802.1X本身并不算太難，確切的說命令的繁瑣，實(shí)驗(yàn)環(huán)境難以搭建（虛擬機(jī)+物理交換機(jī)）。是讓人比較難入門的門檻。我也沒有物理交換機(jī)，但畢竟配置只要貼在blog里面就行了。ISE和802.1x的概念還是可以操作復(fù)習(xí)下的。

在蓮都等地區(qū)，都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局，加強(qiáng)發(fā)展的系統(tǒng)性、市場前瞻性、產(chǎn)品創(chuàng)新能力，以專注、極致的服務(wù)理念，為客戶提供成都做網(wǎng)站、網(wǎng)站設(shè)計(jì) 網(wǎng)站設(shè)計(jì)制作按需制作網(wǎng)站,公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),品牌網(wǎng)站設(shè)計(jì),成都全網(wǎng)營銷,外貿(mào)網(wǎng)站建設(shè),蓮都網(wǎng)站建設(shè)費(fèi)用合理。

一 交換機(jī)的推薦配置
文檔可以參考,是個(gè)美國思科的SE寫的：
http://www.network-node.com/blog/2015/12/30/switch-configuration-for-dot1x
official document
https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/116143-config-cise-posture-00.html

我重新整理一遍

aaa new-model

aaa authenticatoin dot1x default group ISE
aaa authorization network default group ISE
aaa accouting dot1x start-stop group ISE

（命令格式與tacacs+非常相似，記住default是對(duì)所有支持802.1x的接口開啟認(rèn)證，其實(shí)就是access口,思科又來缺心眼，authorization來個(gè)network是什么鬼？）

aaa group server radius ISE
server-private 192.168.133.11 key cisco123

aaa server radius dynamic-author
client 192.138.133.11 key cisco123

ip radius source-interface loopback 0

dot1x system-auth-control

device-tracking tracking 3750/3850似乎有點(diǎn)不同
radius-server vsa send authentication
radius-server vsa send accounting

radius-server attribute 6 on-for-login-auth // sends Service-Type attribute in access request
radius-server attribute 8 include-in-access-req // send Framed-IP-address attribute
radius-server attribute 25 access-request include // send Class attribute in access request

ip access-list extended ACL-DEFAULT
remark DHCP
permit udp any eq bootpc any eq bootps
remark DNS
permit udp any any eq domain
remark PING
permit icmp any any
remark TFTP
permit udp any any eq tftp
remark Drop ALL
deny ip any any log

ip access-list extended Web-Redirect
deny udp any any eq domain
deny udp eq bootpc any eq bootps
deny tcp any any eq 8905
deny udp any any eq 8905
deny tcp any any eq 8909
deny udp any any eq 8909
deny tcp any any eq 8443
permit ip any any

ip http server
ip http secure-server

查了下文檔，教主的課件有個(gè)端口8906其實(shí)已經(jīng)不需要了。
https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/116143-config-cise-posture-00.html
UDP/TCP 8905: Used for posture communication between NAC Agent and ISE
UDP/TCP 8909: Used for client provisioning.
TCP 8443: Used for guest and posture discovery.

access port
int gi 1/0/22
switchport mode access
switchport access vlan 10
spanning-tree portfast
device-tracking //3850/3650平臺(tái)需要在接口下有這條命令，以前肯定沒有
ip access-group ACL-DEFAULT in //默認(rèn)放行的ACL，和authentication open一起使用
authentication open //認(rèn)證不通都能打開物理接口，但是無授權(quán)流量由默認(rèn)ACL控制
authentication event fail action next-method
authentication event server dead action authorize vlan 999
authentication event server alive action reinitialize
authentication host-mode multi-auth
authentication order dot1x mab
authenticatino priority dot1x mab
authentication port-control auto
authentication violation restrict
mab
dot1x pae authenticator

二 MAB和802.1x概念
抄幾段話：

• MAB is the authentication deployed when endpoint doesn't support 802.1x
• MAB uses PAP/ASCII or optionally EAP-MD5 to has the password. But the radius is clear text and username is the MAC address

官方有一份講MAB非常詳細(xì)的文檔，我截取些關(guān)鍵點(diǎn)
High level MAB authentication sequence，可以看出認(rèn)證過程就是交換機(jī)發(fā)送request identity多達(dá)3次，當(dāng)802.1x timeout之后開始進(jìn)行mab地址認(rèn)證
-
-一個(gè)典型的MAB包，注意service-type=call-check NAS-Port-Type=Ethernet 注意username是明文的，所以實(shí)際上很好欺騙的

-ISE端默認(rèn)的MAB匹配條件

記住在ISE中，所有的endpoint不管你是否得到授權(quán)，MAC地址都是可以被ISE記錄下來的。以后會(huì)有profiling將這些終端進(jìn)行分組，我們就可以根據(jù)這個(gè)組來進(jìn)行授權(quán)了。

