利用802.1x协议实现局域网接入的可控管理
摘 要:802 1x协议可以为企业内联网提供一种安全的用户管理方式。本文介绍了802.1x协议体系结构,重点分析了协议的工作原理及机制,并与目前流行的宽带认证方式进行了比较,最后给出了其在企业局域网接入中实际
no mdix auto
dot1x port-control auto
dot1x timeout tx-period 10 //限制相应时间保证DHCP工作正常
dot1x timeout reauth-period 600 //重新认证时间间隔
dot1x timeout supp-timeout 10
dot1x guest-vlan 100 //如果用户无法通过验证,暂时划入VLAN 100,可设置策略使此VLAN无法与其它VLAN通信。
dot1x reauthentication
spanning-tree portfast
核心交换机Cisco6509配置:
核心交换机上需要进行的设置主要是对Guest VLAN提供路由,同时设置访问控制列表,只允许客户访问必要的资源。如以下配置中的access-list 100允许用户将机器加入到域:
interface Vlan100
description temp for 802.1x testing
ip address 172.16.100.10 255.255.255.0
ip access-group 100 in
end
!
access-list 100 permit udp any host 172.24.64.153 eq domain
access-list 100 permit udp any host 172.24.64.154 eq domain
access-list 100 permit tcp any host 172.24.64.155 eq 88 // kerberos
access-list 100 permit tcp any host 172.24.64.155 eq 135
access-list 100 permit tcp any host 172.24.64.155 eq 389 //LDAP
access-list 100 permit tcp any host 172.24.64.155 eq 1025
access-list 100 permit tcp any host 172.24.64.155 eq 445
access-list 100 permit udp any host 172.24.64.155 eq netbios-ns
access-list 100 permit udp any host 172.24.64.155 eq 389 //LDAP
access-list 100 permit tcp any host 172.24.64.156 eq 88
access-list 100 permit tcp any host 172.24.64.156 eq 135
access-list 100 permit tcp any host 172.24.64.156 eq 389
access-list 100 permit tcp any host 172.24.64.156 eq 1025
access-list 100 permit tcp any host 172.24.64.156 eq 445
access-list 100 permit udp any host 172.24.64.156 eq netbios-ns
access-list 100 permit udp any host 172.24.64.156 eq 389
无线AP Cisco 1200配置:
在使用PEAP方式进行802.1X认证的AP1200上,需要进行以下配置:
配置认证服务器及接口参数:Setup>Security Setup>Authentication Server Setup,选择版本(802.1X Version for EAP Authentication):802.1X-2001,输入RADIUS服务器地址、协议(RADIUS)、端口(1812或1645),最后选中“Use Server for [V] EAP authentication”。
WEP加密设置:在菜单Setup>Security Setup>Radio Data Encryption(WEP)中进行如下设置:
SSID 设置:
5.3 认证服务器配置
Radius服务器采用Cisco ACS,具体的配置任务如下:
添加AAA客户端(交换机或AP):输入客户端的名称、IP地址、密钥和接口协议等。对于3550/2950交换机,使用RADIUS(IETF)协议;对于AP1200, 使用RADIUS(AIRONET)协议。
系统配置-全局认证配置:允许使用PEAP认证方式;允许EAP-MSCHAP v2。
端口配置-RADIUS(IETF):选中选项:[v]064 [v]065 [v]081。
组选项:设置以下参数值
[064]tunnel-type.tag1=vlan
[065]tunnel-me
责任编辑:和硕涵
免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞
-
现货模式下谷电用户价值再评估
2020-10-10电力现货市场,电力交易,电力用户 -
PPT | 高校综合能源服务有哪些解决方案?
2020-10-09综合能源服务,清洁供热,多能互补 -
深度文章 | “十三五”以来电力消费增长原因分析及中长期展望
2020-09-27电力需求,用电量,全社会用电量
-
PPT | 高校综合能源服务有哪些解决方案?
2020-10-09综合能源服务,清洁供热,多能互补 -
深度文章 | “十三五”以来电力消费增长原因分析及中长期展望
2020-09-27电力需求,用电量,全社会用电量 -
我国电力改革涉及的电价问题
-
贵州职称论文发表选择泛亚,论文发表有保障
2019-02-20贵州职称论文发表 -
《电力设备管理》杂志首届全国电力工业 特约专家征文
2019-01-05电力设备管理杂志 -
国内首座蜂窝型集束煤仓管理创新与实践
-
人力资源和社会保障部:电线电缆制造工国家职业技能标准
-
人力资源和社会保障部:变压器互感器制造工国家职业技能标准
-
《低压微电网并网一体化装置技术规范》T/CEC 150
2019-01-02低压微电网技术规范
-
现货模式下谷电用户价值再评估
2020-10-10电力现货市场,电力交易,电力用户 -
建议收藏 | 中国电价全景图
2020-09-16电价,全景图,电力 -
一张图读懂我国销售电价附加
2020-03-05销售电价附加
-
电气工程学科排行榜发布!华北电力大学排名第二
-
国家电网61家单位招聘毕业生
2019-03-12国家电网招聘毕业生 -
《电力设备管理》杂志读者俱乐部会员招募
2018-10-16电力设备管理杂志