Part 1 原理介紹

前言

隨著信息化的快速發(fā)展，對國家、組織、公司或個人來說至關重要的信息越來越多的通過網絡來進行存儲、傳輸和處理，為獲取這些關鍵信息的各種網絡犯罪也相應急劇上升。當前，網絡安全在某種意義上已經成為一個事關國家安全，社會經濟穩(wěn)定的重大問題，得到越來越多的重視。

在網絡安全中，身份認證技術作為第一道，甚至是最重要的一道防線，有著重要地位，可靠的身份認證技術可以確保信息只被正確的“人”所訪問。身份認證技術提供了關于某個人或某個事物身份的保證，這意味著當某人（或某事）聲稱具有一個特別的身份時，認證技術將提供某種方法來證實這一聲明是正確的。
【圖1-1】

常見的網絡接入身份認證技術主要有三種：

• WebAuth(Portal)認證
• MAC認證
• 802.1X認證

通過前期給分享的文章《思科ISE對公司訪客進行Portal認證（基于HTTPS協(xié)議）》，大家應該對WebAuth認證很熟悉了。今天跟大家聊聊如何利用MAC認證方式為網絡設備做接入認證。下一期文章將為大家分享，如何使用802.1x認證方式做網絡接入認證。

一. MAC認證簡介

MAC認證是網絡接入控制方案（NAC）中的一種，它是基于接口和MAC地址對用戶的網絡訪問權限進行控制的認證方法，并且不需要用戶安裝任何客戶端軟件。通過MAC認證能夠實現(xiàn)保護企業(yè)內網的安全性的目的。MAC認證無需用戶終端安裝客戶端，但是卻需要在服務器上登記MAC地址，如果為每臺終端設備做接入MAC地址記錄。工作量非常大。所以通常，MAC認證一般適用于打印機、傳真機等啞終端接入認證的場景。

1. 使用不同用戶名格式的MAC地址認證
目前設備支持兩種方式的MAC地址認證，通過RADIUS（Remote Authentication Dial-In User Service，遠程認證撥號用戶服務）服務器進行遠程認證和在接入設備上進行本地認證。
根據(jù)設備最終用于驗證用戶身份的用戶名格式和內容的不同，可以將MAC地址認證使用的用戶帳戶格式分為兩種類型：

• MAC地址用戶名格式：使用用戶的MAC地址作為認證時的用戶名和密碼。
• 固定用戶名格式：不論用戶的MAC地址為何值，所有用戶均使用設備上指定的一個固定用戶名和密碼替代用戶的MAC地址作為身份信息進行認證。由于同一個端口下可以有多個用戶進行認證，因此這種情況下端口上的所有MAC地址認證用戶均使用同一個固定用戶名進行認證，服務器端僅需要配置一個用戶帳戶即可滿足所有認證用戶的認證需求，適用于接入客戶端比較可信的網絡環(huán)境。
  【圖1-2】

2. MAC地址兩種認證類型介紹
2.1 RADIUS服務器認證方式進行MAC地址認證（本文將以RADIUS服務器方式為例為大家介紹）
當選用RADIUS服務器認證方式進行MAC地址認證時，設備作為RADIUS客戶端，與RADIUS服務器配合完成MAC地址認證操作：

• 若采用MAC地址用戶名格式，則設備將檢測到的用戶MAC地址作為用戶名和密碼發(fā)送給RADIUS服務器進行驗證。
• 若采用固定用戶名格式，則設備將一個已經在本地指定的MAC地址認證用戶使用的固定用戶名和對應的密碼作為待認證用戶的用戶名和密碼，發(fā)送給RADIUS服務器進行驗證。

RADIUS服務器完成對該用戶的認證后，認證通過的用戶可以訪問網絡。

2.2 本地認證方式進行MAC地址認證
當選用本地認證方式進行MAC地址認證時，直接在設備上完成對用戶的認證。需要在設備上配置本地用戶名和密碼：

• 若采用MAC地址用戶名格式，則設備將檢測到的用戶MAC地址作為待認證用戶的用戶名和密碼與配置的本地用戶名和密碼進行匹配。
• 若采用固定用戶名，則設備將一個已經在本地指定的MAC地址認證用戶使用的固定用戶名和對應的密碼作為待認證用戶的用戶名和密碼與配置的本地用戶名和密碼進行匹配。

用戶名和密碼匹配成功后，用戶可以訪問網絡。

Part 2 - 實驗配置
一. 實驗拓撲
【圖2-1】

認證前域：用戶認證未通過時可以訪問的區(qū)域。
認證后域：用戶認證通過后可以訪問的區(qū)域。

二. 實驗需求

1. 網絡管理員為了防止非法人員和不安全的電腦接入到公司網絡中，造成公司信息資源受到損失，希望員工的電腦在接入到公司網絡之前進行身份驗證和安全檢查。
2. 只有合法用戶（已認證終端）才能訪問公司業(yè)務服務器，非合法(未認證終端)用戶無法訪問公司業(yè)務服務器.
3. 采用MAC地址認證方式做接入認證。

