802.1x的认证方式
类型代码 身份验证协议 说明 4 MD5 challenge EAP中类似于CHAP的认证方式 6 GTC 原本打算与RSA SecurID之类的令牌卡一起使用 13 EAP-TLS 以数字证书相互认证 18 EAP-SIM 以移动电话的SIM卡(用户识别模块卡)进行身份验证 21 TTLS 隧道式TLS;以TLS加密保护较弱的身份验证方式 25 PEAP 防护型EAP;以TLS加密保护较弱的EAP认证方式 29 MS-CHAP-V2 微软的经加密的密码身份验证,与windows域兼容 OSV ,Cisco 2960 Windows NPS的联合认证
802.1X提供安全的接入认证,但数据(包括操作系统)存储于本地,数据可能有失窃的危险,比如富士康和比亚迪的官司,在比如陈冠希事件。一些对数据安全要求比较高的企业,政府,一直寻求,即要管好接入端的安全,又要管好数据端安全,做到本地无存储,对数据随需所取的PC应用环境。
OSV配合自己实现的802.1X认证客户端,即实现了对网络接入的数据安全性要求,也实现了对PC的IO虚拟化,通过对数据实现虚拟化派发,用户桌面环境的认证派发,和数据的集中存储,集中管理。通过windows AD 服务器,对用户帐户进行统一管理。
实施准备
1, 支持802.1X认证交换机一台 实验环境:Cisco 2960 (ip:192.168.88.249 netmask 255.255.255.0) 2, Windows 2008 r2 AD 域服务器一台(ip: 192.168.88.188 Netmask:255.255.255.0 ) 3, Windows 2008 r2 NPS服务器一台 (ip: 192.168.88.189 Netmask:255.255.255.0 DNS:192.168.88.188) 4, 客户机一台 5, 已安装,配置好的OSV 服务器一台 (IP:192.168.88.10)
Cisco 交换机配置
cisco>en 进入特权模式 Password: cisco#configure terminal 进入全局配置模式 cisco(config)#interface vlan1 进入接口配置模式,配置Vlan1 cisco(config-if)#ip address 192.168.88.249 255.255.255.0 配置Vlan1的IP cisco(config-if)#exit 退出 cisco(config)#aaa new-model cisco(config)#aaa authentication dot1x default group radius cisco(config)#aaa authorization network default group radius cisco(config)#dot1x system-auth-control cisco(config)#radius-server host 192.168.88.251 auth-port 1812 acct-port 1813 key OSV 配置802.1X的认证服务器IP,密钥为OSV 记住此密钥,配置RADIUS时用到。 cisco(config)#interface fastEthernet 0/X 配置需要进行认证的端口 cisco(config-if)#switchport mode access cisco(config-if)# authentication port-control auto cisco(config-if)#dot1x port-control auto cisco(config-if)#dot1x reauthentication cisco(config-if)#dot1x timeout reauth-period 300 cisco(config-if)#authentication host-mode multi-auth/multi-host/signal-host/mulit-domain 交换机端口下连接多台PC时(通过Hub或交换机)需要配置这个命令,默认只支持对一台PC认证。 cisco(config-if)#authentication violation shutdown/pretect/replace/restrict 802.1X shutdown规则 cisco(config-if)#dot1x pae both cisco(config-if)#spanning-tree portfast 打开端口的快速转发cisco(config-if)#exit cisco(config)#exit
注:配置完成后,要测试交换机与RADIUS是否可通信,可在交换机上ping RADIUS服务器进行判断。
