思科IBNS基于身份的网络服务安全技术解析(1)

思科在IEEE 802.1 X标准的基础上，并且进行了进一步的功能扩展，提供了全面的基于身份的网络服务(IBNS)，具体的扩展如下:

带VLAN的802.1 X

Cisco IBNS可以提供这种功能使基于用户的身份动态地将VLAN分配给相应端口。采用标准的802.1 X方案，认证成功后的用户被置于预先配置好的VLAN中，该VLAN已经分配到某个端口。这种新的特性使得管理员可以维护RADIUS内从用户名到VLAN的数据库。在成功地完成802.1 X鉴别之后，RADIUS还可以将VLAN发送到用于特定用户的交换机，交换机就可以为指定的VLAN配置附加端口。这样，经过802.1 X认证的端口就可以将基于用户的身份指派到VLAN上。

带端口安全性的802.1 X

这种特性可以在802.1 X端口上配置端口安全性。如果端口上只有一个介质接入控制(MAC) 地址能够实现端口安全性，那么只有该MAC地址才能够通过RADIUS服务器认证。所有其它MAC用户将被拒绝访问，这样就能够消除其它用户连接到某个集线器上以绕开认证的安全性风险。在多种认证模式中采用代端口安全性功能的802.1 X时，所有尝试通过交换机端口连接的主机都必需要求采用802.1 X进行认证。

带语音VLAN ID的802.1 X

这种特性能够帮助组织结合Cisco AVVID(用于语音、视频和集成数据的基础架构)、IP语音 (VoIP) 以及动态端口安全性。管理员可以配置辅助的VLAN语音VLAN ID。

802.1 X访客VLAN(仅适用于Cisco Catalyst 6500系列)

这种特性有助于让组织提供"访客"网络接入，这种方式对网络接入有严格限制。在启用这种特性之后，到那些没有802.1 X兼容主机的网络的用户连接尝试将被置于访客VLAN中。

802.1 X的高可用性(仅适用于Cisco Catalyst 6500系列)

这种特性可以在主用和备用监控模块之间提供同步运行时的802.1 X端口安全性信息，从而在高可用性的切换过程中仍然能够保持端口的安全性状态。

高可用性端口安全性(仅适用于Cisco Catalyst 6500系列)

这种特性可以在主用和备用监控模块之间提供同步运行时的端口安全性信息，从而在高可用性的切换过程中仍然能够保持端口的安全性状态。

带ACL分配的802.1 X

基于身份的访问控制列表 (ACL) 使客户可以根据用户的802.1 X认证结果，动态地将访问控制策略分配到某个接口上。您可以使用这种特性来严格限制用户对网络中某些网段的访问，限制对敏感服务器的访问，甚至限制可能使用到的协议和应用。这样，不需损害用户的移动性或者造成管理损耗，就能够实现专门基于身份的安全性。

基于802.1x的IBNS部署方案

思科基于802.1x标准扩展的IBNS方案主要有以下几个部分组成:

o AAA/Radius服务器:AAA/RADIUS实现对用户集中的认证和授权。在本方案中推荐采用思科AAA/Radius服务器CiscoSecure ACS 3.3 for Windows

o 用户帐号数据库服务器:用户帐号数据库服务器用于存放用户登陆网络的用户名和密码信息，思科IBNS体系支持使用多种标准的用户帐号数据库，包括ACS内建的用户数据库、标准的LDAP服务器以及微软的Windows A.D.服务器等，各种不同的选择具有各自的优势和缺点。

o 支持802.1x功能的局域网交换机:本次方案中推荐的局域网交换机都可以配置并支持802.1x标准以及IBNS中对802.1x的增强功能。

o 支持802.1x的PC工作站:目前海尔集团使用的Windows2000/XP都内置了对802.1x的支持，经过设置都可以使用IBNS服务。

其中对于局域网交换机的部署已经在网络架构设计中详细说明，以下分别进一步说明其他几部分的详细建议部署方案

AAA/Radius服务器的部署

o 在总部和安全管理区域设置两台CiscoSecure ACS服务器，相互备份，用于全行统一的802.1x 认证(同时也可用于远程接入VPN的认证)。如有条件，分部可设立独立的CiscoSecure ACS服务器，作为广域网连接断开时的本地备份;

o 一般的AAA/RAdius服务器本身不存储用户帐号的用户名/密码信息(Cisco ACS内建了用户帐号信息的存储功能)，但是RADIUS服务器需要存储关于特定用户或者用户组的交换机端口配置信息:如VLAN，ACL等，因此更改用户或用户组所属的VLAN、ACL等需要在直接在CiscoSecure ACS服务器上进行设置

o AAA/RADIUS 服务器和各个交换机直接通讯，接受交换机的802.1x查询，并给出查询结果和相关端口的配置信息，对于AAA/RADIUS服务器而言，各个接入层交换机将是其客户端，因此在部署前需要确认各个三层交换机所使用的客户端地址，并注册在AAA/RADIUS服务器中，今后新增接入设备也要作相应的维护;

o 为了保证安全策略自身的安全，需要定期备份AAA/Radius服务器中的交换机端口策略配置;