思科ISE对有线接入用户进行MAC认证
Part 1 原理介绍
前言
随着信息化的快速发展,对国家、组织、公司或个人来说至关重要的信息越来越多的通过网络来进行存储、传输和处理,为获取这些关键信息的各种网络犯罪也相应急剧上升。当前,网络安全在某种意义上已经成为一个事关国家安全,社会经济稳定的重大问题,得到越来越多的重视。
在网络安全中,身份认证技术作为第一道,甚至是最重要的一道防线,有着重要地位,可靠的身份认证技术可以确保信息只被正确的“人”所访问。身份认证技术提供了关于某个人或某个事物身份的保证,这意味着当某人(或某事)声称具有一个特别的身份时,认证技术将提供某种方法来证实这一声明是正确的。
【图1-1】
常见的网络接入身份认证技术主要有三种:
- WebAuth(Portal)认证
- MAC认证
- 802.1X认证
通过前期给分享的文章《思科ISE对公司访客进行Portal认证(基于HTTPS协议)》,大家应该对WebAuth认证很熟悉了。今天跟大家聊聊如何利用MAC认证方式为网络设备做接入认证。下一期文章将为大家分享,如何使用802.1x认证方式做网络接入认证。
一. MAC认证简介
MAC认证是网络接入控制方案(NAC)中的一种,它是基于接口和MAC地址对用户的网络访问权限进行控制的认证方法,并且不需要用户安装任何客户端软件。通过MAC认证能够实现保护企业内网的安全性的目的。MAC认证无需用户终端安装客户端,但是却需要在服务器上登记MAC地址,如果为每台终端设备做接入MAC地址记录。工作量非常大。所以通常,MAC认证一般适用于打印机、传真机等哑终端接入认证的场景。
1. 使用不同用户名格式的MAC地址认证
目前设备支持两种方式的MAC地址认证,通过RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器进行远程认证和在接入设备上进行本地认证。
根据设备最终用于验证用户身份的用户名格式和内容的不同,可以将MAC地址认证使用的用户帐户格式分为两种类型:
- MAC地址用户名格式:使用用户的MAC地址作为认证时的用户名和密码。
-
固定用户名格式:不论用户的MAC地址为何值,所有用户均使用设备上指定的一个固定用户名和密码替代用户的MAC地址作为身份信息进行认证。由于同一个端口下可以有多个用户进行认证,因此这种情况下端口上的所有MAC地址认证用户均使用同一个固定用户名进行认证,服务器端仅需要配置一个用户帐户即可满足所有认证用户的认证需求,适用于接入客户端比较可信的网络环境。
【图1-2】
2. MAC地址两种认证类型介绍
2.1 RADIUS服务器认证方式进行MAC地址认证(本文将以RADIUS服务器方式为例为大家介绍)
当选用RADIUS服务器认证方式进行MAC地址认证时,设备作为RADIUS客户端,与RADIUS服务器配合完成MAC地址认证操作:
- 若采用MAC地址用户名格式,则设备将检测到的用户MAC地址作为用户名和密码发送给RADIUS服务器进行验证。
- 若采用固定用户名格式,则设备将一个已经在本地指定的MAC地址认证用户使用的固定用户名和对应的密码作为待认证用户的用户名和密码,发送给RADIUS服务器进行验证。
RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问网络。
2.2 本地认证方式进行MAC地址认证
当选用本地认证方式进行MAC地址认证时,直接在设备上完成对用户的认证。需要在设备上配置本地用户名和密码:
- 若采用MAC地址用户名格式,则设备将检测到的用户MAC地址作为待认证用户的用户名和密码与配置的本地用户名和密码进行匹配。
- 若采用固定用户名,则设备将一个已经在本地指定的MAC地址认证用户使用的固定用户名和对应的密码作为待认证用户的用户名和密码与配置的本地用户名和密码进行匹配。
用户名和密码匹配成功后,用户可以访问网络。
Part 2 - 实验配置
一. 实验拓扑
【图2-1】
认证前域:用户认证未通过时可以访问的区域。
认证后域:用户认证通过后可以访问的区域。
二. 实验需求
- 网络管理员为了防止非法人员和不安全的电脑接入到公司网络中,造成公司信息资源受到损失,希望员工的电脑在接入到公司网络之前进行身份验证和安全检查。
- 只有合法用户(已认证终端)才能访问公司业务服务器,非合法(未认证终端)用户无法访问公司业务服务器.
