1、目前你了解聯(lián)軟的哪幾種認(rèn)證方式? 基于端口/MAC的802.1x準(zhǔn)入控制； 基于ACL的EOU準(zhǔn)入控制； 基于簡(jiǎn)單安全助手認(rèn)證； 基于NACC的EOU準(zhǔn)入認(rèn)證,傳統(tǒng)的幾種認(rèn)證方式,幾種認(rèn)證方式的對(duì)比,EOU認(rèn)證故障診斷,ACL:對(duì)網(wǎng)絡(luò)起限制作用 TRUNK:EOU不能應(yīng)用在trunk口上 NAC:network admission control EOU： EAP over UDP NAC L2 IP EAP over UDP 安全狀態(tài)檢查(L2交換機(jī)端口) 在交換機(jī)實(shí)現(xiàn)NAC是，其稱(chēng)作NAC-L2-IP NAC L3 IP EAP over UDP 安全狀態(tài)檢查(Routers and VP

2、N),EOU幾個(gè)相關(guān)的概念,EOU的原理,EAPOU是Cisco的專(zhuān)有協(xié)議，即獨(dú)家技術(shù)。 EAPOU是在網(wǎng)絡(luò)的匯聚層或核心層進(jìn)行準(zhǔn)入控制。當(dāng)支持EAPOU的匯聚層設(shè)備接收到終端設(shè)備發(fā)來(lái)的數(shù)據(jù)包時(shí)，匯聚層EAPOU設(shè)備將要求終端設(shè)備進(jìn)行EAP認(rèn)證。EAP認(rèn)證包封裝在UDP包內(nèi)，在EAP認(rèn)證的內(nèi)容中，身份認(rèn)證其實(shí)并不重要，重要的則是安全狀態(tài)認(rèn)證。如果安全狀態(tài)不符合企業(yè)策略，匯聚層EAPOU設(shè)備將從策略服務(wù)器上下載ACL，限制不安全的客戶(hù)端的網(wǎng)絡(luò)訪問(wèn)，并對(duì)其進(jìn)行修復(fù)。,EOU的原理,EAP over UDP認(rèn)證 通過(guò)ACL來(lái)控制終端訪問(wèn) 動(dòng)態(tài)下載ACL和重定向URL 依據(jù)終端身份及安全狀態(tài) 終端可以

3、通過(guò)HUB、無(wú)線AP、VPN接入 只要中間有支持NAC-L2/3-IP的設(shè)備,EOU在Uniaccess的應(yīng)用,Leagview服務(wù)器上 ACL與部門(mén)對(duì)應(yīng)關(guān)系設(shè)置， Agentless終端以及非安全終端的ACL 網(wǎng)絡(luò)準(zhǔn)入控制策略 用戶(hù)、機(jī)器驗(yàn)證策略 網(wǎng)絡(luò)交換機(jī)上 ACL設(shè)置 網(wǎng)絡(luò)交換機(jī)上啟用AAA認(rèn)證： aaa new-model aaa authentication default group radius aaa authorization default group radius 網(wǎng)絡(luò)交換機(jī)上配置Radius服務(wù)器 如果有兩臺(tái)，配置兩條，第一條的優(yōu)先 啟用EOU 全局配置模式下的命令：i

4、p admission, ip device tracking等 接口下面的命令,EOU在Uniaccess的應(yīng)用,EOU在uniaccess應(yīng)用中的認(rèn)證過(guò)程分析 基本步驟： PC(with agent)-switch-auth server(radius） switch檢測(cè)到pc產(chǎn)生流量之后，向pc發(fā)送認(rèn)證請(qǐng)求 agent響應(yīng)該認(rèn)證請(qǐng)求，并且將pc的狀態(tài)一并發(fā)送給switch switch將pc的狀態(tài)信息放入radius報(bào)文，發(fā)送給認(rèn)證服務(wù)器 認(rèn)證服務(wù)器根據(jù)信息，判斷pc的狀態(tài)，并根據(jù)結(jié)果，向switch返回信息，內(nèi)容主要包括：將該端口置于何種狀態(tài)（不同的狀態(tài)會(huì)在接口上生成不同的ACL），以

