前言
通过上篇文章《思科ISE对有线接入用户进行MAC认证》你应该了解了NAC中的MAC认证方式不需要安装客户端,但是需要在认证服务器上登记MAC地址,管理比较复杂;那么这篇文章给大家介绍的是(NAC)中的另外一种8021X认证,8021X认证是网络接入控制方案,是一种基于端口的网络接入控制协议,通过它能够实现保护企业内网的安全性的目的。8021X认证安全性较高。
8021X理论介绍
1) 客户端是请求接入局域网的用户终端设备,它由局域网中的设备端对其进行认证。客户端上必须安装支持8021X认证的客户端软件。
2) 设备端是局域网中控制客户端接入的网络设备,位于客户端和认证服务器之间,为客户端提供接入局域网的端口(物理端口或逻辑端口),并通过与服务器的交互来对所连接的客户端进行认证。
3) 认证服务器用于对客户端进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。认证服务器根据设备端发送来的客户端认证信息来验证客户端的合法性,并将验证结果通知给设备端,由设备端决定是否允许客户端接入。在一些规模较小的网络环境中,认证服务器的角色也可以由设备端来代替,即由设备端对客户端进行本地认证、授权和计费。
下图显示了受控端口上不同的授权状态对通过该端口报文的影响。图中对比了两个8021X认证系统的端口状态。系统1的受控端口处于非授权状态,不允许报文通过;系统2的受控端口处于授权状态,允许报文通过。
3)受控方向
在非授权状态下,受控端口可以处于单向受控或双向受控状态。
8021X系统使用EAP(Extensible Authentication Protocol,可扩展认证协议)来实现客户端、设备端和认证服务器之间认证信息的交互。EAP是一种C/S模式的认证框架,它可以支持多种认证方法,例如MD5-Challenge、EAP-TLS、PEAP等。在客户端与设备端之间,EAP报文使用EAPOL封装格式承载于数据帧中传递。在设备端与RADIUS服务器之间,EAP报文的交互有以下两种处理机制。
1) EAP中继
设备对收到的EAP报文进行中继,使用EAPOR(EAP over RADIUS)封装格式将其承载于RADIUS报文中发送给RADIUS服务器进行认证。
2) EAP终结
设备对EAP认证过程进行终结,将收到的EAP报文中的客户端认证信息封装在标准的RADIUS报文中,与服务器之间采用PAP(Password Authentication Protocol,密码验证协议)或CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)方法进行认证。
1) EAP中继方式
这种方式是IEEE 8021X标准规定的,将EAP承载在其它高层协议中,如EAP over RADIUS,以便扩展认证协议报文穿越复杂的网络到达认证服务器。一般来说,需要RADIUS服务器支持EAP属性:EAP-Message和Message-Authenticator,分别用来封装EAP报文及对携带EAP-Message的RADIUS报文进行保护。
IEEE 8021X认证系统的EAP中继方式业务流程
2) EAP终结方式
这种方式将EAP报文在设备端终结并映射到RADIUS报文中,利用标准RADIUS协议完成认证、授权和计费。设备端与RADIUS服务器之间可以采用PAP或者CHAP认证方法。下面以CHAP认证方法为例介绍基本业务流程。
IEEE 8021X认证系统的EAP终结方式业务流程
一实验拓扑
二实验需求
三实验设备及注意事项
四 思科ISE的配置逻辑
表1 思科ISE的配置逻辑
五 数据规划
表2交换机接口和VLAN规划
表3网络设备IP地址规划
表4交换机业务数据规划
表5ISE业务数据规划
六 实验步骤
Step 1 - 交换机VLAN配置。
Step 2 - Cisco ISE,业务服务器,终端IP地址配置略。
Step 3 - 交换机侧配置。
Step 4 - Cisco ISE 配置
参数说明:
设备名称:Switch
