eou培訓(xùn)文檔設(shè)計

1、目前你了解聯(lián)軟的哪幾種認(rèn)證方式?基于端口/MAC的802.1x準(zhǔn)入控制；基于ACL的EOU準(zhǔn)入控制；基于簡單安全助手認(rèn)證；基于NACC的EOU準(zhǔn)入認(rèn)證,傳統(tǒng)的幾種認(rèn)證方式,幾種認(rèn)證方式的對比,EOU認(rèn)證故障診斷,ACL:對網(wǎng)絡(luò)起限制作用TRUNK:EOU不能應(yīng)用在trunk口上NAC:network admission controlEOU： EAP over UDP NAC L2 IP ? EAP ov

2、er UDP 安全狀態(tài)檢查(L2交換機(jī)端口)在交換機(jī)實現(xiàn)NAC是，其稱作NAC-L2-IPNAC L3 IP ? EAP over UDP 安全狀態(tài)檢查(Routers and VPN),EOU幾個相關(guān)的概念,EOU的原理,EAPOU是Cisco的專有協(xié)議，即獨家技術(shù)。EAPOU是在網(wǎng)絡(luò)的匯聚層或核心層進(jìn)行準(zhǔn)入控制。當(dāng)支持EAPOU的匯聚層設(shè)備接收到終端設(shè)備發(fā)來的數(shù)據(jù)包時，匯聚層EAPOU設(shè)備將要求終端設(shè)備進(jìn)行EAP認(rèn)證。

3、EAP認(rèn)證包封裝在UDP包內(nèi)，在EAP認(rèn)證的內(nèi)容中，身份認(rèn)證其實并不重要，重要的則是安全狀態(tài)認(rèn)證。如果安全狀態(tài)不符合企業(yè)策略，匯聚層EAPOU設(shè)備將從策略服務(wù)器上下載ACL，限制不安全的客戶端的網(wǎng)絡(luò)訪問，并對其進(jìn)行修復(fù)。,EOU的原理,EAP over UDP認(rèn)證通過ACL來控制終端訪問動態(tài)下載ACL和重定向URL依據(jù)終端身份及安全狀態(tài)終端可以通過HUB、無線AP、VPN接入只要中間有支持NAC-L2/3-IP的設(shè)備,EOU

4、在Uniaccess的應(yīng)用,Leagview服務(wù)器上ACL與部門對應(yīng)關(guān)系設(shè)置， Agentless終端以及非安全終端的ACL網(wǎng)絡(luò)準(zhǔn)入控制策略用戶、機(jī)器驗證策略網(wǎng)絡(luò)交換機(jī)上ACL設(shè)置網(wǎng)絡(luò)交換機(jī)上啟用AAA認(rèn)證：aaa new-modelaaa authentication default group radiusaaa authorization default group radius網(wǎng)絡(luò)交換機(jī)上配置Radius服務(wù)

5、器如果有兩臺，配置兩條，第一條的優(yōu)先啟用EOU全局配置模式下的命令：ip admission, ip device tracking等接口下面的命令,EOU在Uniaccess的應(yīng)用,EOU在uniaccess應(yīng)用中的認(rèn)證過程分析基本步驟：PC(with agent)------------switch-------------auth server(radius）switch檢測到pc產(chǎn)生流量之后，向pc發(fā)送認(rèn)證請求

6、agent響應(yīng)該認(rèn)證請求，并且將pc的狀態(tài)一并發(fā)送給switchswitch將pc的狀態(tài)信息放入radius報文，發(fā)送給認(rèn)證服務(wù)器認(rèn)證服務(wù)器根據(jù)信息，判斷pc的狀態(tài)，并根據(jù)結(jié)果，向switch返回信息，內(nèi)容主要包括：將該端口置于何種狀態(tài)（不同的狀態(tài)會在接口上生成不同的ACL），以及對該PC，哪些web訪問會被重定向。,EOU在Uniaccess的應(yīng)用,怎么設(shè)計EOU準(zhǔn)入方案？ 確定用戶具體的需求。確定實施環(huán)境是否具備。結(jié)合實際

7、情況設(shè)計方案。實際網(wǎng)絡(luò)結(jié)構(gòu)是什么？交換機(jī)之間的連接關(guān)系？交換機(jī)負(fù)載終端？終端環(huán)境？應(yīng)急措施實施EOU準(zhǔn)入要注意的地方？ 不能隨便在用戶現(xiàn)場采用clear eou all . 不能隨便在用戶的環(huán)境隨便開啟debug eou 等功能。 有IP電話的情況下。怎么去做例外？EOU應(yīng)急方案 aaa down policy 的應(yīng)用,啟用EOU的前題,允許訪問LeagView服務(wù)器允許EoU認(rèn)證包允許ping

8、允許DHCP包允許DNS包禁止其它,啟用EOU需要放行以下地址或數(shù)據(jù)包,EOU的后臺配置,1、通過telnet命令行登錄到交換機(jī)上，進(jìn)入特權(quán)模式，配置交換機(jī)對RADIUS服務(wù)器的支持；運行configure terminal進(jìn)入到全局配置模式，運行以下命令 #啟用 AAAaaa new-model #創(chuàng)建缺省的登錄認(rèn)證方法列表，采用line password認(rèn)證。aaa authentication login de

9、fault line none#創(chuàng)建EoU認(rèn)證方法列表, group radius表示使用Radius服務(wù)進(jìn)行認(rèn)證aaa authentication eou default group radiusaaa authorization network default group radius,EOU的命令分析,以下型號的Cisco設(shè)備(交換機(jī))支持 (eou)準(zhǔn)入控制：　Catalyst 3550/3560/3750/4500