- 采用MAC地址认证方式做接入认证。
三. 配置逻辑
【图2-2】 华为交换机的配置逻辑
【表1】 思科ISE的配置逻辑
| 配置项 | 说明 |
|---|---|
| 添加部门及用户账号 | - |
| 添加交换机 | 指定允许与ISE对接的交换机的相关参数。 |
| (可选)创建认证协议模板 | 指定用户进行MAC认证可以使用的认证协议。如果未创建新的认证协议模板,则使用ISE默认的“Default Network Access”模板。 |
| 创建认证策略 | 指定用户通过MAC认证需要满足的条件。 |
| (可选)创建授权策略 | 指定用户通过MAC认证后允许访问的资源。如果未创建授权策略,则允许用户访问所有其路由可达的资源。 |
四. 实验设备及注意事项
- 本文以华为V200R009C00版本交换机为例,认证&授权服务器以2.1版本的Cisco ISE为例。
- 认证终端使用Windows PC机模拟。
- 交换机默认放行发往RADIUS服务器的报文,不需要针对其配置免认证规则。
五. 数据规划
【表2】交换机接口和VLAN规划
| 设备 | 接口 | VLAN |
|---|---|---|
| Switch | G0/0/1 | VLAN100 |
| Switch | G0/0/2 | VLAN200 |
| Switch | G0/0/3 | VLAN300 |
| Switch | G0/0/4 | VLAN300 |
【表3】 网络设备IP地址规划
| 项目 | 数据 |
|---|---|
| ISE(认证前域) | IP地址:192.168.100.100/24 |
| 业务服务器(认证后域) | IP地址:192.168.102.100/24 |
| 未认证终端 | IP地址:192.168.1.1/24 |
| 已认证终端 | IP地址:192.168.1.2/24 |
| Switch | VLANIF100 IP地址:192.168.100.254/24 |
| Switch | VLANIF200 IP地址:192.168.102.254/24 |
| Switch | VLANIF300 IP地址:192.168.1.254/24 |
所有设备将网关指向交换机,对应各自的VLANIF。
【表4】交换机业务数据规划
| 项目 | 数据 |
|---|---|
| RADIUS方案 | 认证服务器IP地址:192.168.100.100,认证服务器端口号:1812,计费服务器IP地址:192.168.100.100,计费服务器端口号:1813,RADIUS服务器共享密钥:Helperaddress@2019,计费周期:15分钟,认证域:HA |
| 认证后域ACL编号 | 3002 |
六. 实验步骤
Step 1 - 交换机VLAN配置。
- 创建VLAN 100,200,300。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[SwitchC] vlan batch 100 200 300
2. 按照VLAN规划,将接口加入对应的VLAN。
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 100
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan 200
[Switch-GigabitEthernet0/0/2] quit
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan 300
[Switch-GigabitEthernet0/0/2] quit
[Switch] interface gigabitethernet 0/0/4
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan 300
[Switch-GigabitEthernet0/0/2] quit
Step 2 - Cisco ISE,业务服务器,终端IP地址配置略。
Step 3 - 交换机侧配置。
- 配置交换机上的VLANIF接口,保证网络通畅。
[Switch] interface vlanif 100
[Switch-Vlanif100] ip address 192.168.100.254 24 //ISE设备使用的网关IP
[Switch-Vlanif100] quit
[Switch] interface vlanif 200
[Switch-Vlanif200] ip address 192.168.102.254 24 //业务服务器使用的网关IP
[Switch-Vlanif200] quit
[Switch] interface vlanif 300
[Switch-Vlanif300] ip address 192.168.1.254 24 //终端设备使用的网关IP
[Switch-Vlanif300] quit
- 配置认证后域对应的ACL规则3002。
[Switch] acl 3002
[Switch-acl-adv-3002] description 3002.in //ISE上勾选“Filter-ID”后,授权ACL会自动携带.in后缀,必须在交换机上将该ACL描述为xxx.in
[Switch-acl-adv-3002] rule 1 permit ip destination 192.168.102.100 0
[Switch-acl-adv-3002] rule 2 deny ip destination any
[Switch-acl-adv-3002] quit
- 创建并配置RADIUS服务器模板、AAA认证方案以及认证域。
- 创建并配置RADIUS服务器模板“rd1”。
[Switch] radius-server template rd1
[Switch-radius-rd1] radius-server authentication 192.168.100.100 1812
[Switch-radius-rd1] radius-server accounting 192.168.100.100 1813
[Switch-radius-rd1] radius-server shared-key cipher Helperaddress@2019
[Switch-radius-rd1] quit
- 创建AAA认证方案“abc”并配置认证方式为RADIUS。
[Switch] aaa
[Switch-aaa] authentication-scheme abc
[Switch-aaa-authen-abc] authentication-mode radius
[Switch-aaa-authen-abc] quit
- 配置计费方案“acco1”。为了方便RADIUS服务器维护帐号的状态信息,例如上下线信息,强制帐号下线,计费模式必须配置为radius。
[Switch-aaa] accounting-scheme acco1
[Switch-aaa-accounting-acco1] accounting-mode radius
[Switch-aaa-accounting-acco1] accounting realtime 15 //配置实时计费周期为15分钟
[Switch-aaa-accounting-acco1] quit
- 创建认证域“HA”,并在其上绑定AAA认证方案“abc”、计费方案acco1与RADIUS服务器模板“rd1”。
[Switch-aaa] domain HA
[Switch-aaa-domain-HA] authentication-scheme abc
[Switch-aaa-domain-HA] accounting-scheme acco1
[Switch-aaa-domain-HA] radius-server rd1
[Switch-aaa-domain-HA] quit
- 配置全局默认域为“HA”。用户进行接入认证时,以格式“user@HA”输入用户名即可在HA域下进行aaa认证。如果用户名中不携带域名或携带的域名不存在,用户将会在默认域中进行认证。
[Switch] domain HA
- 使能MAC认证
- 将NAC配置模式切换成统一模式。
[Switch] authentication unified-mode
设备默认为统一模式。传统模式与统一模式相互切换后,管理员必须保存配置后重启设备,新配置模式的各项功能才能生效。
- 配置MAC接入模板。
[Switch] mac-access-profile name m1
[Switch-mac-access-profile-m1] mac-authen username fixed HA password cipher Helperaddress123 //配置MAC认证用户采用固定用户名形式,用户名为HA,密码为Helperaddress123.