5、及對(duì)該P(yáng)C，哪些web訪問(wèn)會(huì)被重定向。,EOU在Uniaccess的應(yīng)用,怎么設(shè)計(jì)EOU準(zhǔn)入方案？ 確定用戶(hù)具體的需求。 確定實(shí)施環(huán)境是否具備。結(jié)合實(shí)際情況設(shè)計(jì)方案。實(shí)際網(wǎng)絡(luò)結(jié)構(gòu)是什么？交換機(jī)之間的連接關(guān)系？交換機(jī)負(fù)載終端？終端環(huán)境？ 應(yīng)急措施 實(shí)施EOU準(zhǔn)入要注意的地方？ 不能隨便在用戶(hù)現(xiàn)場(chǎng)采用clear eou all . 不能隨便在用戶(hù)的環(huán)境隨便開(kāi)啟debug eou 等功能。 有IP電話(huà)的情況下。怎么去做例外？ EOU應(yīng)急方案 aaa down policy 的應(yīng)用,啟用EOU的前題,允許訪問(wèn)LeagView服務(wù)器 允許EoU認(rèn)證包 允許ping 允許DHCP包 允許DNS包 禁止其它

6、,啟用EOU需要放行以下地址或數(shù)據(jù)包,EOU的后臺(tái)配置,1、通過(guò)telnet命令行登錄到交換機(jī)上，進(jìn)入特權(quán)模式，配置交換機(jī)對(duì)RADIUS服務(wù)器的支持； 運(yùn)行configure terminal進(jìn)入到全局配置模式，運(yùn)行以下命令 #啟用 AAA aaa new-model #創(chuàng)建缺省的登錄認(rèn)證方法列表，采用line password認(rèn)證。 aaa authentication login default line none #創(chuàng)建EoU認(rèn)證方法列表, group radius表示使用Radius服務(wù)進(jìn)行認(rèn)證 aaa authentication eou default group radius a

7、aa authorization network default group radius,EOU的命令分析,以下型號(hào)的Cisco設(shè)備(交換機(jī))支持 (eou)準(zhǔn)入控制： Catalyst 3550/3560/3750/4500/4900/6500,#創(chuàng)建ip準(zhǔn)入控制名稱(chēng)(NAC-L2-IP是名稱(chēng)，可以自己任意指定) ip admission name NAC-L2-IP eapoudp #啟動(dòng)網(wǎng)絡(luò)設(shè)備的設(shè)備追蹤功能 ip device tracking #配置一些EoU的參數(shù) #允許網(wǎng)絡(luò)設(shè)備將無(wú)代理的設(shè)備的信息發(fā)送到Radius服務(wù)器進(jìn)行認(rèn)證（根據(jù)IP、Mac地址） eou allow cl

8、ientless #設(shè)置重傳的超時(shí)和次數(shù)。使用30秒、3次這個(gè)設(shè)置可以避免代理啟動(dòng)過(guò)慢被交換機(jī)誤認(rèn)為是無(wú)代理設(shè)備。如果代理啟動(dòng)速度加快了，這兩個(gè)參數(shù)可以適當(dāng)減小 eou timeout retransmit 30 eou max-retry 3,EOU的命令分析,EOU的命令分析,#配置一個(gè)接口默認(rèn)的ACL，建議至少允許以下幾種IP包：udp21862端口（EoU認(rèn)證需要）、DHCP（獲取IP地址）、DNS（允許獲取域名的IP地址，以便http可以重定向）、ICMP（允許ping和被ping利于診斷）、LeagView服務(wù)器所在的IP地址訪問(wèn)、其它修復(fù)服務(wù)器的地址（例如反病毒軟件安裝服務(wù)器、補(bǔ)

9、丁服務(wù)器等） ip access-list extended interface_default_acl permit udp any any eq 21862 permit udp any eq bootpc any eq bootps permit udp any any eq domain permit icmp any any permit ip any host 0 permit ip any host 04 deny ip any any #配置一個(gè)ACL，用來(lái)定義要重定向的Http訪問(wèn)。下例中，假定所有的其它Http訪問(wèn)被重定向到192

