注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

北边的风

IT 钓鱼 养生

 
 
 

日志

 
 

cisco 交换机作为接入设备时,inode 注意事项  

2015-04-13 11:19:28|  分类: IT心得 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |


1IMC 以及 iNode 客户端的配置注意事项 iNode 客户端上要启用多播报文发起 认证和思科交换机进行配合
cisco 交换机作为接入设备时,inode 注意事项 - jujiong - 北边的风
 

IMC 上,把思科交换机启用混合组网方式 ,才能看到在线用户列表 ,也有可能
不用配置。
cisco 交换机作为接入设备时,inode 注意事项 - jujiong - 北边的风
 

2 CISCO 产品部署配置及注意事项说明
注意:所有Cisco 设备的接口须进行 no shutdown 操作后方可使用:

2.1 Cisco3550                                               
2. 1.1EAD 配合部署说明
在 EAD 解决方案中使用 Cisco3550  交换机作为接入设备时的配合部署说明如
下:
1. 802.1X EAP 认证方式 (Cisco 设备不支持 802.1X chap 和 pap 认证方式); 2.  Guest-Vlan 功能可部署(静态/动态方式获取 E 地址): guest-vlan 的切换由 Cisco 设备上 802.1X 计时器 tx-period 来控制;例如 ,在接入端口配置 dotlx timeout tx-period 8,则发起802.1X 认证后等待 8 秒切换到 gu.est-vlan;  需要注意这个计 时器不能配置的太短 ,必须让设备完成 802.1X 认证过程,建议在使用 guest-vlan
时配置为 5,.. 8秒 :
3.  因 Cisco 设备不支持 802.1X 扩展,故无法部署"上传客 户端 E 地址"功能 ,
iMC 上无法绑定客户端 IP;
4. 客户 PC 的 MAC 地址可以通过 EAD 认证上传至 iMC 服务器 ,iMC 上可以
绑定客户 PC 的 MAC 地址 :
5. Cisco 交换机作为接入设备肘 ,无法通过iMC 服务器为用户下发 ACL, 因
此无法使用"隔离模式",即使用户被设置为隔离状态  ,仍然能够正常访问所有的
网络资源:
6. Cisco 设备上可通过配置 侃a accounting update periodic 命令来启用/设置计费
 
报文的更新时间(例如: a侃 accounting update periodic 1,此处数值 1 的单位为 minute,范围为1-2147483647 ) ;  用户异常下线时, Cisco 设备不支持 802.1X 握 手,无法检测,故仍旧周期性向iM C 服务器发送计费更新报文,据此 iMC 服务 器认为用户仍然在线 ,但 iMC 服务器与 iNode 客户端间的 4 次 EAD 握手报文超 时后,iMC 服务器会将该用 户放入隔离区,该用 户仍然在线 ,但在线信息中的安 全状态变为隔离:该用户从原先的接入交换机重新认

