在IEEE 802.1 X标准的基础上,并且进行了进一步的功能扩展,提供了全面的基于身份的网络服务(IBNS),具体的扩展如下: 带VLAN的802.1 X Cisco IBNS可以提供这种功能使基于用户的身份动态地将VLAN分配给相应端口。采用标准的802.1 X方案,认证成功后的用户被置于预先配置好的VLAN中,该VLAN已经分配到某个端口。这种新的特性使得管理员可以维护RADIUS内从用户名到VLAN的数据库。在成功地完成802.1 X鉴别之后,RADIUS还可以将VLAN发送到用于特定用户的交换机,交换机就可以为指定的VLAN配置附加端口。这样,经过802.1 X认证的端口就可以将基于用户的身份指派到VLAN上。 带端口安全性的802.1 X 这种特性可以在802.1 X端口上配置端口安全性。如果端口上只有一个介质接入控制(MAC) 地址能够实现端口安全性,那么只有该MAC地址才能够通过RADIUS服务器认证。所有其它MAC用户将被拒绝访问,这样就能够消除其它用户连接到某个集线器上以绕开认证的安全性风险。在多种认证模式中采用代端口安全性功能的802.1 X时,所有尝试通过交换机端口连接的主机都必需要求采用802.1 X进行认证。 带语音VLAN ID的802.1 X 这种特性能够帮助组织结合Cisco AVVID(用于语音、视频和集成数据的基础架构)、IP语音 (VoIP) 以及动态端口安全性。管理员可以配置辅助的VLAN语音VLAN ID。 802.1 X访客VLAN(仅适用于Cisco Catalyst 6500系列) 这种特性有助于让组织提供"访客"网络接入,这种方式对网络接入有严格限制。在启用这种特性之后,到那些没有802.1 X兼容主机的网络的用户连接尝试将被置于访客VLAN中。 802.1 X的高可用性(仅适用于Cisco Catalyst 6500系列) 这种特性可以在主用和备用监控模块之间提供同步运行时的802.1 X端口安全性信息,从而在高可用性的切换过程中仍然能够保持端口的安全性状态。 高可用性端口安全性(仅适用于Cisco Catalyst 6500系列) 这种特性可以在主用和备用监控模块之间提供同步运行时的端口安全性信息,从而在高可用性的切换过程中仍然能够保持端口的安全性状态。 带ACL分配的802.1 X 基于身份的访问控制列表 (ACL) 使客户可以根据用户的802.1 X认证结果,动态地将访问控制策略分配到某个接口上。您可以使用这种特性来严格限制用户对网络中某些网段的访问,限制对敏感服务器的访问,甚至限制可能使用到的协议和应用。这样,不需损害用户的移动性或者造成管理损耗,就能够实现专门基于身份的安全性。 基于802.1x的IBNS部署方案 思科基于802.1x标准扩展的IBNS方案主要有以下几个部分组成: o AAA/Radius服务器:AAA/RADIUS实现对用户集中的认证和授权。在本方案中推荐采用思科AAA/Radius服务器CiscoSecure ACS 3.3 for Windows o 用户帐号数据库服务器:用户帐号数据库服务器用于存放用户登陆网络的用户名和密码信息,思科IBNS体系支持使用多种标准的用户帐号数据库,包括ACS内建的用户数据库、标准的LDAP服务器以及微软的Windows A.D.服务器等,各种不同的选择具有各自的优势和缺点。 o 支持802.1x功能的局域网交换机:本次方案中推荐的局域网交换机都可以配置并支持802.1x标准以及IBNS中对802.1x的增强功能。 o 支持802.1x的PC工作站:目前海尔集团使用的Windows2000/XP都内置了对802.1x的支持,经过设置都可以使用IBNS服务。 其中对于局域网交换机的部署已经在网络架构设计中详细说明,以下分别进一步说明其他几部分的详细建议部署方案
