思科通過Cisco IBNS(基于身份識別的網絡服務)解決方案擴展LAN的接入安全。Cisco IBNS利用接入控制和用戶文件的組合功能,為不同用戶提供更好的靈活性和移動性。這一功能組合增強了網絡連接、業務和應用的安全,從而使企業能夠提高用戶生產力,減少運營開支。
Q.什么是 Cisco IBNS?
A.Cisco IBNS 是提高企業網絡(基于IEEE 802.1X標準)物理和邏輯接入安全的解決方案。
Cisco IBNS答應網絡治理員在用戶和端口級別實施真正的基于身份的網絡接入控制和策略增強。它使用安全可靠、功能強大的授權技術,提供用戶和設備身份識別。該解決方案將擁有身份的個體與一定的策略關聯起來。這些策略通過“治理”功能創建,增強控制精細度。
Q. 什么是802.1X?
A. IEEE 802.1X是根據用戶ID或設備,對網絡客戶端(或端口)進行鑒權的標準。該流程被稱為“端口級別的鑒權”。它采用RADIUS(遠程認證撥號用戶服務)方法,并將其劃分為三個不同小組:請求方、認證方和授權服務器。
8201.X標準應用于試圖連接到端口或其它設備(如Cisco Catalyst?交換機或Cisco Aironet? 系列接入點)(認證方)的終端設備和用戶(請求方)。認證和授權都通過鑒權服務器(如Cisco Secure ACS)后端通信實現。IEEE 802.1X提供自動用戶身份識別,集中進行鑒權、密鑰治理和LAN連接配置。參見圖1,了解802.1X的演示圖。
圖1:
802.1x
802.1X功能客戶端、交換機或接入點應用策略并支持端口、登錄請求、登錄信息
400系列
3550/2950系列
6500系列
Cisco Aironet系列
802.1x功能接入設備
登錄成功!應用策略
根據策略數據庫進行驗證和檢查
登錄+認證
登錄通過驗證
CiscoSecure ACS
AAA RADIUS 服務器
802.1x 鑒權服務器
Q. 802.1X有什么優勢?
A. 過去,接入控制通常在網絡邊緣進行治理。思科現在能夠在有線和無線LAN交換機和Cisco Secure ACS上支持802.1X,從而在LAN內部實現基于RADIUS的認證、授權和記帳(AAA)功能。非凡是802.1X與Cisco Secure ACS同時使用時可以提供下列優勢:
在沒有使用雙方授權的WLAN環境中,很輕易產生安全攻擊弱點,此時該方法非凡有效。
Q. 思科如何擴展現有IEEE 802.1X標準的功能?
A. 思科支持IEEE 802.1X標準,提供下列擴展應用增強功能:
Cisco IBNS提供根據用戶身份向端口自動分配VLAN的功能。憑借標準的802.1X實施,通過授權的用戶可以進入預配置的VLAN(已分配給端口)。這一全新功能使治理員能夠在RADIUS服務器內部保留一個用戶名和VLAN對應的數據庫。在802.1X成功授權后,RADIUS向非凡用戶發送到交換機的VLAN,交換機為特定的VLAN配置相連端口。因此,通過802.1X授權的端口按用戶身份分配到相應的VLAN中。
該功能可以在802.1X端口上配置端口安全。假如端口上只有一個MAC(媒介接入控制)地址可以獲得端口安全,則只有該MAC地址可以通過RADIUS服務器進行授權。其它MAC用戶接入將被拒絕,從而減少了其它與集線器連接,避開認證過程的用戶的安全風險。在多個認證模式中實施帶端口安全的802.1X時,所有試圖通過交換機端口連接的主機都要經過802.1X鑒權。
該功能有助于有實力的公司同時使用Cisco AVVID(語音、視頻和集成數據體系結構)Voip和動態端口安全功能的優勢。治理員可以配置輔助的語音VLAN。
該功能有助于實力較強的公司提供帶限制網絡接入的“訪客”網絡接入。啟用該功能后,用戶試圖連接未兼容802.1X標準的主機網絡時,將進入Guest VLAN。
該功能位于正在使用的和備用的監控器之間,支持運行時間802.1X端口安全信息的同步。因此,在高可用性切換期間,可以保持端口安全狀態。
該功能位于正在使用的和備用的監控器之間,支持運行時間端口安全信息的同步。因此,在高可用性的切換期間,可以保持端口安全狀態。
基于身份識別的接入控制列表(ACL)答應按照用戶的802.1X鑒權,向接口動態分配用戶接入控制策略。您可以使用該功能將用戶限制在網絡的一定區域內,限制敏感服務器的接入,甚至限制可以使用的協議和應用。
