實現終端設備的安全接入

引言：眾所周知，交換機上的MAC地址表很容易受到攻擊。使用接入安全技術，可以對該端口進行限制（例如限制其MAC地址數量，對其進行賬戶認證等），來有效解決該問題。具體的解決方法包括端口安全和802.1X認證技術。

眾所周知，交換機上的MAC地址表很容易受到攻擊。使用接入安全技術，可以對該端口進行限制（例如限制其MAC地址數量，對其進行賬戶認證等），來有效解決該問題。具體的解決方法包括端口安全和802.1x認證技術。

在無線網絡領域，802.1x認證模式特得到了日益廣泛的應用。例如對于無線網絡常用的 WEP，WPA，WPA2等基于預共享密鑰的認證技術來說，其實際上是可以被破解。

為提高安全性，可以使用802.1認證框架。這樣，當用戶連接無線網絡時，必須經過802.1X的安全認證過程，只有輸入正確的賬戶名和密碼才可以連接到無線網絡中。當然，在802.1X中還可以實現基于證書的認證，這樣可以大大提高安全性。

當客戶端剛連接到交換機后，交換機會立即發出一個EAP要求，要求客戶端進行認證，之后客戶端會發送賬戶名和密碼信息，在該過程中使用EAPOL協議進行封裝。當交換機處理時，會從封裝的信息中提取賬戶名和密碼信息，使用Radius協議進行封裝，并基于IP傳送給認證服務器，認證服務器在自己的數據庫中進行查詢，如果認證通過，則返回給交換機一個允許通過的消息，讓客戶機可以正常接入。

以簡單的例子來說明如何實現基于802.1x的安全認證。在一臺思科三層交換機上的e0/2接口上連接了一臺ACS服務器，該服務器的IP為10.1.1.100，在交換機的e0/0接口上連接一臺客戶機，其地址為20.1.1.2，在該交換機的e0/1接口上連接了一臺路由器，其IP為20.1.1.1。ACS服務器和這兩臺設備分別處于VLAN 10和VLAN 20中。在默認情況下，該客戶機可以直接訪問處于同一VLAN中的路由器。有了802.1x認證保護機制，該客戶機在沒有得到授權的情況下，是禁止訪問該路由器的。

當該客戶機連接到交換機后，會和交換機進行EAPMD5等方式的認證，即客戶機會發送AAA認證信息給認證服務器，認證服務器會返回給其是否通過認證的信息。在交換機的管理界面中執行“vlan 10”，“name AAA” 和“vlan 20”，“name Client”命令，創建兩個VLAN，并分別設置其名稱。進入全局配置模式，執行“int range ethernet 0/0 -1”命令，可以針對該接口段進行配置。執 行“switchport host”命令，將該接口段均設置為Access狀態，并對其進行優化。執行“switchport access vlan 20”命令，表示將該接口段放置到VLAN20中。執行“exit”和“do sh vlan bri”命令，查看VLAN的狀態信息。對應的，執行“int eth 0/2”，“switchport host”，“switchport access valn 10”命令，將e0/2端口分配到VLAN10中。因為是三層交換機，且存在兩個VLAN，所以需要使用SVI接口可讓其進行通訊。 執 行“int vlan 20”，“ip address 20.1.1.254 255.255.255.0”，“no shut”命令為VLAN 20配置網關地址。執行“int vlan 10”，“ip address xxx.xxx.xxx.xxx 255.255.255.0”，“no shut”命令為VALN 10配置網關，其中“xxx.xxx.xxx.xxx”為ACS服務器的網關地址。

關于802.1x的配置，需要在交換機和ACS服務器分別進行。對于交換機來說，需要先配置線下保護功能，因為在默認情況下，不管是交換機還是路由器，是沒有啟用AAA的。一旦啟用了AAA，所有的線程（包括Console）也會被激活AAA。這樣，如果啟用了AAA，在沒有配置賬戶名和密碼的情況下，當使用Console端口訪問設備時，因為在本地沒有認證信息，所以是無法對設備進行訪問和管理的。執行線下保護，可以讓Console連接不會受到其影響。這樣，即使通過Telnet，SSH等方式無法訪問設備，也可通過Console接口進行設備管理。