证后可正常上线 ,如切换至新的接入交换机进行认证,因该用户已有在线信息,
则会导致认证失败:
7.  强制授权端口功能可 正常部署 :
8. 因iMC 服务器无法识别 Cisco 设备 radius 报文中上传的接入端口和接入 vlan
信息,故无法部署''v lan 绑定"、"端口绑定"功能 :
9. Cisco3550 交换机上可正常部署 mac-auth-bypass 功能,但需注意以下几点:
启用 802.1X mac-auth-bypass 功能的接入端口不能同时启用 guest-vlan 功能、dot1x
host-mode 只能配置为 single-host 模式、下行不能串连其他网络设备、只能接入 一台主机或打印机等终端设备、接入的终端设备必须使用 DHCP 方式获取 IP 地
址、  radius  服务器上必须创建一个以终端设备的  MAC  地址为用户名和密码的帐
号并且该帐号不得使用安全策略 :
10. Cisco3550 交换机不支持通过 iMC 服务器为用户下发接入 VL剧功能,无 法部署:
11.当前 Cisco 版本不支持基于 MAC 地址的 802.1X 认证方式,仅支持基于端
口的 802.1X 认证方式:需要注意一点, Cisco 设备基于端口的 802.1X 认证方式
下,接入端口可以配置两种 Dot1x 主机模式 (single-host 和 multi-host ) ;  默认配
置为 single-host 模式时,同一接入端口不允许下挂有多台主机 ,否则 Cisco 设备 会自动检测并关闭端口:当配置为 multi-host 模式肘 ,同一接入端口可以下挂多 台主机,但只要有一台主机 上的用户通过 802.1X 认证及 EAD 安全检查 ,则该端 口下挂的其他所有主机将拥有访问网络的同  等权限 ,网络安全存在隐患;
12. 用户上线后, iMC 服务器上用户在线信息中显示正确的项如下:帐号名、 用户姓名、登录名、服务名、用户分组、接入时间、接入时长(通过 accounting update 报文定期更新〉、用 户 E 地址、用户 MAC 地址、安全状态、设备 IP 地址、 设备启动时间、客户端语言、客户端版本、客户端端口号  :
13. EAD 的在线重认证功能可正常部署:
14. Cisco 设备不支持 802.1X 握手,只能依靠 iMC 服务器和iNode 客户端间的 EAD 握手报文来判断用户是否正常在线 ,但 iMC 服务器不会主动踢除异常用户 , 且因 Cisco 接入交换机无法检测用 户的异常下线 ,仍旧不停发送计费更新报文给 iMC服务器,这样首先会   导致异常下线用户的上线计时、计费出现错误:其次因 无法控制 Cisco 设备为用户下发隔离 ACL, iMC 服务器针对异常用 户的隔离操 作无法成功生效, 导致iNode 客户端异常后,用户 PC 可以无需重新认证即可使 用所有的网络资源,存在安全隐患:
15. Radius 服务器备份可正常部署, Cisco 接入交换机上通过配置多个 radius
服务器进行备


份,按照配置顺序依次查找可用的 radius 服务器 ,各 radius 服务器间的切换机 制通过 radius 计时器进行控制,详见配置举例:多个 radius 服务器备份时需要注
 
意一点,从 iNode 客户端发起安全检查会话至 iMC 服务器响应安全检查 的时间 间隔不得超过 6 秒 ,否则会导致 iNode 客户端的安全检查会话失败、用户下线, 即多个 radius 服务器之间的切换时间 不得超过 6 秒〈可以通过接入交换机上的 radius  计时器进行控制);
16. 反复进行 802.1X 用户上下线 ,Cisco 接入设备稳定无异常 ;
17. 代理服务器IIE 代理检测功能可部署 ,但需注意 :当前的ode 客户端无法 针对 E 代理功能进行实刑监控,即认证和 安全检查通过后再进行 IE 代理功能设 置时 ,iNode 无法检测 ,只有在认证前设 置的 IE 代理功能可以被检测 : 代理服 务器可以实时-检测:

2.1.2 配置举例
/* 配置设备名称 */
hostname Cisco3550

/* 配置 AAA 认证参数 */
侃anew-model
aaa authentication dotlx default group radius aaa authorization network default group radius
/*    配置周期性发送计费更新报文  ,必须配置,数值可依实际情况设定,单位分
钟,斜体部分为系统 自动添加的配置,无需理会*/ aaa accounting update periodic 1jitter maximum 0 aaa accounting dot1x default start-stop group radius
侃a accounting network de也.ult start-stop group radius

/* 全局下开启 802.1X 认证控制 */
dot1x system-auth-control
/*允许 802.1X 认证请求者加入 guest-vlan */
dot1x guest-vlan supplicant


/* 配置 802.1X 接入端口 ,类型必须为 access */ interface FastEthemetO/3
switchport access vlan 30 switchport mode access dotlx pae authenticator
/* 配置 802.1X 认证端口控制方 式为 auto ,由系统根据 802.1X 认证通过与否来
决定端口的 up/down  状态及端口的访问权限* /
dot1x port-control auto