在不影響用戶移動性或者不產生額外的治理費用的情況下,還可以提供非常明確的身份識別安全。
Q. Cisco IBNS平臺支持哪些功能?
圖2 Cisco IBNS 產品的功能
Cisco 無線安全套件的功能:
鑒權支持,用于 Cisco LEAP、 EAPTLS、
EAP-TTLS、 PEAP和
EAPSIM
現在提供ACS v3.0
ACS v3.1 FCS Dec ‘02
IOS 12.1(12) EA1*
FCS Oct ‘02
(2950/3550)
IBNS 功能
新型 Catalyst OS
FCS Q1‘03
** Cisco IOS v12.1(12c)EW 和
Catalyst OS v6.2及更高版本
IBNS 功能
(CatOS v7.2或更高版本)
新型 Catalyst OS v7.5.1
FCS Nov ‘02
Cisco Extensions
*** Cisco IOS v12.1(13)E 和
Catalyst OS v6.2及更高版本
身份識別聯網業務 (IBNS)
端到端的解決方案
Q. Cisco IBNS 對公司贏利有什么影響?
A. Cisco IBNS集中治理端口級別的安全性,減少了公司內部進行網絡治理所需的資源。此外,為用戶提供更大的移動性和有線/無線網絡接入可以提高用戶生產力。成本降低,生產力提高,這些都能增加贏利。
Q. Cisco IBNS與現有的思科端口安全產品有何不同?
A.思科在提供802.1X端口安全之前,已經開始提供(并且現在仍在提供)端口安全和Cisco URT(用戶注冊工具)。在特定的環境中仍然可以使用端口安全功能。端口安全支持單位端口的網絡接入治理,并且在交換機上進行手動配置。Cisco URT按照用戶和設備鑒權,提供LAN的動態VLAN分段。Cisco URT在當前使用專有VMPS問詢協議(VQP)的思科交換機上,提供VLAN會員策略服務器(VMPS)功能。Cisco IBNS目前是基于標準的端口安全實施,由RADIUS服務器(Cisco Secure ACS)集中治理。此外,Cisco IBNS結合接入控制和用戶組合功能,提供更好的靈活性和移動性,從而確保了網絡連接、業務和應用的安全,使企業能提高用戶生產力,減少運營成本。
Q.思科是否計劃中斷URT的銷售?
A. 不會。Cisco URT仍然具有優勢,非凡是在沒有廣泛使用802.1X操作系統的請求端仍然適用。Cisco URT通過網頁登錄功能解決沒有802.1X操作系統的問題。目前,Cisco URT在大量客戶端操作系統上提供完整的AAA LAN身份識別聯網解決方案,進一步完善了Cisco IBNS的功能。
Q. Cisco IBNS實施是否為開放應用?我是否只能使用思科設備才能讓其工作?
A.是開放應用。思科實施基于并兼容IEEE 802.1X標準,支持所有兼容RADIUS的服務器和客戶端(請求方)。思科擴展系列只能由本文列出的思科產品提供支持。
Q. Cisco IBNS未來會提供更多功能嗎?
A. Cisco IBNS解決方案將根據標準的變化和客戶需求不斷進行修改,目前它還處于多階段實施的早期階段。
Q. Cisco IBNS支持什么鑒權客戶端或平臺?
A. Cisco Catalyst交換機支持Microsoft Windows xp、linux 和 HP UNIX系統,以后還將支持其它802.1x客戶端。Cisco Aironet產品支持Microsoft Windows、Windows CE、MAC OS、Linux和MS-DOS的全部現有版本。
Q.什么鑒權服務器是兼容的?