三. 配置邏輯

【圖2-2】 華為交換機的配置邏輯

【表1】 思科ISE的配置邏輯

四. 實驗設備及注意事項

1. 本文以華為V200R009C00版本交換機為例，認證&授權服務器以2.1版本的Cisco ISE為例。
2. 認證終端使用Windows PC機模擬。
3. 交換機默認放行發(fā)往RADIUS服務器的報文，不需要針對其配置免認證規(guī)則。

五. 數(shù)據(jù)規(guī)劃
【表2】交換機接口和VLAN規(guī)劃

【表3】 網絡設備IP地址規(guī)劃

所有設備將網關指向交換機，對應各自的VLANIF。

【表4】交換機業(yè)務數(shù)據(jù)規(guī)劃

六. 實驗步驟

Step 1 - 交換機VLAN配置。

1. 創(chuàng)建VLAN 100，200，300。

<HUAWEI> system-view
[HUAWEI] sysname Switch
[SwitchC] vlan batch 100 200 300

２. 按照VLAN規(guī)劃，將接口加入對應的VLAN。

[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan １00 
[Switch-GigabitEthernet0/0/1] quit

[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan 200
[Switch-GigabitEthernet0/0/2] quit

[Switch] interface gigabitethernet 0/0/３
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan ３00
[Switch-GigabitEthernet0/0/2] quit

[Switch] interface gigabitethernet 0/0/４
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan ３00
[Switch-GigabitEthernet0/0/2] quit

Step 2 - Cisco ISE，業(yè)務服務器，終端IP地址配置略。

Step 3 - 交換機側配置。

1. 配置交換機上的VLANIF接口，保證網絡通暢。

[Switch] interface vlanif 100
[Switch-Vlanif100] ip address 192.168.100.254 24    //ISE設備使用的網關IP
[Switch-Vlanif100] quit

[Switch] interface vlanif 200
[Switch-Vlanif200] ip address 192.168.102.254 24    //業(yè)務服務器使用的網關IP
[Switch-Vlanif200] quit

[Switch] interface vlanif 300
[Switch-Vlanif300] ip address 192.168.1.254 24    //終端設備使用的網關IP
[Switch-Vlanif300] quit

2. 配置認證后域對應的ACL規(guī)則3002。

[Switch] acl 3002
[Switch-acl-adv-3002] description 3002.in   //ISE上勾選“Filter-ID”后，授權ACL會自動攜帶.in后綴，必須在交換機上將該ACL描述為xxx.in
[Switch-acl-adv-3002] rule 1 permit ip destination 192.168.102.100 0
[Switch-acl-adv-3002] rule 2 deny ip destination any
[Switch-acl-adv-3002] quit

3. 創(chuàng)建并配置RADIUS服務器模板、AAA認證方案以及認證域。

• 創(chuàng)建并配置RADIUS服務器模板“rd1”。

[Switch] radius-server template rd1
[Switch-radius-rd1] radius-server authentication 192.168.100.100 1812
[Switch-radius-rd1] radius-server accounting 192.168.100.100 1813
[Switch-radius-rd1] radius-server shared-key cipher Helperaddress@2019
[Switch-radius-rd1] quit

• 創(chuàng)建AAA認證方案“abc”并配置認證方式為RADIUS。

[Switch] aaa
[Switch-aaa] authentication-scheme abc
[Switch-aaa-authen-abc] authentication-mode radius
[Switch-aaa-authen-abc] quit

• 配置計費方案“acco1”。為了方便RADIUS服務器維護帳號的狀態(tài)信息，例如上下線信息，強制帳號下線，計費模式必須配置為radius。

[Switch-aaa] accounting-scheme acco1
[Switch-aaa-accounting-acco1] accounting-mode radius
[Switch-aaa-accounting-acco1] accounting realtime 15    //配置實時計費周期為15分鐘
[Switch-aaa-accounting-acco1] quit

• 創(chuàng)建認證域“HA”，并在其上綁定AAA認證方案“abc”、計費方案acco1與RADIUS服務器模板“rd1”。

[Switch-aaa] domain HA
[Switch-aaa-domain-HA] authentication-scheme abc
[Switch-aaa-domain-HA] accounting-scheme acco1
[Switch-aaa-domain-HA] radius-server rd1
[Switch-aaa-domain-HA] quit

