思科在12.2.33 SXI中发布了一系列新的802.1x特性,用于他们的Catalyst 6500交换机阵容。这些新特性的重点是使dot1x更容易部署。这是一种矛盾修辞法吗:dot1x和easy?好吧也许不再。现在,您可以部署在准“显示器只”模式全面下dot1x功能。这可以让你看看是怎么回事,你能实现真正执行之前,在真实环境中发生。架构设计,实施和支持有线802.1X保护的网络可能是您的网络职业生涯中最具挑战性的努力之一。如果你发现自己只是一味地通过项目装模作样的,而不是积极筹划和设计呢?这是尤其如此。我见过有线下dot1x实现我的公平份额的失败,多年来,原因各不相同客户的客户。但一个总体的真理保持跨越它们都保持不变;“这下dot1x东西是不平凡的!”在我的补丁,新的802.1X项目缩减到几乎没有了几年。 But recently I’ve seen a strong resurgence by large companies wanting to give it a go or give it another go depending. I’m not going to pretend to know why but if I had to guess I would say it is because 802.1x is riding the recent popularity wave of all things NAC. So today I wanted to write on the顶部7 802.1x交换机特征您很可能需要完成一次成功的部署。在这里,他们是:使802.1x的部署更简单(监控模式) -问题:802.1x具有许多复杂性和相互依赖性。在此之前,他们没有办法以仅监视模式部署dot1x。保护是默认启用的,这使得它很难平滑地转出。802.1x的设计是故障关闭不打开。它还被设计为每个交换机只允许一个MAC地址。解决方案:鉴于802.1X部署思科已决定允许您更改下dot1x的基本真理的岩石历史。总之,他们正在提供失效开放选项,允许每个端口的多台Mac电脑。该溶液是由两个单独的功能了。首先是所谓的预认证,开放式访问和允许失效开放场景。它允许所有流量,或ACL定义的流量,交换机端口被授权之前流入网络。该命令验证开放并且可以根据每个端口进行配置。第二个特性是身份验证主机模式多认证。这允许一个IP电话在语音vlan和多个主机在数据vlan上的每个交换端口。这两个特性一起允许您在类似于“仅监视”的模式下实现完整的802.1x。这为您提供了所需的工具、时间和真实的测试环境来平滑dot1x的转出。代码示例:
接口范围千兆以太网1/0/1 - VLAN 30交换机端口语音交换机端口24接入VLAN 31 IP访问组UNAUTH以认证主机模式多AUTH 认证开放的认证端口 -控制汽车单抗路由器(config-if) #马伯
Guest VLAN功能支持 -
问题:主机没有802.1x请求者,MAC认证绕过失败。这可能是一个进入您的网络的来宾用户PC。我们假设它们没有启用一个恳求,它们也不在MAC地址数据库中。它们将同时失败并被拒绝网络访问。解:Guest VLAN功能下降失败802.1x和MAB进入预配置的VLAN用户。该VLAN设置在每个交换机端口的基础。这可让您灵活地仅设置在特定的位置,如在会议室启用,但在员工立方体禁用。代码示例:<代码>路由器(配置 - 如果)#认证事件无响应行动授权VLAN 2身份验证主机模式多域或多认证
问题:默认情况下,802.1x每次只允许每个交换机上有一个MAC地址。这导致了当今网络的主要问题。两个常见的例子是IP电话和VMWare实例。如果一个客户端插入IP电话的一个端口,这个端口再插入交换机端口,交换机就会看到两台mac电脑。一个用于手机,另一个用于插在手机上的个人电脑。这将导致端口冲突,导致端口关闭(error -disable)。主机也有同样的想法,它提供多个连接到网络的VMware实例。可以看到多个mac,每个VM一个,端口将错误禁用。解字体增加了一个新特性身份验证host-mode命令被称为身份验证host-mode multi-auth。它允许你在语音vlan上有一个IP电话,在它后面有多个主机。每个主机或MAC地址都分别进行身份验证。动态可下载ACL还可以限制每个主机的访问。这解决了VMware实例的问题。另一个被称为多域的身份验证主机模式特性允许在语音vlan上使用一个IP电话,在数据vlan上使用一个主机。这解决了在有IP电话的环境中部署dot1x的问题。电话和主机分别进行身份验证。代码示例:
身份验证主机模式多域或身份验证主机模式多认证
Auth-Fail-VLAN -
问题:主机随着请求者进入网络,进行身份验证,但用户在网络上没有有效的帐户,因此被拒绝。也许他们的证书已经过期,或者他们是一个客人或承包商的PC,并启用了恳求。它永远不会失败于MAB或客人VLAN,因为请求者正在正确地说话。解:本的Auth-Fail-VLAN功能类似于在客户VLAN功能,如果一个客户端认证失败了一定次数(比如3)然后将它们推到受限VLAN并允许到网络上。他们移动到特定的VLAN是在每个端口上配置。代码示例:< code> Router(config-if)# authentication event failed retry 3 action authorize vlan 2不可访问认证Bypass-
问题:如果AAA服务器宕机,那么新的和潜在的现有dot1x客户机将被拒绝访问网络。解:不可访问的身份验证旁路功能检测AAA服务器何时死亡。当AAA失效时,它将自动授权所有新客户机,并将它们转移到一个可配置的VLAN中。这个vlan可以根据每个端口进行配置。现有的客户端将根据需要重新授权,并保留在现有的VLAN上。当AAA服务器返回时,交换机可以在所有范围交换机上强制重新初始化dot1x,本质上强制重新身份验证。代码示例:
路由器(配置)#半径服务器死区时间标准30次尝试20路由器(配置)#半径服务器60的死区时间路由器(配置)#半径-服务器主机10.10.10.90 ACCT-端口1550 AUTH-端口1560键cisco123测试用户名cisco空闲时间30路由器(配置)#特性dot1x临界EAPOL路由器(配置)#认证临界恢复延迟2000路由器(配置)#接口端口GigabitEthernet 0/1路由器(配置 - 如果)#认证事件服务器死行动授权VLAN 123路由器(配置- 如果)#认证事件服务器活着行动重新初始化在此陈述的观点和信息是我的个人观点,而不是我的雇主。
更多来自詹姆Heary: 信用卡扒窃:小偷如何在你不知道的情况下偷走你的信用卡信息 思科进入拥挤的AV和DLP客户市场 思科的新ASA的代码可以让你安全地把你的思科IP电话与您随时随地 思科的目标是赛门铁克和McAfee的新防病毒客户端 谷歌的Chrome引发安全问题和口味鸡爪状一>去 杰米的博客 有关安全性的文章。*
*
*
*
*