IP地址:192168100254,交换机上该接口必须与ISE互通。
RADIUS密钥:Helperaddress@2019,必须与交换机上配置的RADIUS认证和计费密钥一致
Step 5 - 认证终端安装8021x服务
Step 5 - 检查配置结果
有许多人在使用了思科路由器后,不知道如何配置无线AP,不用急,我在这里给大家详细介绍sisco思科如何配置无线AP。
cisco思科配置无线AP的 方法无线接入点(AP)在 无线网络 中充当用户的中心通信点,可以连接有线和无线网络。使用Web浏览器和命令行接口(CLI)都可以完成配置。 一般来说,AP可以配置两个接口 以太网接口和无线端口。
a:配置方式
1:控制台端口(需要翻转线)
2:Telnet(远程登录)
3:Web浏览器(这是最简单的配置方法,只需要在图形界面(GUI)上就可以 *** 作)
b:配置过程
1:图形界面(GUI)根据IOS的不同,一般有两种基本的GUI界面。GUI配置简单这里就不说明了。
2:通过Telnet在MS-Dos中输入 Telnet ip-address
3:使用CLI(命令行)配置是本文的重点。下面我将详细给大家说明。
首先连接物理线缆,打开超级终端(在系统“开始”菜单中的“通讯”中)。
超级终端的配置参数如下:
每秒比特数:9600;
数据位:8;
奇偶效验:无;
停止位:1;
流控:Xon/Xoff或者无;
进入命令行的界面如下:
User Access Verification
Username: Cisco
Password:
Ap>show version //可以查看当前版本信息
一:设置系统名
Ap>enable
Ap#config t
Ap(config)#hostname myap //设置系统名,默认是ap
二:为BVI分配IP地址
当AP连接到有线网络的时候,会自动创建一个BVI(网桥虚拟接口)连接到网络,允许所有端口都聚合在一个IP地址下。[说明一下我们只能在BVI接口上配置AP的IP地址,不能在其他接口]
Ap#config t
Ap(config)#interface bvi1 //进入BVI接口配置模式
Ap(config-if)#ip address address mask //第二个address为你分配的ip地址 mask为掩码
三:察看网络映射
Ap(config)#dot11 network-map 30 //要建立无线网络映射
Ap#show dot11 network-map //显示无线网络映射
Ap#show dot11 adjacent-ap //显示一个与某个AP邻连的AP列表
下面给大家一个示范:
Ap(config-if)#ip address 10001 2552552550
Ap(config-if)#ip address dhcp
Client-id Specify client-id to use
Hostname Specify value for hostname option
Ap(config-if)#ip address dhcp
关于启用和禁用接口的命令:shutdown 禁用 no shutdown 启用
四:配置SSID
SSID(服务集标示符)一个唯一的标识符,允许客户端识别出一个接入点(AP)
Ap(config)#int dot11radio 0
Ap(config-if)#ssid myAP
Ap(config-if-ssid)#authentication open //设置认证类型
五:监控AP状态
Ap#show interface dot11radio 加上相应接 口号
六:配置一些相应的服务
1:Telnet/SSH
Ap(config)#line vty 0 4
Ap(config-line)#login local
Ap(config-line)#end
Ap#show run
!
line con 0
line vty 0 4
login local
line vty 5 15
login
!
