在交換機上配置基於MAC的身份驗證
目標
802.1X是一種管理工具,允許列出裝置,確保不對您的網路進行未經授權的訪問。本文顯示如何使用圖形使用者介面(GUI)在交換機上配置基於MAC的身份驗證。 若要瞭解如何使用命令列介面(CLI)配置基於MAC的身份驗證,請按一下此處。
附註:本指南在9節和1節中有很長的篇幅用於驗證主機是否已經過身份驗證。喝咖啡、喝茶或者喝水,確保您有充足的時間回顧並執行相關步驟。
RADIUS 如何運作?
802.1X驗證有三個主要元件:請求方(使用者端)、驗證者(網路裝置(例如交換器)和驗證伺服器(RADIUS)。 遠端身份驗證撥入使用者服務(RADIUS)是一種使用身份驗證、授權和記帳(AAA)協定的訪問伺服器,可幫助管理網路訪問。RADIUS使用使用者端 — 伺服器型號,其中在RADIUS伺服器和一個或多個RADIUS使用者端之間交換安全驗證資訊。它驗證客戶端的身份並通知交換機客戶端是否有權訪問LAN。
驗證器在客戶端和驗證伺服器之間工作。首先,向客戶端請求身份資訊。作為響應,驗證器將驗證與驗證伺服器之間的資訊。最後,它將向客戶端轉發響應。在本文中,驗證器將是包含RADIUS使用者端的交換器。交換器將能夠封裝和解除封裝可擴充驗證通訊協定(EAP)訊框,以便與驗證伺服器互動。
基於MAC的身份驗證呢?
在基於MAC的身份驗證中,當請求方不知道如何與驗證方通話或無法與驗證方通話時,它會使用主機的MAC地址進行身份驗證。使用純RADIUS(不使用EAP)對基於MAC的請求方進行身份驗證。 RADIUS伺服器有一個專用主機資料庫,其中只包含允許的MAC位址。伺服器不是將基於MAC的身份驗證請求視為密碼身份驗證協定(PAP)身份驗證,而是通過屬性6 [Service-Type] = 10識別此類請求。它們會將Calling-Station-Id屬性中的MAC地址與儲存在主機資料庫中的MAC地址進行比較。
2.4版增加了配置為基於MAC的客戶端傳送的使用者名稱格式的功能,可以定義EAP身份驗證方法或純RADIUS。在此版本中,您還可以為基於MAC的Supplicant客戶端配置使用者名稱格式,以及配置不同於使用者名稱的特定密碼。
拓撲:
附註:在本文中,我們將對RADIUS伺服器和身份驗證器使用SG550X-24。RADIUS伺服器的靜態IP位址為192.168.1.100,而驗證器的靜態IP位址為192.168.1.101。
本檔案中的步驟在進階顯示模式下執行。若要將模式更改為高級,請轉到右上角,然後在「顯示模式」下拉選單中選擇Advanced。
目錄
- RADIUS伺服器全域性設定
- RADIUS伺服器金鑰
- RADIUS伺服器群組
- RADIUS伺服器使用者
- RADIUS使用者端
- 802.1X身份驗證屬性
- 802.1X身份驗證MAC身份驗證設定
- 802.1X驗證主機和會話驗證
- 802.1X驗證連線埠驗證
- 結論
適用裝置
- Sx350X系列
- SG350XG系列
- Sx550X系列
- SG550XG系列
軟體版本
- 2.4.0.94
RADIUS伺服器全域性設定
步驟1。登入將設定為RADIUS伺服器的交換器的網路型公用程式,然後導覽至Security > RADIUS Server > RADIUS Server Global Settings。
步驟2.要啟用RADIUS伺服器功能狀態,請選中RADIUS伺服器狀態欄位中的啟用覈取方塊。
步驟3.要為RADIUS記帳事件、失敗的登入或成功的登入生成陷阱,請選中所需的啟用覈取方塊以生成陷阱。陷阱是通過簡單網路管理協定(SNMP)生成的系統事件消息。發生違規時,陷阱會傳送到交換器的SNMP管理員。以下陷阱設定:
- RADIUS記帳陷阱 — 選中可為RADIUS記帳事件生成陷阱。