10、.168.1.204 ip access-list extended quaratine_url_redir_acl deny tcp any host 04 eq www permit tcp any any eq www permit tcp any any eq 443,#配置radius服務(wù)器 radius-server attribute 8 include-in-access-req radius-server host 0 auth-port 1812 acct-port 1646 key secret #將dead的Radius的優(yōu)先

11、級(jí)降低，缺省情況下不調(diào)整優(yōu)先級(jí)別 #當(dāng)已經(jīng)發(fā)現(xiàn)第一個(gè)Radius dead時(shí)，如果有認(rèn)證請(qǐng)求，直接將認(rèn)證包發(fā)給第二個(gè) radius-server retry method reorder #指定網(wǎng)絡(luò)交換機(jī)向radius服務(wù)器的認(rèn)證包的重傳次數(shù)，缺省值為3 #減少該值有可以更快地切換到下一臺(tái)Radius服務(wù)器來(lái)做認(rèn)證 radius-server retransmit 2 #指定認(rèn)證包的超時(shí)，缺省為5秒 radius-server timeout 3 #設(shè)置deadtime為3分鐘，3分鐘后網(wǎng)絡(luò)設(shè)備會(huì)再次嘗試 radius-server deadtime 3 指定交換機(jī)發(fā)送Radius包時(shí)加上Ci

12、sco自己的擴(kuò)展（以便解析接入端口名） radius-server vsa send authentication,EOU的命令分析,EOU的命令分析,#啟動(dòng)交換機(jī)上的Http服務(wù)器（如果需要URL重定向功能的話(huà)） ip http server #在某個(gè)端口上啟動(dòng)NAC-L2-IP（例如interface giga 1/0/1） interface giga 1/0/1 ip access-group interface_default_acl in ip admission NAC-L2-IP #查看EoU接入情況 show eou all #查看某個(gè)端口上的ACL應(yīng)用情況 show ip

13、access-lists interface giga 1/0/47 #清除某個(gè)設(shè)備的EoU會(huì)話(huà)（以便開(kāi)始一次新的認(rèn)證過(guò)程） clear eou ip xxx.xxx.xxx.xxx,EOU認(rèn)證故障診斷,問(wèn)題一般處理流程： 1: 先全局，后局部。基本定位問(wèn)題。 2：從認(rèn)證過(guò)程著手。 客戶(hù)端 網(wǎng)絡(luò)訪問(wèn)設(shè)備 策略服務(wù)器 如何查找IOS的特性？ 如何驗(yàn)證交換機(jī)與radius的連通性？ Test aaa group radius username password new-code 采用公司的radius測(cè)試工具,EOU認(rèn)證故障診斷,EOU認(rèn)證故障診斷,問(wèn)題： Agent的EOU認(rèn)證界面沒(méi)有反應(yīng)，表明

14、沒(méi)有收到認(rèn)證包。但是使用Ethereal 能抓到認(rèn)證包。 原因分析： 顯然是Window防火墻把認(rèn)證包阻止了。打開(kāi)Windows防火墻配置界面，發(fā)現(xiàn)防火墻服務(wù)ICS無(wú)法啟動(dòng)，報(bào)錯(cuò)“拒絕訪問(wèn)”，錯(cuò)誤碼5。這種報(bào)錯(cuò)是意料之外的，因此很可能是安裝第三方程序引起的。重啟機(jī)器，進(jìn)入帶網(wǎng)絡(luò)連接的安全模式，Agent的EOU認(rèn)證正常。憑這點(diǎn)可以斷定必然是安裝第三方程序引起的，因?yàn)樵诎踩Ｊ较聸](méi)有加載這些程序。 解決方法： 在安全模式下，運(yùn)行autoruns.exe 工具（這個(gè)工具的作用是列出當(dāng)前所有的自動(dòng)啟動(dòng)項(xiàng)）。仔細(xì)查看，把不明自動(dòng)啟動(dòng)項(xiàng)全部去掉，重啟機(jī)器，故障解決。如果有時(shí)間，可以一個(gè)個(gè)去掉，每去掉一個(gè)就重啟機(jī)器試試，這樣可以找出具體是哪個(gè)自動(dòng)啟