思科在IEEE 802.1 X标准的基础上,并且进行了进一步的功能扩展,提供了全面的基于身份的网络服务(IBNS),具体的扩展如下:
带VLAN的802.1 X
Cisco IBNS可以提供这种功能使基于用户的身份动态地将VLAN分配给相应端口。采用标准的802.1 X方案,认证成功后的用户被置于预先配置好的VLAN中,该VLAN已经分配到某个端口。这种新的特性使得管理员可以维护RADIUS内从用户名到VLAN的数据库。在成功地完成802.1 X鉴别之后,RADIUS还可以将VLAN发送到用于特定用户的交换机,交换机就可以为指定的VLAN配置附加端口。这样,经过802.1 X认证的端口就可以将基于用户的身份指派到VLAN上。
带端口安全性的802.1 X
这种特性可以在802.1 X端口上配置端口安全性。如果端口上只有一个介质接入控制(MAC) 地址能够实现端口安全性,那么只有该MAC地址才能够通过RADIUS服务器认证。所有其它MAC用户将被拒绝访问,这样就能够消除其它用户连接到某个集线器上以绕开认证的安全性风险。在多种认证模式中采用代端口安全性功能的802.1 X时,所有尝试通过交换机端口连接的主机都必需要求采用802.1 X进行认证。
带语音VLAN ID的802.1 X
这种特性能够帮助组织结合Cisco AVVID(用于语音、视频和集成数据的基础架构)、IP语音 (VoIP) 以及动态端口安全性。管理员可以配置辅助的VLAN语音VLAN ID。
802.1 X访客VLAN(仅适用于Cisco Catalyst 6500系列)
这种特性有助于让组织提供"访客"网络接入,这种方式对网络接入有严格限制。在启用这种特性之后,到那些没有802.1 X兼容主机的网络的用户连接尝试将被置于访客VLAN中。
802.1 X的高可用性(仅适用于Cisco Catalyst 6500系列)
这种特性可以在主用和备用监控模块之间提供同步运行时的802.1 X端口安全性信息,从而在高可用性的切换过程中仍然能够保持端口的安全性状态。
高可用性端口安全性(仅适用于Cisco Catalyst 6500系列)
这种特性可以在主用和备用监控模块之间提供同步运行时的端口安全性信息,从而在高可用性的切换过程中仍然能够保持端口的安全性状态。
带ACL分配的802.1 X
基于身份的访问控制列表 (ACL) 使客户可以根据用户的802.1 X认证结果,动态地将访问控制策略分配到某个接口上。您可以使用这种特性来严格限制用户对网络中某些网段的访问,限制对敏感服务器的访问,甚至限制可能使用到的协议和应用。这样,不需损害用户的移动性或者造成管理损耗,就能够实现专门基于身份的安全性。
基于802.1x的IBNS部署方案
思科基于802.1x标准扩展的IBNS方案主要有以下几个部分组成:
o AAA/Radius服务器:AAA/RADIUS实现对用户集中的认证和授权。在本方案中推荐采用思科AAA/Radius服务器CiscoSecure ACS 3.3 for Windows
o 用户帐号数据库服务器:用户帐号数据库服务器用于存放用户登陆网络的用户名和密码信息,思科IBNS体系支持使用多种标准的用户帐号数据库,包括ACS内建的用户数据库、标准的LDAP服务器以及微软的Windows A.D.服务器等,各种不同的选择具有各自的优势和缺点。
o 支持802.1x功能的局域网交换机:本次方案中推荐的局域网交换机都可以配置并支持802.1x标准以及IBNS中对802.1x的增强功能。
o 支持802.1x的PC工作站:目前海尔集团使用的Windows2000/XP都内置了对802.1x的支持,经过设置都可以使用IBNS服务。
其中对于局域网交换机的部署已经在网络架构设计中详细说明,以下分别进一步说明其他几部分的详细建议部署方案
AAA/Radius服务器的部署
o 在总部和安全管理区域设置两台CiscoSecure ACS服务器,相互备份,用于全行统一的802.1x 认证(同时也可用于远程接入VPN的认证)。如有条件,分部可设立独立的CiscoSecure ACS服务器,作为广域网连接断开时的本地备份;
o 一般的AAA/RAdius服务器本身不存储用户帐号的用户名/密码信息(Cisco ACS内建了用户帐号信息的存储功能),但是RADIUS服务器需要存储关于特定用户或者用户组的交换机端口配置信息:如VLAN,ACL等,因此更改用户或用户组所属的VLAN、ACL等需要在直接在CiscoSecure ACS服务器上进行设置
o AAA/RADIUS 服务器和各个交换机直接通讯,接受交换机的802.1x查询,并给出查询结果和相关端口的配置信息,对于AAA/RADIUS服务器而言,各个接入层交换机将是其客户端,因此在部署前需要确认各个三层交换机所使用的客户端地址,并注册在AAA/RADIUS服务器中,今后新增接入设备也要作相应的维护;
o 为了保证安全策略自身的安全,需要定期备份AAA/Radius服务器中的交换机端口策略配置;
| 共2页: 1 [2] 下一页 | ||||
|
|
|||
| 名称:SQL Server数据库管理精品黄皮书 简介:书中文章经过精挑细选,便于用户能根据自己的实际工作和学习,快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息,以及DBA管理人员在数据库管理工作中 |
|||
| 名称:2007路由技术大全 简介:《2007路由技术大全》由51CTO.com网站特别策划制作,该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复,以及广大网友在实践使用中的心得经验和技巧文章,内容注重实用性,适用于初学者入门,也适合多年从业者提高,是一本实践和理论完 |
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|
||||
| · SOA 面向服务架构 · SQL Server 2008/2005.. · Apache技术专题 · 三层交换技术专题 · SQL Server入门到精通 · Windows远程桌面应用 · C#技术开发指南 · Apache技术专题 |
· Windows集群服务应用 · C#技术开发指南 · 国际文档格式标准开战 · 路由器设置与口令恢复 · Linux 集群技术专题 · PHP开发应用手册 · SOA 面向服务架构 · 企业数据恢复指南 |
|||
|
||||
| · SQL Server入门到精通 · SQL Server 2008/2005.. · SOA 面向服务架构 · Apache技术专题 · C#技术开发指南 · 三层交换技术专题 · Apache技术专题 · C#技术开发指南 |
· Windows远程桌面应用 · 企业数据恢复指南 · Windows集群服务应用 · 路由器设置与口令恢复 · Linux 集群技术专题 · SOA 面向服务架构 · 了解统一威胁管理(UTM).. · 反垃圾邮件技术应用 |
|||