三 802.1x

先說幾種認(rèn)證方式，EAP-MD5（不詳細(xì)講了，生產(chǎn)環(huán)境不部署，考試也不考），PEAP（MS-CHAPv2），EAP-TLS，EAP-FAST

首先說下EAP，extensible authentication protocol，國外有個(gè)印度無線大神，他的blog寫的非常的好。我直接借用他的圖片。

普通EAP，沒啥參考價(jià)值

PEAP （MS-CHAPv2）
這種認(rèn)證方式要求ISE需要有CA簽發(fā)的證書，客戶端需要信任CA的根證書。如果需要做機(jī)器認(rèn)證，那就需要在客戶端上配有computer certificate并且ISE需要導(dǎo)入CA根證書。

配置演示

首先先縮小可以使用的協(xié)議范圍：

記住hostlookup 和PAP/ASCII是留著給MAB做保底用的，所以不能刪除。

authorization profile

這個(gè)排版是丑。。。

附帶客戶端的配置：

smartcart or certifcate指的其實(shí)就是EAP-TLS，右邊的additional setting里面是指機(jī)器認(rèn)證和用戶認(rèn)證同時(shí)進(jìn)行。

EAP-TLS,
這種認(rèn)證方式要求ISE和客戶端都有CA的根證書，本質(zhì)上就是使用證書的雙向認(rèn)證。
注意，EAP-TLS也是支持機(jī)器認(rèn)證的。

ISE段policy sets里面的東西幾乎大同小異，唯一不同的是identity source。因?yàn)槭鞘褂米C書認(rèn)證，那就得創(chuàng)建一個(gè)certificate profile。

EAP-FAST （felxible authenticatino via secure tunnel）
這種認(rèn)證方式必須得在客戶端安裝anyconnect NAM組件。當(dāng)然有了anyconnect之后，可以支持現(xiàn)在這三種主流的認(rèn)證技術(shù)。需要指出的是，EAP-FAST是ISE推了一個(gè)PAC文件到客戶端，搭建TLS tunnel。

三 無線dot1x

無線沒啥項(xiàng)目經(jīng)驗(yàn)，只是做過些實(shí)驗(yàn)。摸著石頭過河吧。

首先WLC一個(gè)重要概念，port和interface。port指的是物理接口，而interface是一個(gè)邏輯概念。

思科的官網(wǎng)一個(gè)圖片解釋的很清楚，一個(gè)port可以連接這交換機(jī)的trunk接口。一個(gè)我們自己配置的dynamic interface 對(duì)應(yīng)一個(gè)vlan，同時(shí)和WLAN SSID之間的mapping關(guān)系也是我們自己配置的。

至于AP如何找到并和WLC建立capwap tunnel，這是無線的內(nèi)容。一般我們用option 43。

創(chuàng)建一個(gè)dynamic interface，在flexconnect其實(shí)未必需要

認(rèn)證方式默認(rèn)其實(shí)是802.1x，可以改成

AP啟用flexconnect模式

由于沒有AP，沒辦法截圖。主要就是AP 模式切換成flexconnect，在flexconnect里面配置vlan mapping，AP地址需要使用native vlan。（這些配完之后，使用PSK實(shí)際上就可以通信了）

接下來配置radius服務(wù)器

記得需要enable CoA

添加審計(jì)Radius

接下來就是修改flexconnect ACL。記住WLC此時(shí)對(duì)于ISE就是一臺(tái)NAD，交換機(jī)上的類似的一些列表，也需要在WLC上進(jìn)行配置。因?yàn)槲覀兪褂玫氖莊lexconnect，所以配置的也是FlexConnect ACL。

兩條ACL，一個(gè)permit all 一個(gè)basic traffic，放行DHCP，DNS，CAPWAP和ICMP流量

我們需要在flexconnect group里面啟用這些個(gè)ACL，在紅圈的地方添加AP

需要調(diào)用這條basic-traffic ACL到某一個(gè)特定的AP，老樣子，沒辦法截圖。

接下來去WLAN，修改認(rèn)證的屬性。

記住ISE NAC，其實(shí)就是讓這個(gè)WLAN支持CoA

添加一個(gè)SNMP,這個(gè)主要還是給profiling用的，radius的授權(quán)仍然只要經(jīng)過radius就可以。

接下來ISE端的配置。。

首先就是NAD，SNMP，如上，其實(shí)就是給profiling做準(zhǔn)備的。802.1x其實(shí)意義不大。

主要看看authorization profile，不像交換機(jī)，有DACL或者ACL需要配置。Wireless 802.1x就是一個(gè)airos 的ACL和VLAN。