• 配置全局默認域為“HA”。用戶進行接入認證時，以格式“user@HA”輸入用戶名即可在HA域下進行aaa認證。如果用戶名中不攜帶域名或攜帶的域名不存在，用戶將會在默認域中進行認證。

[Switch] domain HA

4. 使能MAC認證

• 將NAC配置模式切換成統(tǒng)一模式。

[Switch] authentication unified-mode

設備默認為統(tǒng)一模式。傳統(tǒng)模式與統(tǒng)一模式相互切換后，管理員必須保存配置后重啟設備，新配置模式的各項功能才能生效。

• 配置MAC接入模板。

[Switch] mac-access-profile name m1
[Switch-mac-access-profile-m1] mac-authen username fixed HA password cipher Helperaddress123    //配置MAC認證用戶采用固定用戶名形式，用戶名為HA，密碼為Helperaddress123.
[Switch-mac-access-profile-m1] quit

• 配置認證模板。

[Switch] authentication-profile name p1
[Switch-authen-profile-p1] mac-access-profile m1    //綁定MAC接入模板
[Switch-authen-profile-p1] quit

• 在接口GE0/0/3和GE0/0/4上同時使能MAC認證。

[Switch] interface gigabitethernet 0/0/3
[Switch-Gigabitethernet0/0/1] authentication-profile p1    //綁定認證模板，使能MAC認證
[Switch-Gigabitethernet0/0/1] quit

[Switch] interface gigabitethernet 0/0/4
[Switch-Gigabitethernet0/0/2] authentication-profile p1    //綁定認證模板，使能MAC認證
[Switch-Gigabitethernet0/0/2] quit

Step 4 - 配置ISE。

1. 登錄ISE。

打開Internet Explorer瀏覽器，在地址欄輸入ISE的訪問地址，單擊“Enter”。輸入ISE管理員賬號和密碼登錄ISE。

2. 創(chuàng)建部門和賬號。

• 選擇“Administration > Identity Management > Groups”，在左側導航區(qū)域選擇“Endpoint Identity Groups”，在右側操作區(qū)域內單擊“Add”，創(chuàng)建RD部門所屬群組“RD”，配置完成后單擊左下角“Submit”提交。

• 選擇“Administration > Identity Management > Identities”，在左側導航區(qū)域選擇“EndPoints”，在右側操作區(qū)域單擊“Add”，添加的終端MAC地址為“3c-97-0e-bd-6a-65“，綁定到群組“RD”，配置完成后單擊下方“Save”提交。

3. 在ISE中添加交換機設備，以便ISE能與交換機正常聯(lián)動。

• 在上方導航區(qū)域選擇“Administration > Network Resources > Network Device Profiles”，單擊下方“Add”，創(chuàng)建接入設備模板“HUAWEI”，“Vendor”選擇“Other”，“Supported Protocols”勾選“RADIUS”。

• 按照圖示配置“Authentication/Authorization”和“Permisssions”，配置完成后單擊下方“Submit”提交。

• 選擇“Administration > Network Resources > Network Devices”，在右側操作區(qū)域單擊“Add”，添加接入設備Switch，根據(jù)下表配置Switch參數(shù)，配置完成后單擊下方“Submit”提交。

  參數(shù)說明：
  設備名稱：Switch
  IP地址：192.168.100.254，交換機上該接口必須與ISE互通。
  RADIUS密鑰：Helperaddress@2019，必須與交換機上配置的RADIUS認證和計費密鑰一致

4. 配置使用的密碼認證協(xié)議。

• 在上方導航區(qū)域選擇“Policy > Policy Elements > Results”，在左側導航區(qū)域選擇“Authentication > Allowed Protocols”，在右側操作區(qū)域單擊“Add”，創(chuàng)建允許用戶進行認證的協(xié)議模板“Authentication”，根據(jù)實際需求勾選適合的認證協(xié)議，配置完成后單擊下方“Submit”提交。

“Default Network Access”為ISE默認的認證協(xié)議模板，如果能夠滿足實際需求，可以不再另行創(chuàng)建新的模板。

5. 配置認證策略。

• 選擇“Policy > Authentication”。認證策略分為簡單模式和基于規(guī)則的，這里以“Simple”為例。單擊“Network Access Service”下拉選項，彈出“Network Access Services”界面，單擊“Allowed Protocols”，選擇“Authentication”。

6. 添加授權規(guī)則。

• 在上方導航區(qū)域選擇“Policy > Authorization”，單擊第一條認證策略最右側的三角形，選擇“Insert New Rule Above”。

• 新增授權結果，并綁定授權規(guī)則。

• 單擊右側“Save”，點擊“Done”保存。

7. 檢查配置結果

• 員工在沒有認證的情況下只能訪問ISE服務器。

• 員工認證通過后，能夠訪問認證后域的網絡資源。