10、/4900/6500,#創(chuàng)建ip準(zhǔn)入控制名稱(NAC-L2-IP是名稱，可以自己任意指定)ip admission name NAC-L2-IP eapoudp#啟動網(wǎng)絡(luò)設(shè)備的設(shè)備追蹤功能ip device tracking##配置一些EoU的參數(shù)#允許網(wǎng)絡(luò)設(shè)備將無代理的設(shè)備的信息發(fā)送到Radius服務(wù)器進(jìn)行認(rèn)證（根據(jù)IP、Mac地址）eou allow clientless#設(shè)置重傳的超時和次數(shù)。使用30秒、3次這個

11、設(shè)置可以避免代理啟動過慢被交換機(jī)誤認(rèn)為是無代理設(shè)備。如果代理啟動速度加快了，這兩個參數(shù)可以適當(dāng)減小eou timeout retransmit 30eou max-retry 3,EOU的命令分析,EOU的命令分析,#配置一個接口默認(rèn)的ACL，建議至少允許以下幾種IP包：udp21862端口（EoU認(rèn)證需要）、DHCP（獲取IP地址）、DNS（允許獲取域名的IP地址，以便http可以重定向）、ICMP（允許ping和被ping利于診

12、斷）、LeagView服務(wù)器所在的IP地址訪問、其它修復(fù)服務(wù)器的地址（例如反病毒軟件安裝服務(wù)器、補(bǔ)丁服務(wù)器等）ip access-list extended interface_default_acl permit udp any any eq 21862 permit udp any eq bootpc any eq bootps permit udp any any eq domain permit icmp any an

13、y permit ip any host 192.168.1.20 permit ip any host 192.168.1.204 deny ip any any#配置一個ACL，用來定義要重定向的Http訪問。下例中，假定所有的其它Http訪問被重定向到192.168.1.204ip access-list extended quaratine_url_redir_acl deny tcp any host 192.1

14、68.1.204 eq www permit tcp any any eq www permit tcp any any eq 443,#配置radius服務(wù)器radius-server attribute 8 include-in-access-reqradius-server host 192.168.1.20 auth-port 1812 acct-port 1646 key secret#將dead的Radius的優(yōu)先

15、級降低，缺省情況下不調(diào)整優(yōu)先級別#當(dāng)已經(jīng)發(fā)現(xiàn)第一個Radius dead時，如果有認(rèn)證請求，直接將認(rèn)證包發(fā)給第二個radius-server retry method reorder#指定網(wǎng)絡(luò)交換機(jī)向radius服務(wù)器的認(rèn)證包的重傳次數(shù)，缺省值為3#減少該值有可以更快地切換到下一臺Radius服務(wù)器來做認(rèn)證radius-server retransmit 2#指定認(rèn)證包的超時，缺省為5秒radius-server time

16、out 3#設(shè)置deadtime為3分鐘，3分鐘后網(wǎng)絡(luò)設(shè)備會再次嘗試radius-server deadtime 3＃指定交換機(jī)發(fā)送Radius包時加上Cisco自己的擴(kuò)展（以便解析接入端口名）radius-server vsa send authentication,EOU的命令分析,EOU的命令分析,#啟動交換機(jī)上的Http服務(wù)器（如果需要URL重定向功能的話）ip http server#在某個端口上啟動NAC-L2

17、-IP（例如interface giga 1/0/1）interface giga 1/0/1 ip access-group interface_default_acl in ip admission NAC-L2-IP#查看EoU接入情況show eou all#查看某個端口上的ACL應(yīng)用情況show ip access-lists interface giga 1/0/47 #清除某個設(shè)備的EoU會話（以便開

18、始一次新的認(rèn)證過程）clear eou ip xxx.xxx.xxx.xxx,EOU認(rèn)證故障診斷,問題一般處理流程： 1: 先全局，后局部?；径ㄎ粏栴}。 2：從認(rèn)證過程著手。 客戶端 網(wǎng)絡(luò)訪問設(shè)備 策略服務(wù)器 如何查找IOS的特性？ 如何驗證交換機(jī)與radius的連通性？Test aaa group radius username password new-code采用公

19、司的radius測試工具,EOU認(rèn)證故障診斷,EOU認(rèn)證故障診斷,問題： Agent的EOU認(rèn)證界面沒有反應(yīng)，表明沒有收到認(rèn)證包。但是使用Ethereal 能抓到認(rèn)證包。原因分析： 顯然是Window防火墻把認(rèn)證包阻止了。打開Windows防火墻配置界面，發(fā)現(xiàn)防火墻服務(wù)ICS無法啟動，報錯“拒絕訪問”，錯誤碼5。這種報錯是意料之外的，因此很可能是安裝第三方程序引起的。重啟機(jī)器，進(jìn)入帶網(wǎng)絡(luò)連接的安

20、全模式，Agent的EOU認(rèn)證正常。憑這點可以斷定必然是安裝第三方程序引起的，因為在安全模式下沒有加載這些程序。解決方法： 在安全模式下，運行autoruns.exe 工具（這個工具的作用是列出當(dāng)前所有的自動啟動項）。仔細(xì)查看，把不明自動啟動項全部去掉，重啟機(jī)器，故障解決。如果有時間，可以一個個去掉，每去掉一個就重啟機(jī)器試試，這樣可以找出具體是哪個自動啟動項引起的。,問題： 配置eou時