本节书摘来自异步社区《CCNP安全Secure 642-637认证考试指南》一书中的第6章,第6.3节为Cisco Catalyst交换机配置认证方,作者【美】Sean Wilkins , Trey Smith,更多章节内容可以访问云栖社区“异步社区”公众号查看
6.3 为Cisco Catalyst交换机配置认证方CCNP安全Secure 642-637认证考试指南为交换机配置认证方时,管理员需要完成以下工作。
关键
任务1 配置RADIUS服务器参数。
任务2 配置AAA服务与RADIUS协议。
任务3 全局启用802.1X。
任务4 在指定的访问端口启用802.1X。
任务5 配置定期重认证(可选)。
任务6 调整定时器和阈值(可选)。
任务7 配置访客策略与认证失败策略(可选)。
6.3.1 配置选择配置认证方时,管理员需要考虑以下问题。
调整802.1X EAPOL定时器(可选):Cisco IOS软件定时器的默认设置极为保守。如果802.1X认证过程耗时过长,则用户可能无法从DHCP服务器收到分配给自己的IP地址。配置重认证(可选):重认证机制类似于心跳机制(heartbeat)1。如果与主机相连的交换机端口没有配置802.1X认证,则认证工作将交由上游交换机完成。交换机每隔一段时间对客户进行重认证,以确保客户仍然与端口相连,且端口仍然处于授权状态。创建访客VLAN(可选):外部用户、未配置802.1X请求方的用户或没有通过认证的用户都可以被分配到访客VLAN中。访客用户仍然拥有部分权限(如互联网接入),但无法访问任何内部资源。
6.3.2 配置示例我们通过下面的例子说明如何为Cisco Catalyst交换机配置认证方。配置拓扑如图6-2所示,给定条件如下。
企业用户配置了请求方软件,访客用户没有配置请求方软件。二者与局域网交换机(图中未显示)的访问端口相连。路由器作为认证方,其管理IP地址为192.168.1.1。VLAN 100作为访客VLAN,只提供互联网接入服务。Cisco ACS 4.2为认证服务器(AAA服务器),其IP地址为10.1.1.1,采用RADIUS协议进行802.1X认证。
任务2:配置AAA服务与RADIUS协议接下来,管理员需要为启用端口安全的交换机接口配置AAA服务。
步骤1 通过命令aaa new-model在交换机全局启用AAA服务。
步骤2 配置AAA认证方式,指定由RADIUS服务器处理802.1X认证请求。
例6-2显示了在交换机全局启用AAA服务并创建AAA认证方式的命令。
任务5:配置定期重认证(可选)管理员可以指定交换机的某个或某些端口对客户进行定期重认证,不过这并非强制要求。重认证在默认情况下并未启用,如果并非所有交换机都对客户进行认证,就可能造成安全漏洞。例如,分布层交换机对用户进行802.1X认证时,访问层交换机并没有察觉到用户已经中断与自己的连接。此时,访问层交换机端口仍然处于授权状态,从而给攻击者留下可乘之机。启用定期重认证后,RADIUS服务器每隔一段时间强制对客户进行重认证,从而在一定程度上消除了安全隐患。
步骤1 通过接口配置命令authentication periodic3在指定端口启用定期重认证,后者在默认情况下是禁用的。
步骤2 通过接口配置命令authentication timer reauthenticate设置定期重认证的间隔时间,默认为3600秒。缩短该时间将增加端口对用户进行重认证的次数,这有助于提高网络的安全系数,但是也会加重RADIUS服务器的负担。如果RADIUS服务器过于繁忙,它将难以及时响应合法用户的认证请求,从而导致用户无法访问网络资源。
例6-4显示了在端口fa2/1启用定期重认证并将重认证的间隔时间设置为600秒的命令。
关键
注意:请求方与认证方之间的数据包采用EAPOL协议封装,认证方与认证服务器之间的数据包采用RADIUS协议封装。认证方向请求方发送EAP-Request/Identity帧,请求方向认证方返回EAP-Response/Identity帧。如果认证方在一段时间内没有收到请求方的响应,它将要求请求方再次发送身份凭证。接口配置命令dot1x timeout tx-period用于设置重传定时器,默认的重传时间为30秒。管理员可以对重传时间进行调整,以加快802.1X认证的速度。
如果客户因为密码错误等原因没有通过认证,交换机将等待一段时间后再次对客户进行认证。接口配置命令dot1x timeout quiet-period用于设置静默定时器,默认的静默时间为60秒。管理员可以对静默时间进行调整,以加快重新认证的速度。
例6-5显示了将重传定时器与静默定时器均设置为10秒的命令。
配置802.1X认证方时应遵循的原则认证方配置不当将导致请求方无法通过认证并访问网络资源,进行配置时务请谨慎。下面列出了配置认证方时应遵循的一些原则。
如果交换机端口配置了访客策略,在调整端口的EAPOL定时器之前必须进行测试。缩短端口的等待时间虽然会加快处理访客的速度,但也可能导致合法用户被分配给访客VLAN。在调整认证方定时器的同时,可能也需要调整请求方的定时器。应采取多种安全措施以确保攻击者无法通过访客VLAN入侵其他网络资源。必要时,可以考虑将访客用户分配给一个独立的虚拟路由转发实例(VRF instance)。Cisco路由器与交换机采用VRF实现流量划分,VRF有助于隔离访客流量与企业流量。
6.3.3 验证基本的802.1X配置命令show dot1x用于显示交换机配置的802.1X参数,其输出如例6-7所示。
1主机每隔一段时间向服务器发送信号,通知对方自己正常工作的机制。——译者注2即共享密钥(shared secret)。——译者注3从Cisco IOS软件版本12.2(33)SXI起,命令dot1x reauthentication被authentication periodic所取代。——译者注
相关资源:思科CCNP安全认证642-637官方指南