/* 配置 802. 1X 接入端口下连的主机模式:默认设置为 single-host 模式时(默 认配置不显示),一个端口只允许一个用 户接入 : 设置为 multi-host 模式时一个 端口可允许多个用户接入,但需注意只要有一个用户通过 802.1X 认证及 EAD 安 全检查 ,同一端口下连的其他所有用户都将拥有同等访 问网络的权限 */
dotlx host-mode single-host dot1x violation-mode protect
 
/* 配置 802.1X 两次认证间的静默时间 ,即认证失败/下线后间隔多长时间允许
再次发起认证 ,建议配置为 1秒 */
dotlx timeout quiet-period 1
/* 配置 802.1X 发起认证等待的超时时间 ,如启用了 guest-vlan,该计时器不宜
配置过长或过短 ,过短会因认证过程未完成而计时器超时 导致认证失败,过长会 导致切换到 guest-vlan 较慢 ,建议配置为 5"-'8 秒 */
dotlx timeout tx-period 5
/* 启用 802.1X 的 guest-vlan 功能并指定 guest-vlan 所属 vlan id */
dotlx guest-vlan 60
/* cisco 默认情况下 spanning-tree 是开启的 ,当 dotl x 认证成功后 ,ClSCO 设备 上该端口就会报 up ,此时生成树要 等待 30s 才能转发报文,会 导致和安全检查 服务器连接超时 ,解决方法就是在端口开启 spanning-tree portfast */
spanning-tree portfast

/* 配置上行接口 */ interface FastEthemetO/ 12 switchport access vlan 30
switchport mode access

interface Vlnan30
ip address 30.1.1.4 255.255.255.0

interface Vlan60
ip address 60.1.1.25 255.255.255.0

ip route 172.16.0.0255.255.255. 0 30.1.1.33

/* radius 报文中携带的属性格式必须配置为 c 类型,以便 iMC 服务器能够识别
*/ radius-server attribute nas-port format c
/* 配置 radiu s 认证服务器及认证端口 、计费端口等参数,认证端口和计费端口 须与 radius  服务器上的设置相匹配* /
radius-server host 172.16.0.2 auth-port 1812 acct-port 1813
radius-server host 172.16.0.1 auth-port 1812 acct-port 1813
/* 配置向 radius 服务器发起认证的重传次数和超时时间,当前 iNode 客户端的
安全检查会话超时时间为 6 秒,故需在 6 秒内完成 802.1X 认证和 EAD 安全检查,
避免因安全检查会话超时导致认证失败 ,此处建议 retransmit  次数配置为 1、 timeout 时间配置为 2 秒 */ radius-server retransmit 1
radius-server timeout 3


/* 当配置有多个 radiu s 服务器时 ,为避免网络振荡等不稳定因素 导致用户认证 在不同radiu s 服务器问频繁切换 ,建议配置 30 分钟的 deadtime 计时器 ,即在计 时器超时之前不再尝试向 原先因无法通信标记为 dead 的 radius 服务器发起认证 请求 */
radius-server deadtime 30
 
/* 配置 radius 报文的加密密钥 ,须与 radius 服务器上配置的加密密钥相匹配*/
radius-server key h3c

/* 启用 802.1X mac-auth-bypass 功能时接入端口的配置如下  *1
interface  FastEthemet0123 switchport access vlan 600 switchport mode access dotlx pae authenticator dotlx port-control auto
1* 启用 802.1X 接入端口的 mac-auth-bypass 功能 ,在正常 802.1X 认证超时后 系统会以获取到的下连终端设备的 MAC 地址为用户名、密码向 radius 服务器发 起认证*/  dot1x mac-auth-bypass
/* 启用 mac-auth-bypass 功能的接入端口的 host-mode 必须配置为 single-host */
dotlx host-mode single-host dotlx violation-mode protect dotlx timeout quiet-period  1
/* 启用 mac-auth-bypass 功能的 802.1X 接入端口需等待该计时器超时后方可发
mac-auth-bypass 方式的认证过程,可根据实际情况为该计时器配置一个较小的
值 */ dot1x timeout tx-period 5
spam咀ng-tree portfast








 

  评论这张
 
阅读(230)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2016