VLAN会员策略服务器(钢瓶)是一种技术,在某个时间点上,为组织机构提供了一种方法来控制对其网络的访问。一些组织接受了它,几年后,他们发现这是一个沉重的负担。然而,摆脱vmp并非易事,拖延的时间越长,分手的难度就越大。
VMPS是思科的专有解决方案,为用户提供访问网络基于他们的MAC地址。VMPS可以在Cisco 4000/4500/5000/6000/6500交换机上使用。作为VPMS配置的一部分,使用有效网络附加设备的MAC地址和vlan构造一个大表。这个VMPS数据库放在网络环境中的交换机上,交换机的作用类似于VMPS服务器,以便其他交换机进行查询。当计算机打开并激活它们的nic时,环境中的访问开关使用VLAN查询协议(VQP),它使用UDP端口1589确定终端用户MAC地址的VLAN名称,然后将该用户分配给该VLAN。VMPS访问系统根据用户的MAC地址动态地将以太网交换机分配给特定的VLAN。这个数据库是手工维护的,并且根据组织的大小,经常每天更新1到10次。VMPS下载服务器是一个Cisco以太网交换机,而vmp .cfg文件是通过TFTP传输到VMPS服务器的文件。还可以使用主VMPS服务器和备份VMPS服务器来实现高可用性。
如果你是好奇这里是思科指南配置vmp在6500个运行CatOS 8.7。
这里是一个指南催化剂VMPS开关的故障排除。
许多人已经编写了VMPS的描述。从肖恩Convery的思科出版社图书这里是什么,他说这大约VMPS。
与VMPS的问题:
这个系统确实有一些缺点。如果攻击者知道他们在做什么,他们仍然可以用本地管理的MAC地址分配一个静态的IP地址给他们的系统来破坏这个系统。该系统还有许多未被删除的历史MAC地址。因此,需要对仍然有效的MAC地址执行审计。一种方法是今天拉出凸轮表然后说今天网络中的所有东西都是允许的。
VMPS服务器的一个问题是,根据用户数量和数据库的大小,该协议会消耗大量处理器能力。我曾见过一些组织拥有数以千计的用户和成千上万的数据库条目。这是因为很少有组织有从数据库中删除任何输入的内容的规则。如果您正在使用VMPS,并且在VMPS服务器上注意到这些消息,那么您可能有问题。日志可以显示与VQP有问题相关的许多消息。这样的消息在系统slog中或在CiscoWorks服务器。
2009年1月05日15:46:26 MDT -07:00 %IP-6- udp_sockovfl:UDP套接字溢出源IP: 192.168.126.92,目的端口:1589 Cisco错误消息解码器说,这些消息与以下问题有关。
1.这条消息表明,由于管理VLAN上过多的UDP流量,网络管理处理器(NMP)上UDP套接字的所有缓冲区已经满了,无法存储额外的流量。[chars]是源IP地址,[dec]是目的端口号。
推荐的操作:取出或阻塞UDP信息包的源,以防止进一步的UDP数据包丢失。注意内核消息并不表明系统性能的问题,但应当报您的技术支持代表。
与VMPS其他问题涉及vmps.txt文件占用的VMPS服务器的闪存文件系统空间。这种体验在案Jonboys博客。
问题出现在这样一个事实中:为了使用VMPS,必须使用CatOS。VMPS在Cat IOS中不受支持。因此,任何选择了VMPS的组织都陷入了没有升级路径的困境。这种技术过时的问题使得许多使用VMPS的组织无法在Cat IOS中使用任何更新的特性。此外,VMPS现在已被思科弃用,不建议客户使用。事实上,使用VMPS的组织在其交换机上当前使用的软件版本上被冻结,因为较新的版本不支持VMPS。因此,如果在当前版本的switch软件上发现漏洞,使用VMPS的组织将被迫在VMPS和安全性之间做出选择。
DISA有Dissed VMPS:
美国国防信息系统局(DISA)网络安全安全技术实施指南(STIGs)不推荐国防部组织使用。的DISA STIG在第76-78页有几个关于VPMS的段落。最后一句以“由于这些原因,美国国防部认为VMPS不能用于提供端口认证或动态VLAN分配。”
VMPS用户有哪些选项?