A. Cisco IBNS解決方案基于標準的RADIUS 和 802.1X實施。它能與符合這兩種標準的所有IETF鑒權服務器互操作。思科非凡增強Secure ACS,以在所有思科交換機上提供嚴密的集成。
Q.我需要進行哪些修改才能獲得本支持?
A.不需要對硬件基礎架構進行修改。在大多數情況下,您只需對LAN接入設備(有線和無線)、交換機、客戶端工作站和RADIUS服務器的操作系統軟件進行升級。
參見圖2,了解支持Cisco IBNS和IEEE 802.1X標準的思科產品列表。
參見本文提供的支持客戶端和鑒權服務器。
Q.可以用802.1X實施什么類型的安全策略?
A.除了提供基于身份的動態端口鑒權和保護網絡接入安全功能外,Cisco IBNS還提供按照單位用戶動態分配VLAN和ACL的功能。與Cisco Secure ACS服務器一起提供的其它策略如下:
Q.可以使用什么治理工具來治理用戶接入組合?
A. Cisco Secure ACS減少了在您的網絡上劃分用戶和網絡治理器接入的大量治理工作。Cisco Secure ACS使您能從基于圖形用戶界面的網頁,集中控制所有用戶AAA文件,并在網絡中將這些文件分配給數千個接入點。此外,作為一種記帳業務,Cisco Secure ACS還能在您的網絡中跟蹤和報告用戶行為,同時提供每個遠程接入連接或設備配置的修改記錄。
Q.在多站點機構中,我應將RADIUS服務器放置在什么位置?
A.有了Cisco Secure ACS,您可以配置多個要在分布式環境中部署的RADIUS服務器。
它具有以下幾個優勢:
在網絡中設置Cisco Secure ACS的技術指南詳見白皮書,網址如下:
http://www.cisco.com/warp/public/cc/pd/sqsw/sq/tech/secre_wp.htm.
Q.實施Cisco IBNS后,Cisco ACS會增加其它負荷嗎?
A. 主要是后端負荷增加了。思科與高性能的后端數據庫(如Oracle或Sybase)連接后,已經開始在群集部署中為windows 2000和 NT提供Cisco Secure ACS功能。據數千份用戶報告來看,該擴展功能為客戶提供了良好的操作。這是目前市場上兼容802.1X的RADIUS服務器不能提供的。
如需了解Cisco Secure ACS的更多信息,請訪問:http://www.cisco.com/go/acs。
Q. 我可以在何處查找Cisco IBNS解決方案特定產品的更多信息?
A.如需了解Cisco IBNS 解決方案的更多信息,請訪問:ibnssolution@cisco.com。
如需了解個別產品的更多信息,請訪問下列網址:
Cisco Secure access Control Server(安全接入控制服務器)
http://www.cisco.com/warp/public/cc/pd/sqsw/sq/
Cisco Aironet?系列產品
http://www.cisco.com/go/wireless
Cisco Catalyst 6500 系列交換機
http://www.cisco.com/go/catalyst6500
Cisco Catalyst 4500系列交換機
http://www.cisco.com/go/catalyst4500
Cisco Catalyst 3560系列交換機
http://www.cisco.com/go/catalyst3560
Cisco Catalyst 3750系列交換機
http://www.cisco.com/go/catalyst3750
Cisco Catalyst 2950系列交換機
http://www.cisco.com/go/catalyst2950
新聞熱點
疑難解答