end
2:热备份
备用设备位于它监控的AP附近,并且它的配置与被监控的设备相同。备用设备需要通过以太网和无线端口来监控AP。如果被监控的设备响应失败,那么备用AP将在线激活替换在网络中取代被监控的设备。
Ap(config)#iapp standby mac-address
Ap(config-if)#interface dot11radio 0
Ap(config-if)#ssid ssid-string
Ap(config-if)#infrastructure-ssid [optional]
Ap(config-if)#exit
Ap(config)#iapp standby poll-frequency seconds
Ap(config)#exit
Ap#show iapp standby-parms
3:DNS
Ap(config)#ip domain-name xxxxxxxx(网址)
禁用域名查找
Ap(config)#no ip domain-lookup
4:>思科防ARP攻击,采用端口安全
思科端口安全在违反安全规则后有三种处理模式,有两种解决方案
三种处理模式:
Shudown 这种方式保护能力最强,但是对于一些情况可能会为管理带来麻烦,如某台设备中了病毒,病毒间断性伪造源MAC在网络中发送报文。
Protect 丢弃非法流量,不报警
Restrict 丢弃非法流量,报警,对不上面会是交换机CPU利用率上升但是不影响交换机的正常使用。推荐使用这种方式。
两种解决方案:
MAC+IP绑定
设置最大学习MAC数量
一MAC+IP绑定,此方法虽好,但是需要手工去登记各服务器MAC地址,太耗费人力。
配置方法:
1进接口模式
2switchport port-security //开启端口安全,此命令必敲,否则后面的配置不生效
3switchport port-security mac-address aabbccddeeff //设置此端口下对应的MAC地址
4switchport port-security violation restrict //设置违规方式为丢弃并报警
二设置学习多少MAC地址后丢弃其他的ARP流量
1进接口模式
2switchport port-security //同上,必敲
3switchport port-security maximum 5 //设置最多学习5个MAC地址
4switchport port-security violation restrict //设置学习超过5个MAC地址后,将其他的ARP流量丢弃并报警。
服务器相信大家都不陌生,它的功能有一个专业的解释,那就是是网络环境中的高能性计算机,它侦听网络上的其它计算机提出的服务请,并提供相应的服务,其实广义上来讲服务器就是一个大型的PC机,只是它比PC机的稳定性、安全性和性能要高很多。现今国内的服务器品牌也比较多,其中戴尔、思科、华为、IB功等市场占有率相对比较高,那么服务器如何选择,选择什么品牌的服务器最好?重庆诚恺科技我在此为大家支招。 服务器选择首先要看以下几点:1、性能是否稳定 为了保证网络能正常运转,选择的服务器首先要确保稳定,因为一个性能不稳定的服务器,即使配置再高、技术再先进,也不能保证网络能正常工作,严重的话可能给使用者造成难以估计的损失。另外一方面,性能稳定的服务器还意味着为公司节省维护费用。2、配件搭配合理 为了能使服务器更高效地运转,我们要确保购买的服务器的内部配件的性能必须合理搭配。例如我们购买了高性能的服务器,但是服务器内部的某些配件使用了低价的兼容组件,就会出现有的配件处于瓶颈状态,有的配件处于闲置状态,最后的结果是整个服务器系统的性能下降。一台高性能的服务器不是一件或几件设备的性能优异,而是所有部件的合理搭配。要尽量避免小马拉大车,或者是大马拉小车的情况。低速、小容量的硬盘、小容量的内存,任何一个产生系统瓶颈的配件都有可能制约系统的整体性。3、应考虑扩展性 由于网络处于不断发展之中,快速增长的应用不断对服务器的性能提出新的要求,为了减少更新服务器带来的额外开销和对工作的影响,服务器应当具有较高的可扩展性,可以及时调整配置来适应发展。4、售后服务要好 由于服务器的使用和维护包含一定的技术含量,这就要求 *** 作和管理服务器的人员必须掌握一定的使用知识。但对于普通公司来说,可能没有专职人员来维护服务器。因此选择售后服务好的销售场所来购买,应该成为普通用户明智的决定。5、更性看待价格 诚恺科技也接触了不少企业,大多数企业都比较注重服务器本身的价格,这无可厚非,但无论购买什么产品,一分价格一分货,高档服务器的价格比低档服务器的价格高是无可非议的事情,并且同一款服务器在报价有相对比较大的差异时消费者尽量注意,现在市面上很多商家都是拿来组装的,也就是俗称的山寨机,所以购买时一定要小心,不要以为价格最低就是最好的,另外不一定非得购买价格昂贵的服务器,尽量高端服务器是有很多让你惊喜的功能,但普通的用户也许基本就用不上,所以这样的服务器使用率并不高,还白白浪费了资金,选择企业在选择服务器时尽量选择合适自己企业发展,性能稳定,价格适中的。选择什么品牌的服务器最好? 现今服务器品牌有戴尔、HP、思科、IBM、华为等,这些品牌在国内都有不错的口碑,不管什么品牌,诚恺科技提醒企业在选择前一定要针对自身的实际情况出发,如果用于高端应用,那就购买高端一些的服务器,比如思科、IBM等,如果性能相对要求比较高,可以考虑戴尔、HP等品牌,如果对服务器的要求比较一般,只要稳定就行,建议可以选择华为,至于什么型号的服务器,一般企业可以提出自己的高求,一般相应品牌的销售人员会为你制定完整的服务器解决方案的,所以不用担心。现思科、华为和戴尔服务器在重庆地区的核心代理重庆诚恺科技会争对企业的实际情况,帮助企业制定服务器解决方案,以适应不同企业的不同选择。
购买什么牌子的服务器好
买硬件服务器的话,首选hp,dell,联想,联想购买了ibm的x86服务器业务。
服务器哪个牌子好
x86服务器首选现在的联想,hp,dell,如果小型机,只有ibm和hp有供货。
服务器哪个品牌最好?