- RADIUS身份驗證失敗陷阱 — 選中為失敗的登入生成陷阱。
- RADIUS身份驗證成功陷阱 — 選中為成功的登入生成陷阱。
步驟4.按一下Apply以儲存設定。
RADIUS伺服器金鑰
步驟1。導覽至Security > RADIUS Server > RADIUS Server Keys。將開啟「RADIUS伺服器金鑰」頁面。
步驟2.在「Secret Key Table」部分,按一下Add... 新增金鑰。
步驟3.Add Secret Key視窗頁面開啟。在「NAS Address」欄位中,輸入包含RADIUS使用者端的交換器位址。在本例中,我們將使用IP地址192.168.1.101作為RADIUS客戶端。
步驟4.選擇一個單選按鈕作為密鑰。以下選項是:
- 使用預設金鑰 — 對於指定的伺服器,裝置會嘗試使用現有的預設金鑰字串對RADIUS客戶端進行身份驗證。
- 已加密 — 若要使用訊息摘要演演算法5(MD5)加密通訊,請按加密格式輸入金鑰。
- 明文 — 在明文模式下輸入金鑰字串。
在本例中,我們將選擇Plaintext,然後使用example一詞作為金鑰。按下apply後,您的金鑰將採用加密形式。
附註:建議不要將example一詞用作金鑰。請使用更強金鑰。最多可使用128個字元。如果密碼太複雜而無法記憶,那麼它是一個不錯的密碼,但更棒的是,你可以把密碼變成一個讓人難忘的密碼短語,裡面會有特殊字元和數字來替代母音 — 「P@55w0rds@reH@rdT0Remember」。 最好不要使用字典裡的任何單詞。最好選擇短語,並將一些字母換成特殊字元和數字。如需詳細資訊,請參閱此思科部落格。
步驟5.按一下Apply以儲存組態。金鑰現在使用MD5加密。MD5是一個加密雜湊函式,它獲取資料並建立了一個典型的不可重複的唯一十六進位制輸出。MD5使用128位雜湊值。
RADIUS伺服器群組
步驟1。導覽至Security > RADIUS Server > RADIUS Server Groups。
步驟2.按一下「Add...」 新增新的RADIUS伺服器組。
步驟3. Add RADIUS Server Group 頁面隨即開啟。輸入組的名稱。在本例中,我們將使用MAC802作為我們的組名。
步驟4.在「許可權級別」欄位中輸入組的管理訪問許可權級別。範圍是1 - 15,其中15表示最高許可權,預設值為1。在本示例中,我們將保留許可權級別為1。
附註:我們不會在本文中配置時間範圍或VLAN。
步驟5.按一下Apply以儲存設定。
RADIUS伺服器使用者
步驟1。導覽至Security > RADIUS Server > RADIUS Server Users,以設定RADIUS使用者。
步驟2.按一下「Add...」 新增新使用者。
步驟3. Add RADIUS Server User 頁面隨即開啟。在User Name欄位中,輸入使用者的MAC地址。在本例中,我們將在電腦上使用我們的乙太網MAC地址。
附註:部分MAC地址已模糊。
步驟4.在Group Name下拉式清單中選擇一個組。如RADIUS伺服器群組一節的步驟3所強調,我們將為此使用者選擇MAC802作為我們的群組名稱。
步驟5.選擇以下單選按鈕之一:
- 已加密 — 使用MD5加密通訊所使用的金鑰。要使用加密,請以加密形式輸入金鑰。
- 明文 — 如果您沒有加密的金鑰字串(來自其他裝置),請在明文模式下輸入金鑰字串。生成並顯示加密金鑰字串。
我們將選擇明文作為此使用者的密碼,並鍵入example作為我們的明文密碼。
附註:建議不要使用example作為明文密碼。建議使用更強密碼。
步驟6.完成配置後,按一下Apply。
現在,您已完成配置RADIUS伺服器。在下一部分中,我們將配置第二台交換機作為身份驗證器。
