思科ISE对有线接入用户进行802.1X认证

前言

通过上篇文章《思科ISE对有线接入用户进行MAC认证》你应该了解了NAC中的MAC认证方式不需要安装客户端，但是需要在认证服务器上登记MAC地址，管理比较复杂；那么这篇文章给大家介绍的是（NAC）中的另外一种8021X认证，8021X认证是网络接入控制方案，是一种基于端口的网络接入控制协议，通过它能够实现保护企业内网的安全性的目的。8021X认证安全性较高。

8021X理论介绍

1） 客户端是请求接入局域网的用户终端设备，它由局域网中的设备端对其进行认证。客户端上必须安装支持8021X认证的客户端软件。

2） 设备端是局域网中控制客户端接入的网络设备，位于客户端和认证服务器之间，为客户端提供接入局域网的端口（物理端口或逻辑端口），并通过与服务器的交互来对所连接的客户端进行认证。

3） 认证服务器用于对客户端进行认证、授权和计费，通常为RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）服务器。认证服务器根据设备端发送来的客户端认证信息来验证客户端的合法性，并将验证结果通知给设备端，由设备端决定是否允许客户端接入。在一些规模较小的网络环境中，认证服务器的角色也可以由设备端来代替，即由设备端对客户端进行本地认证、授权和计费。

下图显示了受控端口上不同的授权状态对通过该端口报文的影响。图中对比了两个8021X认证系统的端口状态。系统1的受控端口处于非授权状态，不允许报文通过；系统2的受控端口处于授权状态，允许报文通过。

3）受控方向

在非授权状态下，受控端口可以处于单向受控或双向受控状态。

8021X系统使用EAP（Extensible Authentication Protocol，可扩展认证协议）来实现客户端、设备端和认证服务器之间认证信息的交互。EAP是一种C/S模式的认证框架，它可以支持多种认证方法，例如MD5-Challenge、EAP-TLS、PEAP等。在客户端与设备端之间，EAP报文使用EAPOL封装格式承载于数据帧中传递。在设备端与RADIUS服务器之间，EAP报文的交互有以下两种处理机制。

1) EAP中继

设备对收到的EAP报文进行中继，使用EAPOR（EAP over RADIUS）封装格式将其承载于RADIUS报文中发送给RADIUS服务器进行认证。

2) EAP终结

设备对EAP认证过程进行终结，将收到的EAP报文中的客户端认证信息封装在标准的RADIUS报文中，与服务器之间采用PAP（Password Authentication Protocol，密码验证协议）或CHAP（Challenge Handshake Authentication Protocol，质询握手验证协议）方法进行认证。

1） EAP中继方式

这种方式是IEEE 8021X标准规定的，将EAP承载在其它高层协议中，如EAP over RADIUS，以便扩展认证协议报文穿越复杂的网络到达认证服务器。一般来说，需要RADIUS服务器支持EAP属性：EAP-Message和Message-Authenticator，分别用来封装EAP报文及对携带EAP-Message的RADIUS报文进行保护。

IEEE 8021X认证系统的EAP中继方式业务流程

2） EAP终结方式

这种方式将EAP报文在设备端终结并映射到RADIUS报文中，利用标准RADIUS协议完成认证、授权和计费。设备端与RADIUS服务器之间可以采用PAP或者CHAP认证方法。下面以CHAP认证方法为例介绍基本业务流程。

IEEE 8021X认证系统的EAP终结方式业务流程

一实验拓扑

二实验需求

三实验设备及注意事项

四 思科ISE的配置逻辑

表1 思科ISE的配置逻辑

五 数据规划

表2交换机接口和VLAN规划

表3网络设备IP地址规划

表4交换机业务数据规划

表5ISE业务数据规划

六 实验步骤

Step 1 - 交换机VLAN配置。

Step 2 - Cisco ISE，业务服务器，终端IP地址配置略。

Step 3 - 交换机侧配置。

Step 4 - Cisco ISE 配置

参数说明：

设备名称：Switch

IP地址：192168100254，交换机上该接口必须与ISE互通。

RADIUS密钥：Helperaddress@2019，必须与交换机上配置的RADIUS认证和计费密钥一致

Step 5 - 认证终端安装8021x服务

Step 5 - 检查配置结果

一 前言

通过往期3篇文章《思科ISE 对公司访客进行Portal 认证》，《思科ISE对有线接入用户进行MAC认证》，《思科ISE对有线接入用户进行8021X认证》的学习，想必大家对网络准入已经很熟悉了。了解了每一种准入方案的使用场景，为网络的安全起到了更大的保障。

通常情况下，我们在创建ACL时都是在路由器或者防火墙上进行创建，由于每个用户对应的ACL条目并不多，如果路由器或者防火墙上的ACL条目过多时，会降低它们的性能；我们可以在AAA服务器上创建ACL，当有用户要访问网络资源时，用户需要输入用户名和密码，然后AAA服务器将这个用户所对应的ACL条目动态地下发到目标主机上，从而实现针对不同授权的用户，实现不同网络权限的访问。

二 VLAN配置下发简介

本案例以授权ACL和动态VLAN为例，简单介绍如何通过思科ISE为终端用户授权。

一 实验拓扑

二 组网需求

如上图所示，某公司内部大量员工终端通过SwitchA上的接口GE1/0/1接入网络。为确保网络的安全性，管理员需对终端的网络访问权限进行控制，要求如下：

三 配置逻辑

华为交换机的配置逻辑如下图所示

表1 思科ISE的配置逻辑

四 实验设备及注意事项

本举例适用于华为V200R009C00及之后版本的所有交换机，Cisco ISE的版本为21，Cisco ISE作为RADIUS服务器与设备对接实现授权时，需要注意以下事项：

