今天我们来看看考试主题ICND2的1.7a小节和5.4小节。 这些是描述性主题,也就是说,Cisco不需要您深入研究它们。 您只需要知道802.1X标准和AAA协议系列的含义。
让我们看一下思科设备,并记住我们如何输入这样的设备。 每次,为了登录到Cisco设备,我们在VTY线路上设置了一个密码,该密码可通过Telnet访问该设备。 这意味着默认情况下,IOS启用登录命令并开始查找行VTY密码。
如果输入本地登录名,系统将开始搜索为用户名配置的本地密码。 因此,如果您进入全局配置模式并输入用户名“ Imran”和密码“ Imran”,然后进入VTY行并键入login local,则系统将查找本地密码,即您设置的用户名和密码。
问题在于,这两种配置都是在设备上本地配置的,如果组织中有数千个用户,则这些设备中的每一个都必须记住一千个用户名和密码。 如果您有1000个设备,则每个设备将具有1000个用户名和1000个密码。 想象一下在一千甚至一百个设备上设置如此多的密码意味着什么。
安全标准要求密码经常更改。 如果必须为1000个用户更改密码,则需要进入成百上千个设备中的每一个并手动进行操作。 这是一项难以想象的巨大工作。
有一种最佳的方式来集中配置Cisco设备。 这是AAA协议(身份验证,授权,记帐)的家族,提供了3个功能-身份验证,授权和记帐。
假设我们有一台中央服务器,托管一个用户名和密码数据库以及您的Cisco交换机。 当用户尝试登录到Cisco设备时,交换机不会在其内存中查找此数据,而是尝试连接到AAA服务器。 在那里找到用户数据后,他允许他登录。
如果我们有一千个这样的设备,则通过AAA服务器配置对它们的访问,无论您打算在哪里输入这样的设备,它都将始终在此服务器上检查您的用户名和密码。 如果需要更改密码,请登录服务器并进行配置,其设置将应用于网络上的所有设备。
AAA主要使用两种协议-RADIUS和TACACS +。
RADIUS是RFC 2865-2866描述的远程身份验证和授权协议。 当每个人都可以提出自己的建议以改善软件产品的运行时,工作建议是在开放组织互联网协会的主持下收集的。 这是1991年制定的相当古老的协议。 它主要用于验证网络用户并使用UDP端口1645/1646,而较新的设备使用端口1812/1813。
RADIUS支持3种功能:身份验证,执行授权EXEC授权和执行记帐EXEC记帐。 身份验证使您有机会获得或不访问设备,而授权则允许或禁止您执行某些操作,例如,在设备上输入某些命令。 它取决于授予您的特权级别,即,它决定了您在访问设备后可以执行的操作。 记帐是指记录您在设备上输入的所有命令,以便监视对授予您的特权的遵守情况。
TACACS +是一种会话协议,中央AAA服务器通过该协议来决定是否允许用户连接到网络。 这是Cisco TACACS专有协议的增强版本,它是一个开放的公共标准。 它在更大程度上用于管理用户设备,例如,是否可以连接到打印机以及如何使用该打印机。
该协议使用TCP和端口49。如果设备和AAA服务器之间有防火墙,则必须将相应的RADIUS或TACACS +端口置于例外状态,即,向其打开UDP或TCP通信。 因此,知道端口号对于确保这些协议的运行非常重要。
与RADIUS相比,TACACS +支持更多功能,例如命令授权。 在EXEC授权的执行授权中,您首先需要指定用户特权级别,例如Priv 15或Priv10,例如,指定由Priv 10授权的用户可以使用哪些命令。用户可以使用或不使用它来确定例如Priv 15用户不能使用路由协议控制命令。 也就是说,在命令授权级别,您可以指定用户可以使用哪些命令以及禁止使用哪些命令。
与“命令计费”功能类似的情况-您可以微调应在日志中记录哪些用户命令以及忽略哪些用户命令。
考虑一个典型的开关。 图片中的女人正在使用笔记本电脑连接电源插座。 如果您还记得,在ICND1视频教程之一中,我们讨论了PortSecurity,它根据设备的MAC地址来阻止端口。
例如,如果为特定端口指定了特定的MAC地址,则当具有不同MAC地址的设备连接到该端口时,该端口将被阻止。 这不是很方便,因为在实践中有时有时需要向其设备MAC地址无权使用此端口的用户提供访问权限,并且每次配置允许的MAC地址都非常困难。 您不希望人们滥用此端口,但是同时您也不想拒绝连续访问所有人。 在这种情况下,您需要应用802.1X标准的EAP协议-这是p2p网络中的身份验证框架。
如果您有物理交换机端口,假设网络插座通过跳线连接到48端口交换机,则可以将每个端口配置为与802.1X一起使用。