AAA/Radius服务器的部署 o 在总部和安全管理区域设置两台CiscoSecure ACS服务器,相互备份,用于全行统一的802.1x 认证(同时也可用于远程接入VPN的认证)。如有条件,分部可设立独立的CiscoSecure ACS服务器,作为广域网连接断开时的本地备份; o 一般的AAA/RAdius服务器本身不存储用户帐号的用户名/密码信息(Cisco ACS内建了用户帐号信息的存储功能),但是RADIUS服务器需要存储关于特定用户或者用户组的交换机端口配置信息:如VLAN,ACL等,因此更改用户或用户组所属的VLAN、ACL等需要在直接在CiscoSecure ACS服务器上进行设置 o AAA/RADIUS 服务器和各个交换机直接通讯,接受交换机的802.1x查询,并给出查询结果和相关端口的配置信息,对于AAA/RADIUS服务器而言,各个接入层交换机将是其客户端,因此在部署前需要确认各个三层交换机所使用的客户端地址,并注册在AAA/RADIUS服务器中,今后新增接入设备也要作相应的维护; o 为了保证安全策略自身的安全,需要定期备份AAA/Radius服务器中的交换机端口策略配置;
用户帐号数据库服务器的部署 可选择方案 用户帐号数据库服务器保存所有用户上网的用户名和密码,不但对安全性要求很高,而且对于日后的网络日常使用、管理和维护有很大的影响,因此需要慎重选择。IBNS体系支持多种用户帐号数据库标准,就目前海尔集团的具体情况考虑,可能有以下几种选择: o 建立新的标准的LDAP服务器,存放上网用户名和密码。 o 沿用目前的Domino的OA服务器的LDAP服务,和OA系统共用用户名和密码 o 采用CiscoSecure ACS内建的用户帐号数据库 o 采用Windows A.D.服务器,建立Windows域模式,Windows域公用用户名和密码 产品比较 从产品本身比较以上几种方案,我们可以得出以下的比较结果(A表示最优,E表示最差)
附加成本 灵活性 技术支持 可管理性 可扩展性 集成性 复制能力 标准的LDAP服务器 C B B B B B B 现有的OA服务器LDAP服务 B C C- C D C B 微软ActiveDirectory B A A B B B B ACS自带的数据库 A B A A B C B
方案: 1.采用Cisco ACS内建的用户帐户数据库 采用Cisco ACS内建的用户帐户数据库的优势包括: - 采用CiscoSecure ACS内建数据库,不需要采购并部署额外的设备,没有附加的费用; - CiscoSecure ACS开箱即用,无需和外部数据库的集成工作,能够快速实施; - 一体化设计,减少了故障点,提高了可用性; - 具有良好的复制能力,具有高可用性 2.采用Windows A.D.服务器 采用Windows A.D服务器的优势包括: - 微软的桌面系统,内建了对802.1x和A.D.的支持,有微软的Windows2000 Server服务器也内建了A.D.服务器,因此不需要购买额外的软件,部署费用并不高. - 采用Windows A.D. 服务器对理桌面系统的帐号和802.1x帐号进行统一管理,能够简化管理流程。 - 采用Window A.D. 模式,桌面系统可以设置成为透明登陆模式,即登陆计算机和登陆网络一次完成,简化用户使用过程,避免用户名和密码的混乱。 但是采用Windows A.D.服务器也有一定的缺点,例如由于认证/授权和帐号存储分开,因此从某种程度上增加了故障几率;实施需要部署额外的服务器硬件,并需要采用Windows域模式对桌面帐号进行统一,并对802.1x的透明登陆模式进行设置,需要一定的实施时间;同时跨部门协作也会对实施造成一定的影响。 客户端的部署 o 对于WindowsXP客户端,需要升级到ServicePack1,并对EAP协议进行相应的设置。 o 对于Windows2000客户端,需要升级到Service Pack 3 + Hotfix 313664 + Hotfix KB829116 或者 Service Pack 4 + Hotfix KB829116,并对EAP协议进行相应的设置 o 对于使用Windows A.D. 服务器作为用户帐号数据库服务器的情况,经过设置可在桌面实现计算机和网络一次登陆,即在登陆计算机时,Windows自带的802.1x客户端使用Windows A.D. 域上的用户名和密码自动进行802.1x认证。要实现这种设置,需要在计算机上设置相应的机器账号,用于进行网络访问授权前的域登录。