在交換機配置模式下執行“aaa new-model”命令，開啟AAA功能。執行“aaa authentication login noaaa line none”命令，表示在執行AAA驗證登錄時啟用名為“noaaa”的策略，針對Line進行了保護。如果Line下有的話就執行AAA驗證，否則不進行驗證。執行“line console 0”命令，表示該策略需要在Console 0下被調用。執行“login authentication noaaa”命令，表示調用了“noaaa”的策略，這樣就可以讓Console口擺脫了AAA的認證控制。要想實現802.1x認證，必須要讓交換機知道向什么設備進行驗證。執行“aaa group server radius rzjgaaa”命令，定義一個AAA的Group指定對方的Server，Server使用的是Redius協議，將Server Group的名稱設置為“rzjgaaa”。 執 行“serverprivate 10.10.10.100 key cisco”命令，指定該Server的地址，在發現AAA服務器時需要攜帶的密碼，這里為“Cisco”。

之后需要在AAA服務器上配置802.1x的配置信息，訪 問“http:// xxx.xxx.xxx.xxx/aceadmin/login.jsp”命令，進入ACS服務器登錄界面，輸入正確的管理員賬戶（默認為“acsadmin”）和密碼，執行登錄操作。在管理界面左側點擊“Network Device Group”、“Network Device and AAA Client”項，在右側點擊“Creat”按鈕，輸入其名稱和描述信息，選 擇“Single IP Address”項，輸入交換機的IP，可以是上述兩個VALN的地址。選擇“RADIUS”項，在“Share Secret”欄中輸入上述密鑰。點擊“Submit”按鈕，完成提交操作。僅僅創建Client是不夠的，還需要在AAA服務器上創建相應的賬戶。在左側依次點擊“User and Identity Stores”、“Internal Identity Store”、“users”項，在右側點擊“Create”按鈕，輸入賬戶名（例如“auser1”），可以在“Indentity Group”列表中選擇合適的組，將其放置在該組中。在“password”欄中輸入密碼，點擊“Submit”按鈕創建該賬戶。

可以根據需要創建更多的賬戶信息。因為AAA服務器提供了默認的驗證策略，所以創建好賬戶后就可以直接使用了。在交換機上執行“test aaa group rzjgaaa auser1 xxx new-code”命令，可以對創建的賬戶進行測試，這里的“auser1”為創建的認證賬戶名，“xxx”為該賬戶的密碼。該命令可以模擬客戶端向交換機提交認證信息，交換機尋找目標Group，根據以上配置可以和AAA服務器建立連接，對認證進行測試。當結果信息顯示“User successfully authenticated”內容時，說明驗證通過，也說明以上配置是正確的。在交換機上的全局配置模式下執行“aaa authentication dot1x default group rzjgaaa”命令，表示通過dot1進行認證，采用的是默認的名稱，這樣可以調用默認的策略，并將其送到“rzjgaaa”組中進行驗證。即將從dot1x送來的賬戶信息發送到目標AAA服務器上進行驗證。

執 行“dot1x systemauth-control”命令，來全局激活dot1x。執行“int eth 0/1”，打 開 e0/1接 口。 執行“authentication portcontrol auto”命令，讓該接口自動去執行dot1x認證。執行“authentication host-mode single-host”命令，表示僅僅對單一的主機進行驗證。執行“dot1x pae authenticator”命令，通知交換機該接口就是認證者。當在客戶機對目標路由器進行訪問時，是無法進行的。運行“services.msc”命令，在服務管理器中雙擊“Wired AutoConfig”項，將該服務設置為自動運行狀態。對于無線連接來說，需要啟動“WLAN AutoConfig”服務。

Windows 7以上版本默認沒有提供MD5-Challenge連接選項，所以需手工激活。打開記事本，依次輸入“Windows Registry Editor Version 5.00”，“[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesRasManPPPEAP4]”，“"Friendly Name"="MD5-Challenge"”，“"RolesSupported"=dw ord:0000000a”，“"Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,”，“00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,3 3,00,32,00,5c,00,52,00,”，“61,00,73,00,6 3,0 0,6 8,0 0,61,00,70,00,2e,00,64,00,6c,00,6c,00,00,00”，“"InvokeUsernameDialog"=dword:00000001”，“"Inv okenPasswordDialog"=dwo rd:00000001”等內容，保存為REG文件，之后導入注冊表即可。在網絡連接屬性窗口中打開“身份驗證”窗口，選擇“啟用IEEE 802.1x身份驗證”項，在“選擇網絡身份驗證方法”列表中選擇“MD5-Challenge”項，確定后保存配置信息。當拔下并重新插上網線后，根據提示打開憑證輸入窗口，輸入以上預設賬戶名和密碼。當登錄后即可順利訪問目標網絡設備了。在交換機上執行“sh authenticatiom sessions interface ethernet 0/1”命令，可以查看e0/1端口上的認證信息。