腾讯云有着深厚的基础架构,并且有着多年对海量互联网服务的经验,不管是社交、游戏还是其他领域,都有多年的成熟产品来提 品服务。腾讯在云端完成重要部署,为开发者及企业提供云服务、云数据、云运营等整体一站式服务方案。腾讯云服务器胆全可靠高性能,多种配置供您选择qcloud/dff27d
服务器什么牌子比较好
1ibm服务器
2浪潮服务器
3联想服务器
4戴尔服务器
5惠普服务器
购买服务器,哪个品牌最好
没有最好,只有合适你的才算好
服务器主机哪个牌子好
买硬件服务器的话,首选hp,dell,联想,联想购买了ibm的x86服务器业务。
到底选哪个服务器好
服务器运营商市面上确实很多,鱼龙混杂,购买还真要仔细点。
看你对服务商的要求是啥吧:
如果觉得品牌是最重要的推荐:BAT,品牌大
如果觉得希望是传统老牌子有:西部数码、景安等
如果你觉得产品性价比非常重要的话,推荐小鸟云
关键还是看你的需求吧,最好自己去体验挑选出来的几家亲自去测试体验网络,自己好用的才是最好的!
服务器电源什么牌子好
品牌服务器的电源一般是大厂代工的,质量上乘,不过无法通用。自己组装服务器,一般长城的服务器电源用的比较多。
服务器那个品牌(国产)比较好
以前主要有联想万全,浪潮英信,曙光,现在联想已收购ibm 的x86系列服务器业务,也可以考虑。棱镜门事件的爆发不仅揭露了美国“唯美国利益”是图的虚伪嘴脸,揭露了美国借“网络安全”打压中国企业的别有居心,揭露了全球范围内的信息安全告急,表明了国家信息安全要走向自主可控道路的迫切。牵涉在棱镜门事件中的苹果、微软、谷歌等九大美国IT巨头公司陷入世界范围内的质疑和信任,思科也卷入了这种信息安全风暴,“去思科化”在即,那么企业该如何在信息产业自主化的过程中镇守信息安全呢? 为什么要去思科化? 1受控于美国IT巨头企业,我国信息安全存在巨大隐患 据鹏宇成安全专家了解,目前在中国的政府、金融、化工(行情 专区)等核心领域内,有大量设备都来自以思科为代表的美国“八大金刚”,即思科、IBM、谷歌、高通、英特尔、苹果、甲骨文、微软。他们占据着国内庞大的市场份额,控制着中国大部分网络要道。中国的网络命脉受控制于美国企业,无疑加大了中国的信息安全危机。“棱镜门”给中国敲响了警钟。一些国内运营商开始酝酿“去思科化运动”。 2美国借“网络安全威胁论”旗帜打压中国企业 美国借“安全威胁论”百般阻挠中国的ICT公司中兴和华为等进入美国市场,其真正目的是遏制中国崛起、保护美国本土企业,但美国打出的却是保护美国国家信息安全的虚伪旗帜。 虽然已是全球第二大和第五大通信设备供应商,华为和中兴却在美国屡遭审查。而美国的通信公司思科,倒是参与了中国几乎所有大型网络项目的建设。据鹏宇成安全专家了解,思科在中国的网络建设涉及政府、海关、邮政、金融、铁路、民航、军警等要害部门,以及中国电信、中国联通(600050,股吧)等电信运营商的网络基础建设。 斯诺登称,美国国家安全局在通过思科路由器监控中国网络和电脑。虽然思科很快就做出了回应称,“棱镜”不是思科项目。