思科通过Cisco IBNS(基于身份识别的网络服务)解决方案扩展LAN的接入安全。Cisco IBNS利用接入控制和用户文件的组合功能,为不同用户提供更好的灵活性和移动性。这一功能组合增强了网络连接、业务和应用的安全,从而使企业能够提高用户生产力,减少运营开支。
Q.什么是 Cisco IBNS?
A.Cisco IBNS 是提高企业网络(基于IEEE 802.1X标准)物理和逻辑接入安全的解决方案。
Cisco IBNS答应网络治理员在用户和端口级别实施真正的基于身份的网络接入控制和策略增强。它使用安全可靠、功能强大的授权技术,提供用户和设备身份识别。该解决方案将拥有身份的个体与一定的策略关联起来。这些策略通过“治理”功能创建,增强控制精细度。
Q. 什么是802.1X?
A. IEEE 802.1X是根据用户ID或设备,对网络客户端(或端口)进行鉴权的标准。该流程被称为“端口级别的鉴权”。它采用RADIUS(远程认证拨号用户服务)方法,并将其划分为三个不同小组:请求方、认证方和授权服务器。
8201.X标准应用于试图连接到端口或其它设备(如Cisco Catalyst?交换机或Cisco Aironet? 系列接入点)(认证方)的终端设备和用户(请求方)。认证和授权都通过鉴权服务器(如Cisco Secure ACS)后端通信实现。IEEE 802.1X提供自动用户身份识别,集中进行鉴权、密钥治理和LAN连接配置。参见图1,了解802.1X的演示图。
图1:
802.1x
802.1X功能客户端、交换机或接入点应用策略并支持端口、登录请求、登录信息
设置支持的端口;
设置端口VLAN 10
400系列
3550/2950系列
6500系列
Cisco Aironet系列
802.1x功能接入设备
登录成功!应用策略
根据策略数据库进行验证和检查
登录+认证
登录通过验证
CiscoSecure ACS
AAA RADIUS 服务器
802.1x 鉴权服务器
Q. 802.1X有什么优势?
A. 过去,接入控制通常在网络边缘进行治理。思科现在能够在有线和无线LAN交换机和Cisco Secure ACS上支持802.1X,从而在LAN内部实现基于RADIUS的认证、授权和记帐(AAA)功能。非凡是802.1X与Cisco Secure ACS同时使用时可以提供下列优势:
使用PKI(公共密钥基础架构)、令牌、智能卡及未来的生物测定学提供强大的授权功能。
在没有使用双方授权的WLAN环境中,很轻易产生安全攻击弱点,此时该方法非凡有效。
灵活的策略分配,如单位用户配额和VLAN分配。
用户记帐和审核,以及在LAN内部跟踪和监控用户行为的功能。
Q. 思科如何扩展现有IEEE 802.1X标准的功能?
A. 思科支持IEEE 802.1X标准,提供下列扩展应用增强功能:
带VLAN的802.1X
Cisco IBNS提供根据用户身份向端口自动分配VLAN的功能。凭借标准的802.1X实施,通过授权的用户可以进入预配置的VLAN(已分配给端口)。这一全新功能使治理员能够在RADIUS服务器内部保留一个用户名和VLAN对应的数据库。在802.1X成功授权后,RADIUS向非凡用户发送到交换机的VLAN,交换机为特定的VLAN配置相连端口。因此,通过802.1X授权的端口按用户身份分配到相应的VLAN中。
带端口安全的802.1X
该功能可以在802.1X端口上配置端口安全。假如端口上只有一个MAC(媒介接入控制)地址可以获得端口安全,则只有该MAC地址可以通过RADIUS服务器进行授权。其它MAC用户接入将被拒绝,从而减少了其它与集线器连接,避开认证过程的用户的安全风险。在多个认证模式中实施带端口安全的802.1X时,所有试图通过交换机端口连接的主机都要经过802.1X鉴权。
具备Voice VLAN ID功能的802.1X
该功能有助于有实力的公司同时使用Cisco AVVID(语音、视频和集成数据体系结构)Voip和动态端口安全功能的优势。治理员可以配置辅助的语音VLAN。
802.1X Guest VLAN (仅适用于Cisco Catalyst 6500系列)
该功能有助于实力较强的公司提供带限制网络接入的“访客”网络接入。启用该功能后,用户试图连接未兼容802.1X标准的主机网络时,将进入Guest VLAN。
802.1X的高可用性 (仅适用于Cisco Catalyst 6500系列)
该功能位于正在使用的和备用的监控器之间,支持运行时间802.1X端口安全信息的同步。因此,在高可用性切换期间,可以保持端口安全状态。
高可用性的端口安全(仅适用于Cisco Catalyst 6500 系列)
该功能位于正在使用的和备用的监控器之间,支持运行时间端口安全信息的同步。因此,在高可用性的切换期间,可以保持端口安全状态。
带ACL分配的802.1X (仅适用于Cisco Catalyst 3550)
基于身份识别的接入控制列表(ACL)答应按照用户的802.1X鉴权,向接口动态分配用户接入控制策略。您可以使用该功能将用户限制在网络的一定区域内,限制敏感服务器的接入,甚至限制可以使用的协议和应用。
