LAN Enforcer –CISCO基本模式配置手册SYMANTEC公司2005.12.15版权信息本文件的版权属于SYMANTEC公司,任何形式的散发都必须事先得到SYMANTEC公司的书面许可。
COPYRIGHT© 2004-2005//保密条款本方案中涉及大量的SYMANTEC公司的机密和专有信息。
这些信息只能用于对本方案的评估,而不得泄漏,复制或用于其它目的。
目录1、策略管理服务器配置 (1)2、安装安全代理 (3)3、交换机的配置 (4)3、LAN ENFORCER的设置 (7)4.MICROSOFT RADIUS 配置步骤 (15)1、策略管理服务器配置1)安装SQL2000或oracle2)安装SMS4.03)安装LAN Eeforcer,在安装的时候选择“作为LAN Enforcer”如下图所示;4)登陆SMS,进入“Policies”配置页面,“check out”Global组;5)进入“setting”子页面;点击“Advanced Setting”,系统弹出配置页面,坐如下图所示的设置;6)点击窗口“OK”关闭窗口,继续点击页面以保存设置;2、安装安全代理安装成功之后:3、交换机的配置1)在此只给出CISCO 2950 T 配置文件(注意交换机的版本必须是增强的ISO)。
Switch#show runBuilding configuration...Current configuration : 1910 bytes!version 12.1no service padservice timestamps debug uptimeservice timestamps log uptimeno service password-encryptionhostname Switchaaa new-model aaa authentication dot1x default group radiusaaa authorization network default group radiusip subnet-zerospanning-tree mode pvstno spanning-tree optimize bpdu transmissionspanning-tree extend system-iddot1x system-auth-controlinterface FastEthernet0/1switchport mode accessdot1x port-control autodot1x timeout quiet-period 30dot1x timeout reauth-period 30dot1x timeout supp-timeout 2dot1x max-req 10dot1x guest-vlan 2dot1x reauthenticationspanning-tree portfastinterface FastEthernet0/2switchport mode accessdot1x port-control autodot1x timeout quiet-period 30dot1x timeout reauth-period 30dot1x timeout supp-timeout 2dot1x max-req 10dot1x guest-vlan 2dot1x reauthenticationspanning-tree portfastinterface FastEthernet0/3interface FastEthernet0/4 interface FastEthernet0/5 interface FastEthernet0/6 interface FastEthernet0/7 interface FastEthernet0/8 interface FastEthernet0/9 interface FastEthernet0/10 interface FastEthernet0/11interface FastEthernet0/12 interface FastEthernet0/13 interface FastEthernet0/14 interface FastEthernet0/15 interface FastEthernet0/16interface FastEthernet0/17 interface FastEthernet0/18 interface FastEthernet0/19 interface FastEthernet0/20 interface FastEthernet0/21 interface FastEthernet0/22 interface FastEthernet0/23 interface FastEthernet0/24interface GigabitEthernet0/1 interface GigabitEthernet0/2 interface Vlan1ip address 192.168.100.221 255.255.255.0no ip route-cacheinterface Vlan2 no ip addressno ip route-cacheshutdownip http serverradius-server host 192.168.100.222 auth-port 1812 acct-port 1813 key q1w2e3r4radius-server retransmit 3line con 0line vty 5 153、LAN Enforcer的设置1)进入SMS中的LAN Enforcer的配置页面2)点击进入LAN Enforcer的“Authentication”配置页面,如下图:3)配置LAN Enforcer和交换机通讯的端口,默认是1812,也可以改为1645端口,但是必须和交换机的端口设置一致;4)点击图中的“Add”以打开“交换机和Radius配置”页面;5)在“Switch Mode”中选择交换机品牌,本文中我们选择“CISCO”;6)在下面输入交换机的IP地址;7)依次在下面输入交换机的再次认证时间间隔,默认下是30秒。
需要注意的是这个时间间隔必须和交换机上设置的此参数保持一致;8)基本模式下“RADIUS server IP address”输入微软的RADIUS的地址9)在下面的端口设置中输入“1812”,此端口必需和交换机设置的端口一致;10)在“Switch-RADIUS Share Secret”输入和交换机一致的一个字符串;配置好之后的界面如下图所示:11)启用动态VLAN,随后点击“Add”以增加VLAN设置,如下图所示:因为我们在交换机中设置了两个VLAN,所以我们接下去再设置一个VLAN,这两个VLAN的编号要和交换机的VLAN的一致。
12)最后设置LAN Enforcer对SSA的处理行为。
图中左边第一列是主机完整性的检查结果,第二列是802.1X的认证结果,第三列是“Switch Action”,点击这一列下面的任何一行后出现下面四种选择,如下面图中的红圈处所示:13)根据左边的检查结果依次设定交换机的处理动作。
在base模式下,我们将不选择,忽略RADIUS服务器发来的EAP认证结果,这样主机完整性结果和EAP认证结果,这之后的最终截图如下:14)在“Switch Action”选择处理结果时,另外两个选项“open port”和“closeport”当交换机不支持动态VLAN时,直接用作打开或者关闭端口。
15)下面是LAN Enforcer在接受到了策略管理服务器最新策略后的界面。
点击界面的“设置”后:选择图中的”cisco”交换机,再点击右边的“查看”:4.Microsoft RADIUS 配置步骤802.1x支持许多的认证方式,包括一些最普遍的认证协议像是EAP-TLS, EAP-TTLS, EAP-PEAP。
802.1x 的认证机制需要在企业网络内架设认证服务器(譬如 RADIUS Server)。
目前微软的 Windows 2000 及 XP 已成为许多计算机使用的操作系统,而 802.1x 需使用到的认证软件已内含在 Windows advanced server2000及Windows 2003 Server 的 IAS 内,802.1x client 所需的软件也已内含在 Windows 2000及XP 中。
不论您采用的是 EAP-TLS,或是 EPA-TTLS,或是 PEAP 的认证方式,您都可能需要用到Windows advanced server2000或Windows 2003 Server内的 Certificate Service。
此文档将教你如何搭建微软认证服务器,配置如下说明。
一.以下的配置说明,所使用到的设备及软件如下:1. 使用一台 PC,这台 PC 安装了 Windows 2000 Advanced Server SP4,Windows Advanced Server 2000 的 Certificate Service及 Windows 2000 的IAS,并将这台计算机设成主域控制器( Domain Controller ), root CA,及将这台 PC当成局域网的认证服务器。
2. 使用 PEAP-MS-CHAP v2认证协议。
3. 交换机用CISCO 2950T4. 笔记型计算机使用 Windows XP二. 架设步骤:1.安装 Windows 2000 Advanced Server并将这部计算机升级到 SP4。
2.将这部计算机设定成 Active Directory 的 Domain Controller。
3.将您的 notebook 加入新建立的网域。
在下面的图一中, notebook 名称是TIGER,网域名称是 。
将网络使用者加入网域的 Users 内4. 如果您装 Windows2000 Advanced Server时,没有安装 IAS的话,请依照以下步骤,在这部 Domain Controller 上安装IAS (Internet Authentication Service) :按「开始/设定/控制台/新增移除程序/新增移除 Windows 组件/网络服务」(如下"图二" 所示)。
接着按「详细数据」按钮。
在最后这个画面上(如下"图三 " 所示),选取「Internet验证服务」,然后按「确定」按钮,接着按「下一步」按钮。