RADIUS使用者端
步驟1.登入到將配置為身份驗證器的交換機的基於Web的實用程式,然後導航至安全> RADIUS客戶端。
步驟2.向下滾動到RADIUS Table部分,然後按一下Add... 新增RADIUS伺服器。
步驟3.(可選)在Server Definition(伺服器定義)欄位中選擇是否按IP地址或名稱指定RADIUS伺服器。在本例中,我們將保留By IP address的預設選擇。
步驟4.(可選)在IP Version欄位中選擇RADIUS伺服器的IP位址的版本。在本例中,我們將保留版本4的預設選擇。
步驟5.按IP地址或名稱輸入RADIUS伺服器。我們將在Server IP Address/Name欄位中輸入IP地址192.168.1.100。
步驟6.輸入伺服器的優先順序。優先順序確定裝置嘗試聯絡伺服器以驗證使用者的順序。裝置首先從優先順序最高的RADIUS伺服器開始。零是最高優先順序。
步驟7.輸入用於驗證和加密裝置與RADIUS伺服器之間通訊的金鑰字串。此金鑰必須與RADIUS伺服器上配置的金鑰匹配。可以以加密或明文格式輸入。如果選擇Use Default,裝置會嘗試使用預設金鑰字串向RADIUS伺服器進行身份驗證。我們將使用User Defined(Plaintext)並輸入金鑰示例。
附註:我們將保留配置的其餘部分為預設值。如果需要,可以配置它們。
步驟8.按一下Apply以儲存組態。
802.1X身份驗證屬性
屬性頁用於全域性啟用埠/裝置身份驗證。要使身份驗證正常工作,必須在每個埠上全域性和單獨啟用該身份驗證。
步驟1.導航到安全> 802.1X身份驗證>屬性。
步驟2.選中Enable覈取方塊以啟用基於埠的身份驗證。
步驟3.選擇使用者身份驗證方法。我們將選擇RADIUS作為我們的驗證方法。以下選項是:
- RADIUS, None — 首先使用RADIUS伺服器執行埠身份驗證。如果沒有收到來自RADIUS的回應(例如伺服器關閉),則不會執行驗證且允許作業階段。如果伺服器可用,但使用者憑據不正確,則訪問將被拒絕,會話將終止。
- RADIUS — 在RADIUS伺服器上驗證使用者身分。如果未執行身份驗證,則不允許會話。
- 無 — 不對使用者進行身份驗證。允許會話。
步驟4.(可選)選中MAC Authentication Failure Traps和MAC Authentication Success Traps的Enable覈取方塊。如果MAC身份驗證失敗或成功,這將生成陷阱。在本示例中,我們將啟用MAC身份驗證失敗陷阱和MAC身份驗證成功陷阱。
步驟5.按一下Apply。
802.1X身份驗證MAC身份驗證設定
使用此頁可以配置適用於基於MAC的身份驗證的各種設定。
步驟1.導覽至Security > 802.1X Authentication > MAC-Based Authentication Settings。
步驟2.在MAC Authentication Type中選擇以下選項之一:
- EAP — 對交換機(RADIUS客戶端)和RADIUS伺服器(驗證基於MAC的請求方)之間的流量使用RADIUS和EAP封裝。
- RADIUS — 對交換器(RADIUS使用者端)和RADIUS伺服器(其會驗證基於MAC的要求者)之間的流量使用不含EAP封裝的RADIUS。
在本範例中,我們將選擇RADIUS作為我們的MAC驗證型別。
步驟3.在使用者名稱格式中,選擇作為使用者名稱傳送的MAC地址分隔符之間的ASCII字元數。在本例中,我們將選擇2作為組大小。
附註:確保使用者名稱格式與您在Radius Server Users部分輸入MAC地址的方式相同。
步驟4.選擇在MAC地址中定義的字元組之間用作分隔符的字元。在本例中,我們將選擇:作為組分隔符。
