Aruba Controller 根据802.1x完成证书认证51CTO博客 - 亚美娱乐

Aruba Controller 根据802.1x完成证书认证51CTO博客

2019年02月28日15时59分09秒 | 作者: 向秋 | 标签: 证书,认证,装备 | 浏览: 1445

一:测验需求

   XX企业现在要求运用Aruba设备进行无线网络的安稳掩盖以及安全性的保证。 为了保证安全性的要求,XX企业要求Aruba设备树立两个无线SSID,一个SSID叫CA,用户初始衔接到CA进行证书请求(用户处于vlan 710),没有拜访其它网络的权限。另一个SSID叫Employee,是正常的事务SSID,要求用户衔接时运用证书认证,而且能够对认证成功后的用户进行正确的授权。 二:测验拓扑  

测验设备: 思科CISCO 7609 Aruba 6000-400 无线控制器     思科Catalyst 3750-24PS 24口POE交换机     Aruba AP 105/125     Windows Server 2003 Enterprise (AD+DNS+IIS+CA)     Cisco ACS 4.2   三:测验内容     1:开释两个SSID,一个叫CA,另一个叫Employee。    2:CA SSID需求躲藏, 只要手动增加SSID才干接入,无线用户不需求认证即可接入进行证书请求。 Employee SSID无线用的认证选用802.1x根据Cisco ACS Server进行认证(ACS Server和CA进行集成),而且能够将用户授权到特定的vlan。    3:为了保证安全性, 不允许用户随意更改IP地址,只能经过DHCP下发的地址拜访事务。假如用户随意更改IP地址,用户将不能拜访任何地址。 为了避免无线用户私设DHCP服务器影响网络的正常作业,要求一切无线用户不能作为DHCP Server。(回绝用户发往任何UDP 68的的报文) 四:测验过程 1:POE交换机的装备 2:ACS Server的装备(AD+DNS+IIS+CA+ACS的装备由于篇幅联系,此处省掉) 3:Aruba AC的装备 4:安全性装备 5:客户端测验     1:3750 POE交换机的装备

1:接口装备    装备上衔接口为trunk接口    将衔接AP的接口划分到vlan 96

2:DHCP Server的装备(为AP分配地址,无线用户的地址运用Windows DHCP分配) (cisco3750SW) (config) #ip dhcp pool vlan96 (cisco3750SW) (config-dhcp)#network 172.16.22.0 255.255.255.0 (cisco3750SW) (config-dhcp)#default-router 172.16.22.1 (cisco3750SW) (config-dhcp)#option 43 ip 100.100.6.188 (cisco3750SW) (config-dhcp)#exit       (cisco3750SW) (config) #service dhcp

    2:Cisco ACS Server的装备;

以上是图例:集成商在实践装备中 增加100.100.6.188做为AAA Client的IP地址。 Key是123456789 Authenticate运用Radius(IETF) Submit+Apply完结Aruba AC作为客户端的装备。  

3:Aruba AC上的无线的装备

装备802.1x根据CA的SSID “Employee” (Aruba6000AC1) (config) #aaa authentication-server radius ht-radius (Aruba6000AC1) (RADIUS Server "ht-radius") #host 100.100.100.116 (Aruba6000AC1) (RADIUS Server "ht-radius") #key 123456789 (Aruba6000AC1) (RADIUS Server "ht-radius") #enable (Aruba6000AC1) (RADIUS Server "ht-radius") #exit   (Aruba6000AC1) (config) #aaa server-group ht-dot1x-server-group (Aruba6000AC1) (Server Group "ht-dot1x-server-group") #auth-server ht-radius (Aruba6000AC1) (Server Group "ht-dot1x-server-group") #set role condition role value-of (Aruba6000AC1) (Server Group "ht-dot1x-server-group") #exit   (Aruba6000AC1) (config) #aaa authentication dot1x ht-dot1x-aaa-auth-profile (Aruba6000AC1) (802.1X Authentication Profile "ht-dot1x-aaa-auth-profile") #termination eap-type eap-tls (Aruba6000AC1) (802.1X Authentication Profile "ht-dot1x-aaa-auth-profile") #termination inner-eap-type eap-mschapv2 (Aruba6000AC1) (802.1X Authentication Profile "ht-dot1x-aaa-auth-profile") # exit   (Aruba6000AC1) (config) #aaa profile ht-dot1x-aaa-profile (Aruba6000AC1) (AAA Profile "ht-dot1x-aaa-profile") #dot1x-server-group ht-dot1x-server-group (Aruba6000AC1) (AAA Profile "ht-dot1x-aaa-profile") #authentication-dot1x ht-dot1x-aaa-auth-profile (Aruba6000AC1) (AAA Profile "ht-dot1x-aaa-profile") #exit   (Aruba6000AC1) (config) #wlan ssid-profile ht-dot1x-ssid-profile (Aruba6000AC1) (SSID Profile "ht-dot1x-ssid-profile") #essid Employee (Aruba6000AC1) (SSID Profile "ht-dot1x-ssid-profile") #opmode wpa-tkip (Aruba6000AC1) (SSID Profile "ht-dot1x-ssid-profile") #exit   (Aruba6000AC1) (config) #wlan virtual-ap  ht-dot1x-vap-profile (Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #aaa-profile ht-dot1x-aaa-profile (Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #ssid-profile ht-dot1x-ssid-profile (Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #vlan 703-704,710,900-902,905                    (Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #exit   (Aruba6000AC1) (config) #ap-group default (Aruba6000AC1) (AP group "ht-dot1x") #virtual-ap ht-dot1x-vap-profile (Aruba6000AC1) (AP group "ht-dot1x") #exit  

