当前位置:   article > 正文

24、华为 华三中小型企业网络架构搭建 【内网安全部署之dot1x部署 本地与集成域的主流方式】_dot1x 域

dot1x 域

拓扑

实战

拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)

dot1x部署【用户名密码认证,也可以解决私接无线AP等功能】

说明:如果一个网络需要通过用户名认证才能访问内网,而认证失败只能访问外网与服务器,可以部署dot1x功能。它能实现的效果是,当内部用户输入正常的用户名与密码后,可以正常访问内部的网络与外网,没任何限制,如果不是内部人员登陆电脑,输入不了正确的用户名密码,那么只给于访问外网,到Guest VLAN。
(1)开启dot1x功能
[boss]dot1x enable

 

(2)接口开启dot1x功能【注意关闭MAC-AUREN】
[boss]dot1x enable interface Ethernet 0/0/1 to 0/0/7
[boss]dot1x port-method port interface Ethernet 0/0/1 to 0/0/7

(3)定义认证失败的VLAN
[boss]authentication guest-vlan 40 interface Ethernet 0/0/1 to 0/0/7
说明:当用户没用通过后,就划入到对应的VLAN 40里面,我们可以对VLAN 40做策略,只允许访问Internet。

(4)定义本地用户
[boss]aaa
[boss-aaa]local-user test password cipher test
[boss-aaa]local-user test service-type 8021x

(5)开启重新认证功能
[boss]dot1x reauthenticate interface Ethernet 0/0/1 to 0/0/7
[boss]dot1x timer reauthenticate-period 60 :这里定义重新认证功能为1分钟,这里为了实现实验效果,平时可以定义的久点。可以解决当用户失败后不需要一直处于Guest VLAN中,可以进行重新认证。

(6)客户开启dot1x功能【测试】

image001.png

开启该功能

image002.png

特意认证失败【密码输入错误】

image003.png

可以看到获取到VLAN 40的地址池了。

image004.png

这里当一分钟过后,即可重新认证,输入正确正好密码

image005.png
image006.png
image007.png

已经正确获取到地址了,

image008.png

访问内网没任何问题,外网也是没问题的。

(7)为什么可以杜绝接入无线AP或者路由器。
说明:因为对于每个接口都是需要用户名密码通过的,平时一些杜绝技术,比如端口安全,只能限制一个MAC地址通过,但是现在的路由器什么的 都可以直接克隆MAC地址的。

image009.png

另外,路由器默认开启了NAT,所以从内部所有的流量都转换到WAN口的,也就是同一个IP地址,固定的MAC地址,所以端口安全 或者其他技术都杜绝不了,当dot1x的功能的话,目前路由器这些还不支持,所以这次可以拒绝。

(8)总结
说明:部署dot1x也是根据需求来决定,如果需要详细的控制内部用户访问,在登陆的时候需要用户名认证,或者其他认证,都可以进行。
[boss]aaa
[boss-aaa]local-user test access-limit 1
该功能可以实现,一个帐号只允许一在线。

使用Radius进行认证【外边数据库或者是AD】

说明:在有时候,在某些数据库中有用户名了,比如AD环境,可以利用本身有的用户数据可以直接调用访问。
(1)AD与IAS安装
说明:这部分就不截图演示了,具体的可以参考dot1x项目那块,有详细的讲解【其他案例课程中】

 

(2)在交换机上面定义Radius服务器
Radius服务器定义
[boss]radius-server template dot1x
[boss-radius-dot1x]radius-server authentication 192.168.2.253 1812
[boss-radius-dot1x]radius-server shared-key simple test
[boss-radius-dot1x]undo radius-server user-name domain-included
说明:定义了一个Radius服务,包括服务器地址,密钥,最后一句话可以后续在分析。

(3)定于认证模板
[boss]aaa
[boss-aaa]authentication-scheme dot1x
[boss-aaa-authen-dot1x]authentication-mode radius local

(4)关联域

image010.png

可以看到AD的域是ccieh3c.taobao.com,那么我们可以定义这样一个域名。

[boss]aaa
[boss-aaa]domain ccieh3c.taobao.com
[boss-aaa-domain-ccieh3c.taobao.com]authentication-scheme dot1x
[boss-aaa-domain-ccieh3c.taobao.com]radius-server dot1x
说明:定义了一个域,然后关联了认证策略与Radius服务器,该功能的意思就是,当匹配该域的时候,就按下面的策略进行认证,交给Radius服务器。

(5)定义AAA 客户端与默认策略

image011.png
image012.png
image013.png
image014.png

该策略用来测试用的,而下面这个用来做MD5认证用的。

image015.png
image016.png
image017.png

(6)测试AAA服务器是否正常

image018.png
image019.png
image020.png

有错误的日志。

image021.png

可以看到提示说Windows默认不支持CHAP方式存储密码,不可逆的,所以我们必须允许该策略。

image022.png
image023.png
image024.png
image025.png
image026.png

在IAS服务器中刷新下组策略,也可以重启下。

image027.png

可以看到现在已经OK了,但是注意的是可以看到在test的时候我们加了域名,之前定义的Domain,比如 test@ccieh3c.taobao.com。

image028.png

已经成功了。

undo radius-server user-name domain-included 这句话的意思是,当用户输入test@ccieh3c.taobao.com,匹配上Domain,那么就会用该Domain下的认证策略进行策略,也就是用Radius服务器上面的。另外在发送给Radius服务器的时候,会去掉@后面的ccieh3c.taobao.com,直接发送test给IAS服务器,这个功能适合与独立服务器,也域的服务器。

(7)用户测试
image029.png

可以看到有对应的用户名信息了。

(8)定于默认Domain
[boss]domain ccieh3c.taobao.com
说明:定义为默认域的作用是,如果用户直接用test的访问,那么这样的话,就自动调用ccieh3c.taobao.com下。

(9)如果是MAC认证调用Radius认证。
说明:如果使用MAC地址开始认证的话,则可以定义

image030.png

注意需要关闭密码安全性策略功能,否则不能定义用户名与密码一样的。另外还需要允许策略

image031.png

关闭即可。
[boss]mac-authen domain ccieh3c.taobao.com :这里还需要定义从该域认证

(10)MAC测试
image032.png

已经通过了

image033.png

如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路Blog(其他平台同名),版权归网络之路Blog所有,原创不易,侵权必究,觉得有帮助的,关注、转发、点赞支持下!~。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/我家小花儿/article/detail/180091
推荐阅读
相关标签
  

闽ICP备14008679号