eou培訓文檔設計

1、目前你了解聯(lián)軟的哪幾種認證方式?基于端口/MAC的802.1x準入控制；基于ACL的EOU準入控制；基于簡單安全助手認證；基于NACC的EOU準入認證,傳統(tǒng)的幾種認證方式,幾種認證方式的對比,EOU認證故障診斷,ACL:對網(wǎng)絡起限制作用TRUNK:EOU不能應用在trunk口上NAC:network admission controlEOU： EAP over UDP NAC L2 IP ? EAP ov

2、er UDP 安全狀態(tài)檢查(L2交換機端口)在交換機實現(xiàn)NAC是，其稱作NAC-L2-IPNAC L3 IP ? EAP over UDP 安全狀態(tài)檢查(Routers and VPN),EOU幾個相關(guān)的概念,EOU的原理,EAPOU是Cisco的專有協(xié)議，即獨家技術(shù)。EAPOU是在網(wǎng)絡的匯聚層或核心層進行準入控制。當支持EAPOU的匯聚層設備接收到終端設備發(fā)來的數(shù)據(jù)包時，匯聚層EAPOU設備將要求終端設備進行EAP認證。

3、EAP認證包封裝在UDP包內(nèi)，在EAP認證的內(nèi)容中，身份認證其實并不重要，重要的則是安全狀態(tài)認證。如果安全狀態(tài)不符合企業(yè)策略，匯聚層EAPOU設備將從策略服務器上下載ACL，限制不安全的客戶端的網(wǎng)絡訪問，并對其進行修復。,EOU的原理,EAP over UDP認證通過ACL來控制終端訪問動態(tài)下載ACL和重定向URL依據(jù)終端身份及安全狀態(tài)終端可以通過HUB、無線AP、VPN接入只要中間有支持NAC-L2/3-IP的設備,EOU

4、在Uniaccess的應用,Leagview服務器上ACL與部門對應關(guān)系設置， Agentless終端以及非安全終端的ACL網(wǎng)絡準入控制策略用戶、機器驗證策略網(wǎng)絡交換機上ACL設置網(wǎng)絡交換機上啟用AAA認證：aaa new-modelaaa authentication default group radiusaaa authorization default group radius網(wǎng)絡交換機上配置Radius服務

5、器如果有兩臺，配置兩條，第一條的優(yōu)先啟用EOU全局配置模式下的命令：ip admission, ip device tracking等接口下面的命令,EOU在Uniaccess的應用,EOU在uniaccess應用中的認證過程分析基本步驟：PC(with agent)------------switch-------------auth server(radius）switch檢測到pc產(chǎn)生流量之后，向pc發(fā)送認證請求

6、agent響應該認證請求，并且將pc的狀態(tài)一并發(fā)送給switchswitch將pc的狀態(tài)信息放入radius報文，發(fā)送給認證服務器認證服務器根據(jù)信息，判斷pc的狀態(tài)，并根據(jù)結(jié)果，向switch返回信息，內(nèi)容主要包括：將該端口置于何種狀態(tài)（不同的狀態(tài)會在接口上生成不同的ACL），以及對該PC，哪些web訪問會被重定向。,EOU在Uniaccess的應用,怎么設計EOU準入方案？ 確定用戶具體的需求。確定實施環(huán)境是否具備。結(jié)合實際

7、情況設計方案。實際網(wǎng)絡結(jié)構(gòu)是什么？交換機之間的連接關(guān)系？交換機負載終端？終端環(huán)境？應急措施實施EOU準入要注意的地方？ 不能隨便在用戶現(xiàn)場采用clear eou all . 不能隨便在用戶的環(huán)境隨便開啟debug eou 等功能。 有IP電話的情況下。怎么去做例外？EOU應急方案 aaa down policy 的應用,啟用EOU的前題,允許訪問LeagView服務器允許EoU認證包允許ping

8、允許DHCP包允許DNS包禁止其它,啟用EOU需要放行以下地址或數(shù)據(jù)包,EOU的后臺配置,1、通過telnet命令行登錄到交換機上，進入特權(quán)模式，配置交換機對RADIUS服務器的支持；運行configure terminal進入到全局配置模式，運行以下命令 #啟用 AAAaaa new-model #創(chuàng)建缺省的登錄認證方法列表，采用line password認證。aaa authentication login de

9、fault line none#創(chuàng)建EoU認證方法列表, group radius表示使用Radius服務進行認證aaa authentication eou default group radiusaaa authorization network default group radius,EOU的命令分析,以下型號的Cisco設備(交換機)支持 (eou)準入控制：　Catalyst 3550/3560/3750/4500

