Secret”栏中输入上述密钥。点击“Submit”按钮，完成提交操作。仅仅创建Client是不够的，还需要在AAA服务器上创建相应的账户。在左侧依次点击“User and Identity Stores”、“Internal Identity Store”、“users”项，在右侧点击“Create”按钮，输入账户名（例如“auser1”），可以在“Indentity Group”列表中选择合适的组，将其放置在该组中。在“password”栏中输入密码，点击“Submit”按钮创建该账户。

可以根据需要创建更多的账户信息。因为AAA服务器提供了默认的验证策略，所以创建好账户后就可以直接使用了。在交换机上执行“test aaa group rzjgaaa auser1 xxx new-code”命令，可以对创建的账户进行测试，这里的“auser1”为创建的认证账户名，“xxx”为该账户的密码。该命令可以模拟客户端向交换机提交认证信息，交换机寻找目标Group，根据以上配置可以和AAA服务器建立连接，对认证进行测试。当结果信息显示“User successfully authenticated”内容时，说明验证通过，也说明以上配置是正确的。在交换机上的全局配置模式下执行“aaa authentication dot1x default group rzjgaaa”命令，表示通过dot1进行认证，采用的是默认的名称，这样可以调用默认的策略，并将其送到“rzjgaaa”组中进行验证。即将从dot1x送来的账户信息发送到目标AAA服务器上进行验证。

执 行“dot1x systemauth-control”命令，来全局激活dot1x。执行“int eth 0/1”，打 开 e0/1接 口。 执行“authentication portcontrol auto”命令，让该接口自动去执行dot1x认证。执行“authentication host-mode single-host”命令，表示仅仅对单一的主机进行验证。执行“dot1x pae authenticator”命令，通知交换机该接口就是认证者。当在客户机对目标路由器进行访问时，是无法进行的。运行“services.msc”命令，在服务管理器中双击“Wired AutoConfig”项，将该服务设置为自动运行状态。对于无线连接来说，需要启动“WLAN AutoConfig”服务。

Windows 7以上版本默认没有提供MD5-Challenge连接选项，所以需手工激活。打开记事本，依次输入“Windows Registry Editor Version 5.00”，“[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesRasManPPPEAP4]”，“"Friendly Name"="MD5-Challenge"”，“"RolesSupported"=dw ord:0000000a”，“"Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,”，“00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,3 3,00,32,00,5c,00,52,00,”，“61,00,73,00,6 3,0 0,6 8,0 0,61,00,70,00,2e,00,64,00,6c,00,6c,00,00,00”，“"InvokeUsernameDialog"=dword:00000001”，“"Inv okenPasswordDialog"=dwo rd:00000001”等内容，保存为REG文件，之后导入注册表即可。在网络连接属性窗口中打开“身份验证”窗口，选择“启用IEEE 802.1x身份验证”项，在“选择网络身份验证方法”列表中选择“MD5-Challenge”项，确定后保存配置信息。当拔下并重新插上网线后，根据提示打开凭证输入窗口，输入以上预设账户名和密码。当登录后即可顺利访问目标网络设备了。在交换机上执行“sh authenticatiom sessions interface ethernet 0/1”命令，可以查看e0/1端口上的认证信息。