policy set的匹配條件主要就是wireless_802.1x和WLC的location，device type等等

記得在查看授權(quán)結(jié)果的時(shí)候應(yīng)該去WLC查看client

四 Web authentication for guest

web authentication 就是專門為guest 服務(wù)而設(shè)置的。
當(dāng)一個(gè)endpoint連接到我們網(wǎng)絡(luò)的時(shí)候，因?yàn)樗炔恢С謉ot1x，MAC地址也不在ISE的數(shù)據(jù)庫中，當(dāng)MAB 超時(shí)之后，我們配置的ISE策略會(huì)讓他自動(dòng)掉落到最后一條策略。所以我們在看到ISE預(yù)配的MAB策略中，有個(gè)continue

web authentication其實(shí)在ISE端是個(gè)二次認(rèn)證的過程。第一次，客戶會(huì)在一個(gè)默認(rèn)的VLAN環(huán)境下，得到一個(gè)網(wǎng)頁進(jìn)行認(rèn)證，同時(shí)得到一條Web Redirect ACL（在交換機(jī)內(nèi)配置）以及一條DACL。記住web authentication是種三層認(rèn)證方式。

另外，這個(gè)youtube vod
https://www.youtube.com/watch?v=Zb6uTmzsSAE

講了一下web authentication的flow。前面十分鐘很有借鑒意義。基本上解釋了當(dāng)MAB過時(shí)之后他會(huì)發(fā)送一個(gè)authentication passed 回給NAD，同時(shí)授權(quán)結(jié)果是個(gè)網(wǎng)頁。

當(dāng)客戶收到這個(gè)網(wǎng)頁之后，會(huì)登記自己的信息，產(chǎn)生一個(gè)guest賬戶，然后再做一次認(rèn)證。

說下posture_remediation 這條DACL。這條DACL是和web redirect一起作為結(jié)果推送給NAS的。
permit udp any any eq domain
permit icmp any any
permit tcp any host 192.168.133.11 eq 8905
permit udp any host 192.168.133.11 eq 8905
permit tcp any host 192.168.133.11 eq 8909
permit udp any host 192.168.133.11 eq 8909
permit tcp any host 192.168.133.11 eq 8443
permit tcp any any eq 80
permit tcp any any eq 443

ip access-list extended Web-Redirect
deny udp any any eq domain
deny udp eq bootpc any eq bootps
deny tcp any any eq 8905
deny udp any any eq 8905
deny tcp any any eq 8909
deny udp any any eq 8909
deny tcp any any eq 8443
permit ip any any

所有在posture被permit的和redirect ACL中被redirect的，尤其是DNS，需要注意。
我們可以看到在推送授權(quán)結(jié)果的時(shí)候，還有一個(gè)self-registered-portal

以此類推，我們也需要在WLC配置一條類似的flexconnect ACL（注意：我這里是central web authentication，central 的意義在于是由ISE推送認(rèn)證頁面，至于identity source仍然是可以在WLC或者交換機(jī)本地的，當(dāng)然實(shí)際上沒人會(huì)這么做）。

這個(gè)portal是在Guest Access里面配置的。

點(diǎn)進(jìn)去配置

這兩個(gè)要剔除，因?yàn)檫@是BYOD的東西。

可以自定義Guest Type

進(jìn)入sponsor portal修改

點(diǎn)擊Sponsor Groups，我們看到有三種可以選擇

ALL_ACCOUNTS: 能夠管理所有的guest 賬戶
GroupAccounts: 能夠管理由這個(gè)組的用戶所創(chuàng)建的Guest 賬戶
OwnAccounts：只能夠管理有這個(gè)用戶創(chuàng)建的guest 賬戶

在部署過程中，其實(shí)這些就用系統(tǒng)預(yù)配的就可以了。
這里因?yàn)槭莋uest，所以一般就可以只要上到網(wǎng)頁就行了，當(dāng)然實(shí)際可以調(diào)優(yōu)，比如要收郵件等等。
WLC和flexconnect group配置ACL

兩個(gè)授權(quán)結(jié)果，一個(gè)有線一個(gè)無線

授權(quán)策略，

另外吐槽一下，這個(gè)identity group我找了半天。。。。

WLC端的認(rèn)證方式需要修改。需要注意的是WLC，dot1x MAB 和web authentication是相互矛盾的。網(wǎng)頁認(rèn)證屬于三層認(rèn)證方式，所以拿到了ip地址之后一般授權(quán)結(jié)果也只有ACL

需要vlan，因?yàn)槭跈?quán)不會(huì)推送vlan

禁用二層認(rèn)證，mac filtering就是MAB

802.1X MAB 網(wǎng)頁認(rèn)證訪客就暫時(shí)講到這里。。。好多東西，還是把證書拆出來講。

新聞標(biāo)題：802.1X有線/無線Guestservice
URL標(biāo)題：http://chinadenli.net/article24/jpsoce.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供定制網(wǎng)站、面包屑導(dǎo)航、全網(wǎng)營銷推廣、動(dòng)態(tài)網(wǎng)站、云服務(wù)器、網(wǎng)站策劃

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)