10、/4900/6500,#創(chuàng)建ip準入控制名稱(NAC-L2-IP是名稱，可以自己任意指定)ip admission name NAC-L2-IP eapoudp#啟動網(wǎng)絡設備的設備追蹤功能ip device tracking##配置一些EoU的參數(shù)#允許網(wǎng)絡設備將無代理的設備的信息發(fā)送到Radius服務器進行認證（根據(jù)IP、Mac地址）eou allow clientless#設置重傳的超時和次數(shù)。使用30秒、3次這個

11、設置可以避免代理啟動過慢被交換機誤認為是無代理設備。如果代理啟動速度加快了，這兩個參數(shù)可以適當減小eou timeout retransmit 30eou max-retry 3,EOU的命令分析,EOU的命令分析,#配置一個接口默認的ACL，建議至少允許以下幾種IP包：udp21862端口（EoU認證需要）、DHCP（獲取IP地址）、DNS（允許獲取域名的IP地址，以便http可以重定向）、ICMP（允許ping和被ping利于診

12、斷）、LeagView服務器所在的IP地址訪問、其它修復服務器的地址（例如反病毒軟件安裝服務器、補丁服務器等）ip access-list extended interface_default_acl permit udp any any eq 21862 permit udp any eq bootpc any eq bootps permit udp any any eq domain permit icmp any an

13、y permit ip any host 192.168.1.20 permit ip any host 192.168.1.204 deny ip any any#配置一個ACL，用來定義要重定向的Http訪問。下例中，假定所有的其它Http訪問被重定向到192.168.1.204ip access-list extended quaratine_url_redir_acl deny tcp any host 192.1

14、68.1.204 eq www permit tcp any any eq www permit tcp any any eq 443,#配置radius服務器radius-server attribute 8 include-in-access-reqradius-server host 192.168.1.20 auth-port 1812 acct-port 1646 key secret#將dead的Radius的優(yōu)先

15、級降低，缺省情況下不調(diào)整優(yōu)先級別#當已經(jīng)發(fā)現(xiàn)第一個Radius dead時，如果有認證請求，直接將認證包發(fā)給第二個radius-server retry method reorder#指定網(wǎng)絡交換機向radius服務器的認證包的重傳次數(shù)，缺省值為3#減少該值有可以更快地切換到下一臺Radius服務器來做認證radius-server retransmit 2#指定認證包的超時，缺省為5秒radius-server time

16、out 3#設置deadtime為3分鐘，3分鐘后網(wǎng)絡設備會再次嘗試radius-server deadtime 3＃指定交換機發(fā)送Radius包時加上Cisco自己的擴展（以便解析接入端口名）radius-server vsa send authentication,EOU的命令分析,EOU的命令分析,#啟動交換機上的Http服務器（如果需要URL重定向功能的話）ip http server#在某個端口上啟動NAC-L2

17、-IP（例如interface giga 1/0/1）interface giga 1/0/1 ip access-group interface_default_acl in ip admission NAC-L2-IP#查看EoU接入情況show eou all#查看某個端口上的ACL應用情況show ip access-lists interface giga 1/0/47 #清除某個設備的EoU會話（以便開

18、始一次新的認證過程）clear eou ip xxx.xxx.xxx.xxx,EOU認證故障診斷,問題一般處理流程： 1: 先全局，后局部。基本定位問題。 2：從認證過程著手。 客戶端 網(wǎng)絡訪問設備 策略服務器 如何查找IOS的特性？ 如何驗證交換機與radius的連通性？Test aaa group radius username password new-code采用公

19、司的radius測試工具,EOU認證故障診斷,EOU認證故障診斷,問題： Agent的EOU認證界面沒有反應，表明沒有收到認證包。但是使用Ethereal 能抓到認證包。原因分析： 顯然是Window防火墻把認證包阻止了。打開Windows防火墻配置界面，發(fā)現(xiàn)防火墻服務ICS無法啟動，報錯“拒絕訪問”，錯誤碼5。這種報錯是意料之外的，因此很可能是安裝第三方程序引起的。重啟機器，進入帶網(wǎng)絡連接的安

20、全模式，Agent的EOU認證正常。憑這點可以斷定必然是安裝第三方程序引起的，因為在安全模式下沒有加載這些程序。解決方法： 在安全模式下，運行autoruns.exe 工具（這個工具的作用是列出當前所有的自動啟動項）。仔細查看，把不明自動啟動項全部去掉，重啟機器，故障解決。如果有時間，可以一個個去掉，每去掉一個就重啟機器試試，這樣可以找出具體是哪個自動啟動項引起的。,問題： 配置eou時