VMPS还有其他几种替代方案,我们鼓励组织探索其他方案,这些方案将来将得到思科的支持,并且也基于行业标准。组织真正在寻找的是一种容易执行的方法网络访问控制(NAC)并防止未经授权的用户访问网络。市场上有许多风格和口味的NAC解决方案。因为有许多不同的方法,可能很难区分它们。每个系统都有不同的方法来评估端点的安全性,它们也有不同的方法来包含安全威胁。下表涵盖了NAC产品使用的少数基本的政策执行形式。
执行技术:
ieee802.1 x以太网交换机只有在终端经过正确的身份验证且运行正常的情况下才打开端口。这在无线局域网中很常见。缺点是,每个终点都需要一个恳求者。
VLAN控制这项技术分配用户的LAN交换口到一个特定的VLAN(来宾、补救、内部网,…)。NAC系统的命令和控制功能必须与局域网交换机交互。
DHCP租赁管理的NAC系统控制,所述终点接收通过DHCP的IP地址
ARP中毒使用ARP来控制哪些主机可以通过修改IP地址绑定到MAC地址来进行通信
DNS重定向重定向向门户网站的所有DNS请求将用户引导至鉴权系统
串联阻断NAC系统,是在联机计算机和网络的核心之间可以从与网络的其余部分通信停止特定的客户端。越接近NAC系统对端点的更精细的控制。
DHCP和ARP中毒是两种用于控制哪些端点访问网络的技术。NAC系统首先将一个主机放到一个私有网络上,以便对其进行评估,然后根据需要更改主机的IP。DHCP控制只需对底层基础设施进行很少的更改,而且与切换端口操作、VLAN转向或动态更新路由器acl相比,入侵性更小。另一方面,ARP中毒使用ARP来管理MAC-to-IP映射,网络主机使用它在一个子网内进行通信。例如,如果一台主机发送了一个ARP包,说它是网络路由器,那么该网段上的所有端点都将向它发送与其他网段绑定的所有包(请注意,这个概念被称为ARP中毒,不管它的用途是好是坏)。
无论哪种方法,很容易被攻击者知识渊博击败。使用静态IP地址将绕过DHCP租赁管理得心应手。ARP中毒是有点强,但在Windows主机上,使用内置“ARP -a”命令将创建一个静态ARP映射。最棘手的部分是获得网络对等 - 路由器,例如 - 要知道你的真实MAC地址是什么。不断发出针对ARP响应是一个解决方案。因此,当DHCP租赁管理和ARP中毒NAC试点过程中有其用途为临时执行办法,更好的执法手段,如VLAN转向或802.1X应该是首选。这一规则的例外是那里没有别的效果很好,如当基础设施不受管理的情况下,或者它太昂贵部署在线执行。
思科的第三层交换机有DHCP窥探和动态ARP检验拥有这些LAN的残害,是可以帮助保持标签。我经常建议这些给我的客户,即使一个NAC解决方案不被部署这些功能被启用。
最好的办法NAC执行端点评估和检查状态允许客户端之前连接到网络。较强的NAC解决方案提供集成与LAN交换的基础设施和使用802.1X实现网络边缘的这种严格的控制。然而,当组织有集线器它使802.1X基础设施解决方案难以部署。这些中心将需要为了能够部署NAC解决方案将被删除。
使用802.1X的NAC解决方案通常没有很多补救能力,因此必须与其他技术相结合进行补救。IEEE 802.1X仅仅是一种访问控制方法。最坏的情况下解决方案需要手动修复一次客户VLAN上的计算机。更好的解决方案可以自动修复主机。
带内NAC系统可能会受到来自千兆以太网桌面的大量带宽的潜在影响。有些带内NAC解决方案使用高性能专用集成电路,有些甚至有10GE接口用于在分布网络和核心网络交换机之间连接。由于当今许多组织的网络主要由10/100/1000个访问端口组成,因此带宽就不那么重要了。一些带内解决方案在NAC层-2解决方案上与IEEE 802.1Q操作。这可能是一个可行的解决方案,因为带内解决方案的聚合带宽是可以接受的。
虽然有几种解决方案存在作为VMPS可行的替代品VMPS最流行的替代选择是组织使用基于身份的网络服务802.1X MAC验证绕过(MAB)或更完整的NAC溶液等思科的南京汽车电器。甚至思科也推荐VMPS和思科安全用户注册工具(CSURT)用户迁移到802.1X MAB。
802.1倍马伯允许没有802.1X请求者连接到访问开关的设备在RADIUS认证请求中使用他们的MAC地址。RADIUS服务器在其数据库中查找MAC地址,并确定MAC地址是否允许,以及应该为它分配什么VLAN。RADIUS服务器用该信息响应访问交换机的身份验证请求,以允许计算机访问网络。诀窍是将MAC地址和VLAN映射到RADIUS服务器或LDAP数据库中,以便RADIUS服务器进行查询。
如果您感兴趣,这里有思科6500 CatOS 8.7的链接配置指南802.1 x。此外,这里是思科6500猫IOS 12.2(SXH)配置指南802.1 x。
下面是Cat IOS开关的一个界面配置示例,该开关已被设置为802.1X MAB模式。接口FastEthernet1/6切换端口访问vlan 20切换端口模式访问dot1x mac-auth-bypass dot1x pae authenticator dot1x端口控制自动扩充树端口快速扩充树bpduguard启用
配置命令在6500s上12.2的新版本中使用“authentication”命令更改为新的语法。下面是Cat IOS 12.2(33)SXI的一个较新的MAB配置示例。
路由器(配置)#界面FastEthernet路由器(config-if) 1/6 #验证港口管制汽车路由器(config-if) #验证事件没有响应操作授权vlan 20路由器(config-if) # dot1x pae身份路由器(config-if) # dot1x超时supp-timeout 3路由器(config-if) # dot1x超时tx-period 15路由器(config-if) # dot1x pae身份路由器(config-if) #马伯(eap)
下面是用于确定您的MAB配置工作如预期一些有用的Cisco IOS show命令。显示下dot1x所有[摘要]显示下dot1x界面显示下dot1x接口fastethernet1 / 6细节展示认证[注册|接口|方法]显示认证会话[手柄手柄] [接口接口] [MAC MAC] [法法] [会话ID会话ID]显示VLAN组[组名组名]清除下dot1x接口快速以太网1/6清晰接口快速以太网1/6方法马伯认证课程
要了解更多关于Cat IOS 12.2(33)SXI中802.1X的最新特性,请查看詹姆Heary的博客在这个话题。
如果你是VMPS的当前用户我祝你一切好运迁移到802.1X(有或没有MAB)或NAC设备的解决方案。
斯科特