但由于思科主要的领地在网络基础设施领域,是整个网络的命脉所在,并且思科与美国政府和军方关系密切,因此思科的回应已不再具有说服力,其很难在短时间内挽回使用者的信心。在信息安全威胁和国家经济利益受损面前,“去思科化”显得迫在眉睫。 企业迈向自主可控道路,如何在过渡阶段镇守数据安全 棱镜门事件沸沸扬扬,不同的群体从中得出了不同的教训和启示,对于最大受害者中国来说,加速了信息安全建设自主可控道路的日程。要想从根本上保证信息安全,只有使用本土企业的信息产品,才不会存在被监听和窃取的风险(这里主要指涉及国家机密和商业机密的信息被外国监听的风险),另一方面也可促进本国经济发展,保护民族产业,以更加自信、自主的姿态同外国企业相抗衡。那么现在摆在我们面前的一个现实问题是,这肯定是一个复杂长期的过程,在自主可控安全道路完全建设起来,我国企业该如何安全过渡,镇守数据安全? 鹏宇成安全专家表示,去思科化不仅是企业在新时期应肩负的中华民族伟大复兴的历史重任,更是国家意志的最高体现,因此,需要国家法律政策的出台、保护、规范及执行。大数据时代呼吁大安全,呼吁完善的法律监管。除此之外,企业自身做好数据安全防护似乎显得更直接更为重要。而大数据时代的数据安全问题,需要数据加密软件的全力防护,这是因为加密软件是基于数据层给予企业敏感数据信息最直接的手段。采用高强度的算法改变数据的原本内容,未解密或授权状态下密文无法被非法偷窥和窃取,有了这种本源的防护,企业的数据安全才能高枕无忧。而这,正是鹏宇成公司的企业加密软件所能提供的。 PYC文件保护系统结合了本地加密和文件外发控制两方面的功能和模块,力图为各级企业提供全面的数据安全防护,从文件生成、修改、保存、传输到查阅,从生命周期到传播范围上都能使企业的机密信息处于强制透明的加密状态,从而防止黑客及员工的各种窃密行为。 全方位立体防护PYC文件保护系统可以说是全方位、立体式的,让各级企业可以根据企业的实际需求进行自主选择或个性化定制,核心文件保护系统、全文档保护系统、文件外发控制保护系统,各种功能模块合劲发力,为企业打造牢固的安全防护墙。 多元化灵活部署PYC文件保护系统拥有灵活多样的部署方式,服务器/客户端、Ukey等模式给企业更多的选择,在适应复杂的网络安全环境下,还可进行制定开发,对接企业管理系统,扩展升级,与时俱进地紧跟企业新的安全诉求。 持续性项目支持鹏宇成在提供给企业用户多样的安全防护功能的同时,还为企业专业分析安全隐患,跟踪项目实施,提供后续技术支持,及时调整完善解决方案,从而提供给企业持续性的安全保障。 “棱镜门”暴露出互联网被美国一家垄断的严重缺陷,有必要加强国际合作,通过国际社会的共同努力,制定出有规则、有执行、有监督的国际网络管理法。真正建立起国际网络监管制度,将是解决网络安全问题的关键。同时在我国,“去思科化”在即,国内企业做好信息安全防护,将有助于信息安全体系自主可控道路的加快建设。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)