交换安全之接入安全

AAA

定义

Authentication，认证，判断用户是否具有访问权限；
Authorization，授权，允许用户使用哪些服务；
Accounting，记账，记录用户使用网络资源的情况。

AAA 是以上三项的简写，是一个安全模型，用于实现用户安全管理。

应用

学校拨号 802.1x 认证
电信宽带 PPPOE
设备安全管理
网站后台数据库

安全架构

以学校拨号上网为例，在本地终端安装认证客户端，连接到交换机，然后连接到学校服务集群中的认证服务器。首先，本地客户端发送账号密码到交换机请求上网，交换机收到信息后承担代理的角色，以 AAA 客户端的身份将信息转发给 AAA 服务器。然后，AAA 服务器收到信息后会搜索本地数据库判断该用户是否具有权限，若认证成功则向 AAA 客户端（交换机）回复许可消息，此过程涉及两个安全加密协议 redius 和 tacacs，用来保护通信的安全。最后交换机回馈本地客户端，允许其上网，这一过程也涉及一个安全协议 802.1x，保护本地客户端到交换机的通信安全。

部署

第一步，部署AAA服务器（虚拟机网卡桥接模式）
1、创建用户名和密码
2、定义AAA客户端/协议

第二步，部署AAA客户端（三层交换机）
1、开启AAA功能
aaa new-model
2、定义认证列表
aaa authentication login PL group tacacs+
3、将认证列表应用到VTY下
line vty 0 15
login authentication PL
4、指定AAA服务器
ip tacacs source-interface vlan 1 //指定本地与服务器通信地址
tacacs-server host 192.168.1.10 key cisco //定义预共享**，用于认证

test aaa group tacacs+ dphaha 12345 new-code //在交换机上测试请求服务器是否可行

802.1x

定义

802.1x，用户接入安全协议，源于无线网络技术。

框架

客户端发往 AAA 服务器的数据包经过 802.1x 加密，把本地与交换机相连的接口称为受控端口，本地发往交换机的数据包叫做 EAP 包。当数据包发往服务器完成认证再返回交换机时，受控端口即亮灯。认证的方式很多，802.1x只是其中的一种。

部署

一、AAA 服务器的配置
1、定义 AAA 客户端 < IP、认证协议 Radius >
2、定义认证的用户名密码，并放置到特定的 VLAN
//服务器需要开启 802.1x 认证选项

二、交换机上面的配置
1、开启 AAA 和 dot1x
aaa new-model
dot1x system-auth-control //开启802.1X功能
radius-server host 192.168.1.253 key cisco //定义 Radius 服务器
ip radius source-interface vlan 1 //定义与服务器通信的地址

2、为 dot1x 开启认证和授权功能
aaa authentication dot1x default group radius //编写认证列表
aaa authorization network default group radius //编写授权列表

3、接口下配置 dot1x
interface FastEthernet0/2
switchport mode access
dot1x port-control auto
spanning-tree portfast

三、客户端部署