利用802.1x协议实现局域网接入的可控管理

2013-12-12 10:24:39 电力信息化  点击量: 评论 (0)
摘 要:802 1x协议可以为企业内联网提供一种安全的用户管理方式。本文介绍了802.1x协议体系结构,重点分析了协议的工作原理及机制,并与目前流行的宽带认证方式进行了比较,最后给出了其在企业局域网接入中实际
 no mdix auto
 dot1x port-control auto 
 dot1x timeout tx-period 10 //限制相应时间保证DHCP工作正常
 dot1x timeout reauth-period 600 //重新认证时间间隔
 dot1x timeout supp-timeout 10
 dot1x guest-vlan 100 //如果用户无法通过验证,暂时划入VLAN 100,可设置策略使此VLAN无法与其它VLAN通信。
 dot1x reauthentication 
 spanning-tree portfast
 
核心交换机Cisco6509配置:
核心交换机上需要进行的设置主要是对Guest VLAN提供路由,同时设置访问控制列表,只允许客户访问必要的资源。如以下配置中的access-list 100允许用户将机器加入到域:
interface Vlan100
 description temp for 802.1x testing
 ip address 172.16.100.10 255.255.255.0
 ip access-group 100 in
end
!
access-list 100 permit udp any host 172.24.64.153 eq domain
access-list 100 permit udp any host 172.24.64.154 eq domain
access-list 100 permit tcp any host 172.24.64.155 eq 88 // kerberos
access-list 100 permit tcp any host 172.24.64.155 eq 135
access-list 100 permit tcp any host 172.24.64.155 eq 389 //LDAP
access-list 100 permit tcp any host 172.24.64.155 eq 1025 
access-list 100 permit tcp any host 172.24.64.155 eq 445
access-list 100 permit udp any host 172.24.64.155 eq netbios-ns
access-list 100 permit udp any host 172.24.64.155 eq 389  //LDAP
access-list 100 permit tcp any host 172.24.64.156 eq 88
access-list 100 permit tcp any host 172.24.64.156 eq 135
access-list 100 permit tcp any host 172.24.64.156 eq 389
access-list 100 permit tcp any host 172.24.64.156 eq 1025
access-list 100 permit tcp any host 172.24.64.156 eq 445
access-list 100 permit udp any host 172.24.64.156 eq netbios-ns
access-list 100 permit udp any host 172.24.64.156 eq 389
 
无线AP Cisco 1200配置:
在使用PEAP方式进行802.1X认证的AP1200上,需要进行以下配置:
配置认证服务器及接口参数:Setup>Security Setup>Authentication Server Setup,选择版本(802.1X Version for EAP Authentication):802.1X-2001,输入RADIUS服务器地址、协议(RADIUS)、端口(1812或1645),最后选中“Use Server for [V] EAP authentication”。
 
 
 
 
WEP加密设置:在菜单Setup>Security Setup>Radio Data Encryption(WEP)中进行如下设置:
 
SSID 设置:
 
 
 
5.3 认证服务器配置
Radius服务器采用Cisco ACS,具体的配置任务如下:
添加AAA客户端(交换机或AP):输入客户端的名称、IP地址、密钥和接口协议等。对于3550/2950交换机,使用RADIUS(IETF)协议;对于AP1200, 使用RADIUS(AIRONET)协议。
系统配置-全局认证配置:允许使用PEAP认证方式;允许EAP-MSCHAP v2。
端口配置-RADIUS(IETF):选中选项:[v]064 [v]065 [v]081。
组选项:设置以下参数值
[064]tunnel-type.tag1=vlan
[065]tunnel-me
大云网官方微信售电那点事儿

责任编辑:和硕涵

免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