在不影响用户移动性或者不产生额外的治理费用的情况下,还可以提供非常明确的身份识别安全。
Q. Cisco IBNS平台支持哪些功能?
图2 Cisco IBNS 产品的功能
Cisco 无线安全套件的功能:
为特定员工、访客和应用提供多个VLAN
Cisco IOS
扩展的802.1X
鉴权支持,用于 Cisco LEAP、 EAPTLS、
EAP-TTLS、 PEAP和
EAPSIM
扩展的加密支持,用于802.11i 准标准(PRe-standard) TKIP
信息完整性检查
单位分组加密
广播键旋转
现在提供ACS v3.0
802.1x Catalyst 支持
PKI支持
密码老化
用于行政治理的 RBAC
为无线和交换提供新的PKI
ACS v3.1 FCS Dec ‘02
为无线应用提供PEAP支持
802.1x & EAP
SSL安全
IOS 12.1(12) EA1*
FCS Oct ‘02
带端口安全的 802.1x (2950/3550)
带VVID功能的802.1x (2950/3550)
带VLAN的802.1x
(2950/3550)
802.1x w/ACL
IBNS 功能
802.1x支持 **
带VLAN的802.1x(CatOS v7.2 或更高版本)
新型 Catalyst OS
FCS Q1‘03
802.1x外加Cisco Extensions
802.1x w/端口安全
802.1x w/VVID
802.1x Guest VLAN
** Cisco IOS v12.1(12c)EW 和
Catalyst OS v6.2及更高版本
IBNS 功能
802.1x支持***
带VLAN的 802.1x
(CatOS v7.2或更高版本)
新型 Catalyst OS v7.5.1
FCS Nov ‘02
802.1x外加
Cisco Extensions
802.1x w/端口安全
802.1x w/VVID
802.1x Guest VLAN
用于 802.1x的 HA
HA端口安全
*** Cisco IOS v12.1(13)E 和
Catalyst OS v6.2及更高版本
身份识别联网业务 (IBNS)
端到端的解决方案
Q. Cisco IBNS 对公司赢利有什么影响?
A. Cisco IBNS集中治理端口级别的安全性,减少了公司内部进行网络治理所需的资源。此外,为用户提供更大的移动性和有线/无线网络接入可以提高用户生产力。成本降低,生产力提高,这些都能增加赢利。
Q. Cisco IBNS与现有的思科端口安全产品有何不同?
A.思科在提供802.1X端口安全之前,已经开始提供(并且现在仍在提供)端口安全和Cisco URT(用户注册工具)。在特定的环境中仍然可以使用端口安全功能。端口安全支持单位端口的网络接入治理,并且在交换机上进行手动配置。Cisco URT按照用户和设备鉴权,提供LAN的动态VLAN分段。Cisco URT在当前使用专有VMPS问询协议(VQP)的思科交换机上,提供VLAN会员策略服务器(VMPS)功能。Cisco IBNS目前是基于标准的端口安全实施,由RADIUS服务器(Cisco Secure ACS)集中治理。此外,Cisco IBNS结合接入控制和用户组合功能,提供更好的灵活性和移动性,从而确保了网络连接、业务和应用的安全,使企业能提高用户生产力,减少运营成本。
Q.思科是否计划中断URT的销售?