步驟5.在Case欄位中,選擇Lowercase或Uppercase以大寫或小寫形式傳送使用者名稱。
步驟6.密碼定義交換機如何通過RADIUS伺服器進行身份驗證。選擇以下選項之一:
- Use default(Username) — 選擇該選項以使用定義的使用者名稱作為密碼。
- 已加密 — 以加密格式定義密碼。
- 明文(Plaintext) — 以明文格式定義密碼。
注意:Password Message-Digest Algorithm 5(MD5)摘要顯示MD5摘要密碼。MD5是一個加密雜湊函式,它獲取資料並建立了一個典型的不可重複的唯一十六進位制輸出。MD5使用128位雜湊值。
步驟7.按一下Apply,並將設定儲存到執行組態檔中。
802.1X驗證主機和會話驗證
Host and Session Authentication頁用於定義802.1X在埠上運行的模式以及檢測到違規時要執行的操作。
步驟1。導覽至Security > 802.1X Authentication > Host and Session Authentication。
步驟2.選擇要配置主機身份驗證的埠。在本例中,我們將配置GE1連線到終端主機。
步驟3.單擊Edit... 配置埠。
步驟4.在Host Authentication欄位中,選擇以下選項之一:
- 單主機模式
- 如果存在經授權的客戶端,則埠是經授權的。一個埠上只能授權一台主機。
- 當連線埠未授權且訪客VLAN啟用時,未標籤的流量會重新對映到訪客VLAN。除非標籤的流量屬於訪客VLAN或屬於未經驗證的VLAN,否則會將其捨棄。如果在連線埠上未啟用訪客VLAN,則只會橋接屬於未經驗證VLAN的已標籤流量。
- 當連線埠獲得授權時,來自授權主機的未標籤和已標籤流量會根據靜態VLAN成員身分連線埠組態橋接。來自其他主機的流量將被丟棄。
- 使用者可以指定來自授權主機的未標籤流量在身份驗證過程中重新對映到RADIUS伺服器分配的VLAN。除非標籤的流量屬於RADIUS指派的VLAN或未經驗證的VLAN,否則會將其捨棄。連線埠上的RADIUS VLAN分配在「Port Authentication」頁面中設定。
- 多主機模式
- 如果至少有一個授權客戶端,則埠是授權的。
- 當連線埠未授權且訪客VLAN啟用時,未標籤的流量會重新對映到訪客VLAN。除非標籤的流量屬於訪客VLAN或屬於未經驗證的VLAN,否則會將其捨棄。如果在連線埠上未啟用訪客VLAN,則只會橋接屬於未經驗證VLAN的已標籤流量。
- 當連線埠獲得授權時,會根據靜態VLAN成員身分連線埠組態,橋接來自連線到連線埠的所有主機的未標籤且已標籤的流量。
- 您可以指定來自授權連線埠的未標籤流量會在驗證過程中重新對映到RADIUS伺服器指派的VLAN。除非標籤的流量屬於RADIUS指定的VLAN或未經驗證的VLAN,否則該流量會遭到捨棄。連線埠上的RADIUS VLAN分配在「Port Authentication」頁面中設定。
- 多會話模式
- 與單主機和多主機模式不同,多會話模式下的埠沒有身份驗證狀態。此狀態會指派給連線到連線埠的每個使用者端。
- 無論主機是否獲得授權,都會橋接屬於未經驗證的VLAN的已標籤流量。
- 來自非屬於未驗證VLAN的未授權主機的已標籤和未標籤流量如果已在VLAN上定義並啟用,則會重新對映到訪客VLAN;如果訪客VLAN未在埠上啟用,則會丟棄該流量。
- 您可以指定來自授權連線埠的未標籤流量會在驗證過程中重新對映到RADIUS伺服器指派的VLAN。除非標籤的流量屬於RADIUS指定的VLAN或未經驗證的VLAN,否則該流量會遭到捨棄。在Port Authentication頁面中設定了埠上的RADIUS VLAN分配。
