思科交换机作为接入设备时IMC以及iNode客户端的配置注意事项

1IMC以及iNode客户端的配置注意事项iNode客户端上要启用多播报文发起认证和思科交换机进行配合Cisco2950c2950-i6q4l2-mz.121-22.EA11Cisco2960c2960-lanlite-mz.122-44.SE2Cisco3550c3550-ipservicesk9-mz.122-44.SE2Cisco3750c3750-advipservicesk9-mz.122-44.SE2Cisco3560ec3560e-universal-mz.122-44.SE2IMC上，把思科交换机启用混合组网方式，才能看到在线用户列表，也有可能不用配置。2CISCO产品部署配置及注意事项说明注意：所有Cisco设备的接口须进行noshutdown操作后方可使用；2.1Cisco35502.1.1EAD配合部署说明在EAD解决方案中使用Cisco3550交换机作为接入设备时的配合部署说明如下：1．802.1XEAP认证方式（Cisco设备不支持802.1Xchap和pap认证方式）；2．Guest-Vlan功能可部署（静态/动态方式获取IP地址）：guest-vlan的切换由Cisco设备上802.1X计时器tx-period来控制；例如，在接入端口配置dot1xtimeouttx-period8，则发起802.1X认证后等待8秒切换到guest-vlan；需要注意这个计时器不能配置的太短，必须让设备完成802.1X认证过程，建议在使用guest-vlan时配置为5～8秒；3．因Cisco设备不支持802.1X扩展，故无法部署“上传客户端IP地址”功能，iMC上无法绑定客户端IP；4．客户PC的MAC地址可以通过EAD认证上传至iMC服务器，iMC上可以绑定客户PC的MAC地址；5．Cisco交换机作为接入设备时，无法通过iMC服务器为用户下发ACL，因此无法使用“隔离模式”，即使用户被设置为隔离状态，仍然能够正常访问所有的网络资源；6．Cisco设备上可通过配置aaaaccountingupdateperiodic命令来启用/设置计费报文的更新时间（例如：aaaaccountingupdateperiodic1，此处数值1的单位为minute，范围为1-2147483647）；用户异常下线时，Cisco设备不支持802.1X握手，无法检测，故仍旧周期性向iMC服务器发送计费更新报文，据此iMC服务器认为用户仍然在线，但iMC服务器与iNode客户端间的4次EAD握手报文超时后，iMC服务器会将该用户放入隔离区，该用户仍然在线，但在线信息中的安全状态变为隔离；该用户从原先的接入交换机重新认证后可正常上线，如切换至新的接入交换机进行认证，因该用户已有在线信息，则会导致认证失败；7．强制授权端口功能可正常部署；8．因iMC服务器无法识别Cisco设备radius报文中上传的接入端口和接入vlan信息，故无法部署“vlan绑定”、“端口绑定”功能；9．Cisco3550交换机上可正常部署mac-auth-bypass功能，但需注意以下几点：启用802.1Xmac-auth-bypass功能的接入端口不能同时启用guest-vlan功能、dot1xhost-mode只能配置为single-host模式、下行不能串连其他网络设备、只能接入一台主机或打印机等终端设备、接入的终端设备必须使用DHCP方式获取IP地址、radius服务器上必须创建一个以终端设备的MAC地址为用户名和密码的帐号并且该帐号不得使用安全策略；10．Cisco3550交换机不支持通过iMC服务器为用户下发接入VLAN功能，无法部署；11．当前Cisco版本不支持基于MAC地址的802.1X认证方式，仅支持基于端口的802.1X认证方式；需要注意一点，Cisco设备基于端口的802.1X认证方式下，接入端口可以配置两种Dot1x主机模式（single-host和multi-host）；默认配置为single-host模式时，同一接入端口不允许下挂有多台主机，否则Cisco设备会自动检测并关闭端口；当配置为multi-host模式时，同一接入端口可以下挂多台主机，但只要有一台主机上的用户通过802.1X认证及EAD安全检查，则该端口下挂的其他所有主机将拥有访问网络的同等权限，网络安全存在隐患；12．用户上线后，iMC服务器上用户在线信息中显示正确的项如下：帐号名、用户姓名、登录名、服务名、用户分组、接入时间、接入时长（通过accountingupdate报文定期更新）、用户IP地址、用户MAC地址、安全状态、设备IP地址、设备启动时间、客户端语言、客户端版本、客户端端口号；13．EAD的在线重认证功能可正常部署；14．Cisco设备不支持802.1X握手，只能依靠iMC服务器和iNode客户端间的EAD握手报文来判断用户是否正常在线，但iMC服务器不会主动踢除异常用户，且因Cisco接入交换机无法检测用户的异常下线，仍旧不停发送计费更新报文给iMC服务器，这样首先会导致异常下线用户的上线计时、计费出现错误；其次因无法控制Cisco设备为用户下发隔离ACL，iMC服务器针对异常用户的隔离操作无法成功生效，导致iNode客户端异常后，用户PC可以无需重新认证即可使用所有的网络资源，存在安全隐患；15．