A. 不会。Cisco URT仍然具有优势,非凡是在没有广泛使用802.1X操作系统的请求端仍然适用。Cisco URT通过网页登录功能解决没有802.1X操作系统的问题。目前,Cisco URT在大量客户端操作系统上提供完整的AAA LAN身份识别联网解决方案,进一步完善了Cisco IBNS的功能。
Q. Cisco IBNS实施是否为开放应用?我是否只能使用思科设备才能让其工作?
A.是开放应用。思科实施基于并兼容IEEE 802.1X标准,支持所有兼容RADIUS的服务器和客户端(请求方)。思科扩展系列只能由本文列出的思科产品提供支持。
Q. Cisco IBNS未来会提供更多功能吗?
A. Cisco IBNS解决方案将根据标准的变化和客户需求不断进行修改,目前它还处于多阶段实施的早期阶段。
Q. Cisco IBNS支持什么鉴权客户端或平台?
A. Cisco Catalyst交换机支持Microsoft Windows xp、linux 和 HP UNIX系统,以后还将支持其它802.1x客户端。Cisco Aironet产品支持Microsoft Windows、Windows CE、MAC OS、Linux和MS-DOS的全部现有版本。
Q.什么鉴权服务器是兼容的?
A. Cisco IBNS解决方案基于标准的RADIUS 和 802.1X实施。它能与符合这两种标准的所有IETF鉴权服务器互操作。思科非凡增强Secure ACS,以在所有思科交换机上提供严密的集成。
Q.我需要进行哪些修改才能获得本支持?
A.不需要对硬件基础架构进行修改。在大多数情况下,您只需对LAN接入设备(有线和无线)、交换机、客户端工作站和RADIUS服务器的操作系统软件进行升级。
参见图2,了解支持Cisco IBNS和IEEE 802.1X标准的思科产品列表。
参见本文提供的支持客户端和鉴权服务器。
Q.可以用802.1X实施什么类型的安全策略?
A.除了提供基于身份的动态端口鉴权和保护网络接入安全功能外,Cisco IBNS还提供按照单位用户动态分配VLAN和ACL的功能。与Cisco Secure ACS服务器一起提供的其它策略如下:
天天某时和每周某天的限制
基于网络接入服务器NAS的IP地址限制用户和交换机接入的IP过滤器
根据MAC地址限制设备鉴权的MAC地址过滤
单位用户VLAN
单位用户ACL
Q.可以使用什么治理工具来治理用户接入组合?
A. Cisco Secure ACS减少了在您的网络上划分用户和网络治理器接入的大量治理工作。Cisco Secure ACS使您能从基于图形用户界面的网页,集中控制所有用户AAA文件,并在网络中将这些文件分配给数千个接入点。此外,作为一种记帐业务,Cisco Secure ACS还能在您的网络中跟踪和报告用户行为,同时提供每个远程接入连接或设备配置的修改记录。
Q.在多站点机构中,我应将RADIUS服务器放置在什么位置?
A.有了Cisco Secure ACS,您可以配置多个要在分布式环境中部署的RADIUS服务器。
它具有以下几个优势:
远程ACS服务器的代理鉴权(用于拨号远程移动接入)
通过NAS的群集配置和ACS的数据库复制功能支持故障恢复和冗余
集中的远程登录功能
在网络中设置Cisco Secure ACS的技术指南详见白皮书,网址如下:
http://www.cisco.com/warp/public/cc/pd/sqsw/sq/tech/secre_wp.htm.
Q.实施Cisco IBNS后,Cisco ACS会增加其它负荷吗?
A. 主要是后端负荷增加了。思科与高性能的后端数据库(如Oracle或Sybase)连接后,已经开始在群集部署中为windows 2000和 NT提供Cisco Secure ACS功能。据数千份用户报告来看,该扩展功能为客户提供了良好的操作。这是目前市场上兼容802.1X的RADIUS服务器不能提供的。
如需了解Cisco Secure ACS的更多信息,请访问:http://www.cisco.com/go/acs。
Q. 我可以在何处查找Cisco IBNS解决方案特定产品的更多信息?
A.如需了解Cisco IBNS 解决方案的更多信息,请访问:ibnssolution@cisco.com。
如需了解个别产品的更多信息,请访问下列网址:
Cisco Secure access Control Server(安全接入控制服务器)
http://www.cisco.com/warp/public/cc/pd/sqsw/sq/
Cisco Aironet?系列产品
http://www.cisco.com/go/wireless
Cisco Catalyst 6500 系列交换机
http://www.cisco.com/go/catalyst6500
Cisco Catalyst 4500系列交换机
http://www.cisco.com/go/catalyst4500
Cisco Catalyst 3560系列交换机
http://www.cisco.com/go/catalyst3560
Cisco Catalyst 3750系列交换机
http://www.cisco.com/go/catalyst3750
Cisco Catalyst 2950系列交换机
http://www.cisco.com/go/catalyst2950