执行此操作时,任何DHCP,TFTP,HTTP流量等。 除了使用特殊EAPoL协议或LAN上的可扩展身份验证协议的流量外,将被阻止。 该流量将流向AAA服务器,如果用户名和密码与访问级别匹配,则交换机端口将打开。 之后,所有先前禁止的DHCP,TFTP,KRB5,HTTP流量将被允许发送到目的地。 如果用户名和密码不符合访问条件,则不会有任何变化-该端口除EAPoL流量以外的所有流量都将被拒绝。 这是802.1X标准功能的最简单解释。 让我们看一下这个标准的工作过程,它由3个组成部分组成。
第一个组成部分是申请人,即需要通过网络身份验证的用户。 通常,请求方是指许多现代操作系统附带的特殊软件。 如果您的操作系统不包含它,则需要安装这样的程序。 它允许您使用802.1X协议连接到可用的交换机端口。 开关是第二个组件,称为“身份验证器”。 它位于申请人和第三个组件(身份验证服务器)之间。 首先,所有用户流量都被交换机端口阻塞,因为该设备甚至没有IP地址,因为与身份验证器的所有通信仅使用EAPoL协议进行。
请求方软件创建EAPoL帧并将其发送到身份验证器。 他创建了一个新的IP数据包。 如果使用RADIUS,则它将是UDP数据包,如果是TACACS +,则将是EAPoL帧所在的TCP数据包。 数据包发送到身份验证服务器,该服务器检查用户名和密码,并允许或拒绝该用户的工作。
更详细地考虑该过程。 一切都以设备的启动消息开始,但并非所有设备都将其发送。 但是,即使用户的设备在没有此类消息的情况下连接到端口,身份验证器仍会向他发送一个“身份验证请求”。 根据设置,Cisco身份验证器每隔几分钟或几秒钟发送一次此请求。 如果设备发送启动消息,则将立即发送开关识别请求。 接下来,用户设备发送一个标识响应Identify Response,该响应包含用户名(例如Imran),并且该帧进入身份验证器。 他使用名称“ Imran”,将其放入IP数据包中并将其发送到身份验证服务器。 此消息称为访问请求或访问请求。 服务器说:“太好了,我获得了用户名“ Imran”,现在就给我发送密码”,然后将相应的Access Challenge访问请求发送给身份验证者。
不要担心对此过程的深入研究,因为ICND2课程中的802.1X标准的主题是描述性的。
认证者向申请人发送相应的请求,而申请人向他发送密码。 这里有一些细微差别:用户无法以简单文本消息的形式将密码发送到服务器,此处需要使用加密进行隧道传输。 在这种情况下,请求方必须使用TLS或PIP-受保护的IP或MS-CHAP身份验证协议。
因此,用户设备通过加密隧道发送密码,然后到达访问请求内的身份验证服务器。 如果密码正确,服务器将发回“访问接受”权限。 如果测试成功,则身份验证器向用户发送“成功”消息,此后将打开端口以允许流量通过。 这是根据802.1X网络身份验证标准的协议将端口从过滤状态或关闭状态转换为打开状态的过程。 可以说,与标准PortSecurity相比,此框架为您提供了更高级别的网络访问安全性。
当几台笔记本电脑连接到此类设备以访问网络时,该标准广泛用于无线访问设备。 无线设备或接入点连接到身份验证服务器,并为用户组织网络访问。
根据所使用的协议,RADIUS或TACACS +,允许用户设备使用特定的VLAN。 例如,在身份验证之后,便携式计算机1可以使用VLAN 100进行通信,而便携式计算机2可以使用VLAN200。所有这些参数都可以使用上述802.1X身份验证协议进行配置。
感谢您与我们在一起。 你喜欢我们的文章吗? 想看更多有趣的资料吗? 通过下订单或将其推荐给您的朋友来支持我们,为我们为您开发
的入门级服务器的独特模拟,为Habr用户提供
30%的折扣: 关于VPS(KVM)E5-2650 v4(6核)的全部真相10GB DDR4 240GB SSD 1Gbps从$ 20还是如何划分服务器? (RAID1和RAID10提供选件,最多24个内核和最大40GB DDR4)。
戴尔R730xd便宜2倍? 只有我们有
2台Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100电视在荷兰起价199美元 ! 戴尔R420-2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB-$ 99起! 阅读有关
如何构建基础架构大厦的信息。 使用价格为9000欧元的Dell R730xd E5-2650 v4服务器的上等课程?