五 数据规划

表2 接入交换机业务数据规划

表3Cisco ISE服务器业务数据规划

六 配置步骤

Step 1 - 配置接入交换机SwitchA。

Step 2 - Cisco ISE 服务器侧配置

表4

在“Add New Standard Profile”页面，设置访问权限。

表5

进入路由器终端？

en

cong t

输入这样的命令就可以进入全局配置模式，同时可以进行一些操作

一般我们在特权模式下进行查看路由器的一些信息

例如查看接口状态：sho intferface f0/0（端口号）

查看路由状态：sho ip rou

查看当前运行的配置：sho run（常用）

当然还有很多，这里给楼主找了一些，因为比较多，所以就复制了~

命令状态

1 router>

路由器处於用户命令状态，这时用户可以看路由器的连接状态，访问其它网络和主机，但不能看到和更改路由器的设置内容。

2 router#

在router>提示符下键入enable,路由器进入特权命令状态router#，这时不但可以执行所有的用户命令，还可以看到和更改路由器的设置内容。

3 router(config)#

在router#提示符下键入configure terminal,出现提示符router(config)#，此时路由器处於全局设置状态，这时可以设置路由器的全局参数。

4 router(config-if)#; router(config-line)#; router(config-router)#;…

路由器处於局部设置状态，这时可以设置路由器某个局部的参数。

5 >

路由器处於RXBOOT状态，在开机后60秒内按ctrl-break可进入此状态，这时路由器不能完成正常的功能，只能进行软件升级和手工引导。

6设置对话状态

这是一台新路由器开机时自动进入的状态，在特权命令状态使用SETUP命令也可进入此状态，这时可通过对话方式对路由器进行设置。

设置路由器名：

Enter host name [Router]:

2．设置进入特权状态的密文(secret)，此密文在设置以后不会以明文方式显示：

The enable secret is a one-way cryptographic secret used

instead of the enable password when it exists

Enter enable secret: cisco

3．设置进入特权状态的密码(password)，此密码只在没有密文时起作用，并且在设置以后会以明文方式显示：

The enable password is used when there is no enable secret

and when using older software and some boot images

Enter enable password: pass

4．设置虚拟终端访问时的密码：

Enter virtual terminal password: cisco

5．询问是否要设置路由器支持的各种网络协议：

Configure SNMP Network Management [yes]:

Configure DECnet [no]:

Configure AppleTalk [no]:

Configure IPX [no]:

Configure IP [yes]:

Configure IGRP routing [yes]:

Configure RIP routing [no]:

………

6．如果配置的是拨号访问服务器，系统还会设置异步口的参数：

Configure Async lines [yes]:

1)设置线路的最高速度：

Async line speed [9600]:

2)是否使用硬件流控：

Configure for HW flow control [yes]:

3)是否设置modem：

Configure for modems [yes/no]: yes

4)是否使用默认的modem命令：

Configure for default chat script [yes]:

5)是否设置异步口的PPP参数：

Configure for Dial-in IP SLIP/PPP access [no]: yes

6)是否使用动态IP地址：

Configure for Dynamic IP addresses [yes]:

7)是否使用缺省IP地址：

Configure Default IP addresses [no]: yes

8)是否使用TCP头压缩：

Configure for TCP Header Compression [yes]:

9)是否在异步口上使用路由表更新：

Configure for routing updates on async links [no]: y

10)是否设置异步口上的其它协议。

接下来，系统会对每个接口进行参数的设置。

1． Configuring interface Ethernet0:

1)是否使用此接口：

Is this interface in use [yes]:

2)是否设置此接口的IP参数：

Configure IP on this interface [yes]:

3)设置接口的IP地址：

IP address for this interface: 1921681622

4)设置接口的IP子网掩码：

Number of bits in subnet field [0]:

Class C network is 1921681620, 0 subnet bits; mask is /24

在设置完所有接口的参数后，系统会把整个设置对话过程的结果显示出来：

The following configuration command script was created:

hostname Router

enable secret 5 $1$W5Oh$p6J7tIgRMBOIKVXVG53Uh1

enable password pass

…………

请注意在enable secret后面显示的是乱码，而enable password后面显示的是设置的内容。

显示结束后，系统会问是否使用这个设置：

Use this configuration [yes/no]: yes

如果回答yes，系统就会把设置的结果存入路由器的NVRAM中，然后结束设置对话过程，使路由器开始正常的工作。

返回目录

常用命令

1帮助

在IOS操作中，无论任何状态和位置，都可以键入“？”得到系统的帮助。

2改变命令状态

任务命令

进入特权命令状态enable

退出特权命令状态disable

进入设置对话状态setup

进入全局设置状态config terminal

退出全局设置状态end

进入端口设置状态interface type slot/number

进入子端口设置状态interface type numbersubinterface [point-to-point | multipoint]

进入线路设置状态line type slot/number

进入路由设置状态router protocol

退出局部设置状态exit

3显示命令

任务命令

查看版本及引导信息show version

查看运行设置show running-config

查看开机设置show startup-config

显示端口信息show interface type slot/number

显示路由信息show ip router

4拷贝命令

用於IOS及CONFIG的备份和升级

5网络命令

任务命令

登录远程主机telnet hostname|IP address

网络侦测ping hostname|IP address

路由跟踪trace hostname|IP address

6基本设置命令

任务命令

全局设置config terminal

设置访问用户及密码username username password password

设置特权密码enable secret password

设置路由器名hostname name

设置静态路由ip route destination subnet-mask next-hop

启动IP路由ip routing

启动IPX路由ipx routing

端口设置interface type slot/number

设置IP地址ip address address subnet-mask

设置IPX网络ipx network network

激活端口no shutdown

物理线路设置line type number

启动登录进程login [local|tacacs server]

设置登录密码password password