802.1x访问控制

802.1x访问控制（一）

不论是×××也好，还是802.1x都是为了进行网络安全规划所诞生的，在上章PDF中，×××用来进行对Internet中传输的数据进行加密，而本章的802.1x是提供访问控制。简单来说，传统网络模型下，当用户使用PC连接企业内部的交换机，就可以访问企业内部资源，交换机不能提供身份验证，面对这一缺憾，802.1x就是这个作用，提供2层的访问控制。802.1x的网络模型中，含有客户端，交换机，验证服务器三个组件。当客户端接入交换机的时候，需要通过验证服务器来验证准入。这就是简单的描述了802.1x访问控制。

其中的验证服务器我们称为AAA服务器，包括验证，授权，统计三个功能，在本章介绍中，所使用的radius服务器使用UDP的1645或1812用于验证和授权，端口1646或1813用于统计。

本章我们也通过实验来体现802.1x的访问控制是如何完成的。

实验拓扑：

我们使用PC连接交换机的F0/1接口，当接入接口的时候，需要通过RADIUS服务器进行验证，只有验证通过之后才能正常访问内部网络。

首先需要安装Java，是安装ACS服务器（RADIUS）之前所需要的。

安装ACS4.2版本，使用4.2版本Java需要jre-6u14-windows-i586-s版本以上。

当安装到下图的界面时候，这里需要验证服务器能够正常连接等需求，全部勾选，选择下一步即可。

交换机IP地址配置。

下面就进入RADIUS服务器进行配置，安装完成之后在IE浏览器中输入http://127.0.0.1:2002进行访问。

第一个任务需要添加管理员，在administration control中点击add administrator进行添加管理员。

输入管理员用户名和密码，点击grant all给管理员添加所有权限，然后点击submit提交。

之后选择network configration进行网络配置，在这里需要进行客户端和服务器两方面的配置，这里的客户端不是802.1x中的客户端，是指其中的交换机。首先点击配置服务器。

这里需要配置以下几项，Key ,共享**，AAA服务器类型，选择RADIUS，端口我们使用默认的。

客户端配置只需将交换机的IP地址和**填入就可以了。

之后选择user setup添加用户，以便最后进行验证。

输入用户名密码提交即可。

进入Group Setup进入组设置，选择edit settings进行编辑。

根据本章的实验拓扑，那么勾选，064，065选项，设置传输类型为VLAN，802协议。

完成之后，RADIUS服务器的配置就完成了，下面进行交换机上的配置，输入以下命令即可。这里要说的就是dot1x port-control auto，这里是将端口设置为自动模式，则需要通过验证才能进行连接。

验证方法将网卡的IEEE802.1x验证方式改为MD5模式即可，弹出需要输入用户密码的对话框，然后进行输入在服务器上配置的用户密码并进行验证即可。

802.1x访问控制（二）穿越代理

    上一章内容我们实现了验证，本章通过设置穿越代理完成授权的过程，如以下拓扑。

当PC 192.168.1.12连入之后，通过ACS服务器进行认证和授权。同样，先安装ACS服务器，这里就不多介绍了。

根据拓扑规划PC和服务器的IP地址。

WEB服务器的IP地址。

通过虚拟目录建立两个IP地址，不同的用户可以访问不同的地址。从而验证实验。

关于安装ACS之后需要添加管理员，设置网络这里就不做介绍了，上章都有详细说明，关于上章的组中的设置就不需要。

首先需要添加ACL应用。

勾选ACL应用。然后提交。

然后进入shared profile进行ACL的设置。

点击ADD进行添加访问控制列表。

输入访问控制列表的名称

通过permit控制访问

然后进入组设置中，进行用户组对ACL的应用。

这是在ASA上的IP地址的配置。

ASA创越代理的配置。

配置完成后当访问WEB服务器的时候就会**认证，通过不同的用户就可以验证访问控制列表的实现。

802.1x访问控制（二）通过AAA服务器为远程接入×××认证授权

通过本章的名称就可以想到本章的内容，当外部的员工通过×××的方式连入局域网，也需要通过验证服务器授权访问。

实验如以下拓扑：

IP地址配置。验证服务器地址

外部PC地址。

ASA IP地址配置。

WEB服务器地址

WEB服务器配置。

安装ACS服务器

×××服务器的配置（管理连接配置）

建立隧道组。

配置加密地图和传输集。

ACS的服务器配置

客户端配置

添加应用

添加地址池。

配置地址池的地址范围，当×××接入之后直接通过ACS服务器进行地址池的分发。

配置ACL访问控制列表。

在组上应用访问控制列表。与上章一样，不同的用户应用不同的访问控制列表。

之后配置完ACS服务器，需要在PC上安装easy ***的客户端，用于连接×××。

连入之后就可以测试了。

本次内容用于建立802.1x访问控制的配置，这里也将路由交换的配置粘贴在下方，用来范例，方便大家学习使用。

Easy×××_for_ASA_and_RADIUS

aaa-server aaa protocol radius

aaa-server aaa (inside) host 192.168.1.2

key cisco

exit

crypto isakmp enable outside

crypto isakmp policy 10

encryption aes

hash sha

authentication pre-share

group 2

exit

tunnel-group ez*** type ipsec-ra

tunnel-group ez*** general-attributes

authentication-server-group aaa

exit

tunnel-group ez*** ipsec-attributes

pre-shared-key cisco123

exit

crypto ipsec transform-set test esp-aes esp-sha-hmac

crypto dynamic-map ***_dymap 10 set transform-set test

crypto map mymap 1000 ipsec-isakmp dynamic ***_dymap

crypto map mymap int outside

SSL_×××for_ASA_and_RADIUS

aaa-server aaa protocol radius

aaa-server aaa (inside) host 192.168.1.2

key cisco

exit

web***

port 444

enable outside

svc p_w_picpath disk0:/sslclient-win-1.1.3.173.pkg

svc enable

exit

group-policy ***_group_policy internal

group-policy ***_group_policy attributes

***-tunnel-protocol web*** svc

web***

svc ask enable

exit

exit

tunnel-group ***_group type web***

tunnel-group ***_group general-attributes

default-group-policy ***_group_policy

authentication-server-group aaa

exit

tunnel-group ***_group web***-attributes

group-alias groups enable

exit

web***

tunnel-group-list enable

exit