在AC上导入CA服务器的根证书并在aaa profile下调用root CA。

 

  装备请求证书的SSID “CA”   (Aruba6000AC1) (config) #aaa profile aaa (Aruba6000AC1) (AAA Profile "ht-dot1x-aaa-profile") #exit   (Aruba6000AC1) (config) #wlan ssid-profile ssid (Aruba6000AC1) (SSID Profile "ht-dot1x-ssid-profile") #essid CA (Aruba6000AC1) (SSID Profile "ht-dot1x-ssid-profile") #hide-ssid                //躲藏SSID  (Aruba6000AC1) (SSID Profile "ht-dot1x-ssid-profile") #exit   (Aruba6000AC1) (config) #wlan virtual-ap  open-vap (Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #aaa-profile aaa (Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #ssid-profile ssid (Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #vlan 710                  (Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #exit   (Aruba6000AC1) (config) #ap-group default (Aruba6000AC1) (AP group "ht-dot1x") #virtual-ap open-vap (Aruba6000AC1) (AP group "ht-dot1x") #exit 五:安全性装备 随意更改IP地址的防护

(Aruba6000AC1) (config) #aaa profile ht-dot1x-aaa-profile (Aruba6000AC1) (AAA Profile "ht-dot1x-aaa-profile") # enforce-dhcp   //只能运用DHCP下发的IP地址

私设DHCP服务器的防护  

(Aruba6000AC1) (config) #ip access-list session nodhcp (Aruba6000AC1) (config-access-list) #user any udp 68 deny                  //回绝无线用户发往任何UDP 68的报文,调用到用户的人物下 user-role guest  access-list session nodhcp  access-list session http-acl  access-list session https-acl  access-list session dhcp-acl  access-list session icmp-acl  access-list session dns-acl  access-list session v6-http-acl  access-list session v6-https-acl  access-list session v6-dhcp-acl  access-list session v6-icmp-acl  access-list session v6-dns-acl

六:客户端测验   客户端要求 1)支撑WPA/WPA2的无线网卡; 2)完结证书的装置和EAP-TLS等装备   在以太网卡的衔接特点中挑选“Authentication→Enable IEEE 802.1x authentication for this network”,EAP type选为“智能卡或其它证书”,勾选“Authenticate as computer when computer information is available”,然后再点Properties,在EAP特点窗口中挑选“Validate server certificate”,一同在“Trusted Root Certificastion Authorities:”窗口中挑选对应的ROOT CA,这儿为ca,Authentication Method选成“Secure password (EAP-MSCHAP v2)”。再点Configure按钮保证“Automatically use my Windows logon name and password (and domain if any)”选项已被选中;  

 

以上是图例: 挑选XX企业内部的CA Server。   七:测验成果 1:用户能够经过CA认证成功,并能进行正确的vlan授权。(第一次将无线网卡的认证装备完结后之后零装备) 2:用户不能手动随更改IP地址。(类似于IP Source Guard技能) 3:用户私设DHCP Server后,其它用户不会从其获取地址。(由于咱们现已回绝了无线端客户的DHCPoffer报文)   补白:限于篇幅,服务器的装置与装备以及一些细节方面的内容本文省掉,详见附件,如有问题也可留言,期望能与我们一同评论。

 

附件:http://down.51cto.com/data/2360420
版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表亚美娱乐立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章