[Switch-mac-access-profile-m1] quit
- 配置认证模板。
[Switch] authentication-profile name p1
[Switch-authen-profile-p1] mac-access-profile m1 //绑定MAC接入模板
[Switch-authen-profile-p1] quit
- 在接口GE0/0/3和GE0/0/4上同时使能MAC认证。
[Switch] interface gigabitethernet 0/0/3
[Switch-Gigabitethernet0/0/1] authentication-profile p1 //绑定认证模板,使能MAC认证
[Switch-Gigabitethernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/4
[Switch-Gigabitethernet0/0/2] authentication-profile p1 //绑定认证模板,使能MAC认证
[Switch-Gigabitethernet0/0/2] quit
Step 4 - 配置ISE。
- 登录ISE。
打开Internet Explorer浏览器,在地址栏输入ISE的访问地址,单击“Enter”。输入ISE管理员账号和密码登录ISE。
- 创建部门和账号。
- 选择“Administration > Identity Management > Groups”,在左侧导航区域选择“Endpoint Identity Groups”,在右侧操作区域内单击“Add”,创建RD部门所属群组“RD”,配置完成后单击左下角“Submit”提交。
- 选择“Administration > Identity Management > Identities”,在左侧导航区域选择“EndPoints”,在右侧操作区域单击“Add”,添加的终端MAC地址为“3c-97-0e-bd-6a-65“,绑定到群组“RD”,配置完成后单击下方“Save”提交。
- 在ISE中添加交换机设备,以便ISE能与交换机正常联动。
- 在上方导航区域选择“Administration > Network Resources > Network Device Profiles”,单击下方“Add”,创建接入设备模板“HUAWEI”,“Vendor”选择“Other”,“Supported Protocols”勾选“RADIUS”。
- 按照图示配置“Authentication/Authorization”和“Permisssions”,配置完成后单击下方“Submit”提交。
-
选择“Administration > Network Resources > Network Devices”,在右侧操作区域单击“Add”,添加接入设备Switch,根据下表配置Switch参数,配置完成后单击下方“Submit”提交。
参数说明:
设备名称:Switch
IP地址:192.168.100.254,交换机上该接口必须与ISE互通。
RADIUS密钥:Helperaddress@2019,必须与交换机上配置的RADIUS认证和计费密钥一致
- 配置使用的密码认证协议。
- 在上方导航区域选择“Policy > Policy Elements > Results”,在左侧导航区域选择“Authentication > Allowed Protocols”,在右侧操作区域单击“Add”,创建允许用户进行认证的协议模板“Authentication”,根据实际需求勾选适合的认证协议,配置完成后单击下方“Submit”提交。
“Default Network Access”为ISE默认的认证协议模板,如果能够满足实际需求,可以不再另行创建新的模板。
- 配置认证策略。
- 选择“Policy > Authentication”。认证策略分为简单模式和基于规则的,这里以“Simple”为例。单击“Network Access Service”下拉选项,弹出“Network Access Services”界面,单击“Allowed Protocols”,选择“Authentication”。
- 添加授权规则。
-
在上方导航区域选择“Policy > Authorization”,单击第一条认证策略最右侧的三角形,选择“Insert New Rule Above”。
-
新增授权结果,并绑定授权规则。
- 单击右侧“Save”,点击“Done”保存。
- 检查配置结果
- 员工在没有认证的情况下只能访问ISE服务器。
- 员工认证通过后,能够访问认证后域的网络资源。
