Cisco Switch學習筆記: 802.1X Port-Based驗證
802.1X是一個規範交換器管制網路存取權的方法, 通常有三個設備:
1. 使用端電腦
2. 具802.1X的交換器
3. 驗證主機(RADIUS, 通常是IAS)
當使用端電腦連接網路線時, 交換器會要求進行驗證, 在通過驗證後, 交換器才會把那個埠打開, 允許其他封包(框架)通過。沒有通過驗證前, 只允許EAP協定的封包通過。
使用端電腦也要具有802.1X的軟體支援, Windows XP有內建, Windows 2000必須先去微軟網站下載。
EAP協定目前有三種可以選擇:
1. PEAP
2. EAP-TLS
3. EAP-MD5
其中MD5不用憑證, 另外兩種都要使用憑證; 以下先說明MD5的設定過程:
交換器部份:A. 使用Cisco 3560交換器
B. 開啟802.1X驗證
aaa new-modelaaa
authentication dot1x default group radius
dot1x system-auth-control
C. 設定要啟用802.1X的埠
interface FastEthernet0/2
switchport mode access
dot1x port-control auto
D. 設定RADIUS主機
radius-server host 10.1.10.8 key xxxxxx
使用端電腦部份:A. 打開網路連線, 在區域連線上按滑鼠右鍵, 出現區域連線內容視窗, 選到驗證頁面。驗證頁面必須在該網卡啟用的狀態下才會出現。
B. 勾選"為此網路啟用IEEE 802.1X驗證"
C. EAP類型, 選取"MD5-Challenge"
RADIUS部份:A. 先安裝IAS
B. 設定用戶端, 在此即為交換器, 主要設定欄位: IP位址, 用戶端廠商(選取RADIUS Standard), 共用密碼(必須和交換器radius-server指令的key設定一致)
C. 遠端存取原則->連線到其他存取伺服器->編輯設定檔->驗證頁面->EAP方法->新增MD5-Challenge
D. 打開Active Directory使用者及電腦, 找到要設定的使用者, 在其帳戶選項中, 把"使用可回復加密來存放密碼"的選項打勾
E. 將此使用者重設密碼
使用Windows XP, 2003進行802.1X驗證, 以登入網路:-)
此時只要啟用網卡, 在工具列網卡小圖示, 就會出現提示訊息, 說"請按此處以輸入你的使用者名稱及密碼到網路"
按它就會出現登入的視窗, 輸入帳號,密碼,網域; 接著就可以連上區網了。
閱讀更多,請參考以下連結:
Cisco Switch學習筆記: 802.1X Port-Based驗證 II
Cisco Switch學習筆記: 802.1X Port-Based驗證 III
1. 使用端電腦
2. 具802.1X的交換器
3. 驗證主機(RADIUS, 通常是IAS)
當使用端電腦連接網路線時, 交換器會要求進行驗證, 在通過驗證後, 交換器才會把那個埠打開, 允許其他封包(框架)通過。沒有通過驗證前, 只允許EAP協定的封包通過。
使用端電腦也要具有802.1X的軟體支援, Windows XP有內建, Windows 2000必須先去微軟網站下載。
EAP協定目前有三種可以選擇:
1. PEAP
2. EAP-TLS
3. EAP-MD5
其中MD5不用憑證, 另外兩種都要使用憑證; 以下先說明MD5的設定過程:
交換器部份:A. 使用Cisco 3560交換器
B. 開啟802.1X驗證
aaa new-modelaaa
authentication dot1x default group radius
dot1x system-auth-control
C. 設定要啟用802.1X的埠
interface FastEthernet0/2
switchport mode access
dot1x port-control auto
D. 設定RADIUS主機
radius-server host 10.1.10.8 key xxxxxx
使用端電腦部份:A. 打開網路連線, 在區域連線上按滑鼠右鍵, 出現區域連線內容視窗, 選到驗證頁面。驗證頁面必須在該網卡啟用的狀態下才會出現。
B. 勾選"為此網路啟用IEEE 802.1X驗證"
C. EAP類型, 選取"MD5-Challenge"
RADIUS部份:A. 先安裝IAS
B. 設定用戶端, 在此即為交換器, 主要設定欄位: IP位址, 用戶端廠商(選取RADIUS Standard), 共用密碼(必須和交換器radius-server指令的key設定一致)
C. 遠端存取原則->連線到其他存取伺服器->編輯設定檔->驗證頁面->EAP方法->新增MD5-Challenge
D. 打開Active Directory使用者及電腦, 找到要設定的使用者, 在其帳戶選項中, 把"使用可回復加密來存放密碼"的選項打勾
E. 將此使用者重設密碼
使用Windows XP, 2003進行802.1X驗證, 以登入網路:-)
此時只要啟用網卡, 在工具列網卡小圖示, 就會出現提示訊息, 說"請按此處以輸入你的使用者名稱及密碼到網路"
按它就會出現登入的視窗, 輸入帳號,密碼,網域; 接著就可以連上區網了。
閱讀更多,請參考以下連結:
Cisco Switch學習筆記: 802.1X Port-Based驗證 II
Cisco Switch學習筆記: 802.1X Port-Based驗證 III
留言
幾個問題想請教你:
1. Cisco 2948, 2950 是否有支援 802.1X 驗證?
2. 如果已經登入 AD, 要連上區網還是會出現「登入的視窗」嗎?
感謝你的答覆!
Wesley