步驟5.按一下Apply以儲存組態。
附註:使用複製設定…… 將GE1的相同配置應用到多個埠。將連線到RADIUS伺服器的埠保留為多主機(802.1X)。
802.1X驗證連線埠驗證
Port Authentication頁為每個埠啟用引數配置。由於某些配置更改僅在埠處於「強制授權」狀態(如主機身份驗證)時才可能發生,因此建議您在更改之前將埠控制更改為「強制授權」。配置完成後,將埠控制返回到其先前狀態。
附註:我們將僅配置基於MAC的身份驗證所需的設定。其餘配置將保留為預設值。
步驟1.導航到安全> 802.1X身份驗證>埠身份驗證。
步驟2.選擇要配置埠授權的埠。
附註:請勿設定交換器連線的連線埠。交換機是受信任裝置,因此將該埠保留為強制授權。
步驟3.然後向下滾動並按一下Edit... 配置埠。
在Edit Port Authentication頁面中,Current Port Control欄位顯示當前埠授權狀態。如果狀態是Authorized,則連線埠驗證或Administrative Port Control是Force Authorized。反之,如果狀態為Unauthorized,則連線埠未通過驗證或Administrative Port Control為Force Unauthorized。如果在介面上啟用了Supplicant客戶端,則當前的埠控制將是Supplicant客戶端。
步驟4.選擇管理埠授權狀態。將連線埠設定為自動。可用選項包括:
- 強制未授權 — 通過將介面移至未授權狀態來拒絕介面訪問。裝置不通過介面向客戶端提供身份驗證服務。
- 自動 — 在裝置上啟用基於埠的身份驗證和授權。介面根據裝置與客戶端之間的身份驗證交換在授權或未經授權的狀態之間移動。
- 強制授權 — 未經驗證就授權介面。
註: Forced Authorized是預設值。
步驟5.在802.1X Based Authentication欄位中,取消選中Enable覈取方塊,因為我們不打算使用802.1X作為我們的身份驗證。已啟用基於802.1x的身份驗證的預設值。
步驟6.選中MAC Based Authentication的Enable覈取方塊,因為我們要根據請求方MAC地址啟用埠身份驗證。埠上只能使用8個基於MAC的身份驗證。
步驟7.按一下Apply 以儲存變更。
如果要儲存配置,請按螢幕頂部的Save按鈕。
結論
現在,您已成功在交換機上配置基於MAC的身份驗證。要驗證基於MAC的身份驗證是否正常工作,請執行以下步驟。
步驟1.導覽至Security > 802.1X Authentication > Authenticated Hosts,以檢視有關已驗證使用者的詳細資訊。
步驟2。在本範例中,您可以看到我們的乙太網路MAC位址在Authenticated Host Table中通過驗證。以下欄位定義為:
- 使用者名稱 — 在每個埠上進行身份驗證的請求方名稱。
- Port — 連線埠的編號。
- 作業階段時間(DD:HH:MM:SS) — 請求方在連線埠上通過驗證和授權存取的時間量。
- 驗證方法 — 用於驗證最後一個會話的方法。
- 已驗證伺服器 — RADIUS伺服器。
- MAC Address — 顯示請求方MAC地址。
- VLAN ID — 埠的VLAN。
步驟3.(可選)導覽至Status and Statistics > View Log > RAM Memory。RAM Memory頁面將按時間順序顯示儲存在RAM(快取)中的所有消息。根據日誌設定頁面中的配置,條目儲存在RAM日誌中。
步驟4.在RAM記憶體日誌表中,您應該會看到一條資訊性日誌消息,表明您的MAC地址已在埠gi1/0/1上獲得授權。
附註:部分MAC地址模糊不清。
意見