Radius服务器备份可正常部署，Cisco接入交换机上通过配置多个radius服务器进行备份，按照配置顺序依次查找可用的radius服务器，各radius服务器间的切换机制通过radius计时器进行控制，详见配置举例；多个radius服务器备份时需要注意一点，从iNode客户端发起安全检查会话至iMC服务器响应安全检查的时间间隔不得超过6秒，否则会导致iNode客户端的安全检查会话失败、用户下线，即多个radius服务器之间的切换时间不得超过6秒（可以通过接入交换机上的radius计时器进行控制）；16．反复进行802.1X用户上下线，Cisco接入设备稳定无异常；17．代理服务器/IE代理检测功能可部署，但需注意：当前iNode客户端无法针对IE代理功能进行实时监控，即认证和安全检查通过后再进行IE代理功能设置时，iNode无法检测，只有在认证前设置的IE代理功能可以被检测；代理服务器可以实时检测；2.1.2配置举例/*配置设备名称*/hostnameCisco3550!/*配置AAA认证参数*/aaanew-modelaaaauthenticationdot1xdefaultgroupradiusaaaauthorizationnetworkdefaultgroupradius/*配置周期性发送计费更新报文，必须配置，数值可依实际情况设定，单位分钟，斜体部分为系统自动添加的配置，无需理会*/aaaaccountingupdateperiodic1jittermaximum0aaaaccountingdot1xdefaultstart-stopgroupradiusaaaaccountingnetworkdefaultstart-stopgroupradius!/*全局下开启802.1X认证控制*/dot1xsystem-auth-control/*允许802.1X认证请求者加入guest-vlan*/dot1xguest-vlansupplicant!/*配置802.1X接入端口，类型必须为access*/interfaceFastEthernet0/3switchportaccessvlan30switchportmodeaccessdot1xpaeauthenticator/*配置802.1X认证端口控制方式为auto，由系统根据802.1X认证通过与否来决定端口的up/down状态及端口的访问权限*/dot1xport-controlauto/*配置802.1X接入端口下连的主机模式；默认设置为single-host模式时（默认配置不显示），一个端口只允许一个用户接入；设置为multi-host模式时一个端口可允许多个用户接入，但需注意只要有一个用户通过802.1X认证及EAD安全检查，同一端口下连的其他所有用户都将拥有同等访问网络的权限*/dot1xhost-modesingle-hostdot1xviolation-modeprotect/*配置802.1X两次认证间的静默时间，即认证失败/下线后间隔多长时间允许再次发起认证，建议配置为1秒*/dot1xtimeoutquiet-period1/*配置802.1X发起认证等待的超时时间，如启用了guest-vlan，该计时器不宜配置过长或过短，过短会因认证过程未完成而计时器超时导致认证失败，过长会导致切换到guest-vlan较慢，建议配置为5～8秒*/dot1xtimeouttx-period5/*启用802.1X的guest-vlan功能并指定guest-vlan所属vlanid*/dot1xguest-vlan60/*cisco默认情况下spanning-tree是开启的，当dot1x认证成功后，cisco设备上该端口就会报up，此时生成树要等待30s才能转发报文，会导致和安全检查服务器连接超时，解决方法就是在端口开启spanning-treeportfast*/spanning-treeportfast!/*配置上行接口*/interfaceFastEthernet0/12switchportaccessvlan30switchportmodeaccess!interfaceVlan30ipaddress30.1.1.4255.255.255.0!interfaceVlan60ipaddress60.1.1.25255.255.255.0!iproute172.16.0.0255.255.255.030.1.1.33!/*radius报文中携带的属性格式必须配置为c类型，以便iMC服务器能够识别*/radius-serverattributenas-portformatc/*配置radius认证服务器及认证端口、计费端口等参数，认证端口和计费端口须与radius服务器上的设置相匹配*/radius-serverhost172.16.0.2auth-port1812acct-port1813radius-serverhost172.16.0.1auth-port1812acct-port1813/*配置向radius服务器发起认证的重传次数和超时时间，当前iNode客户端的安全检查会话超时时间为6秒，故需在6秒内完成802.1X认证和EAD安全检查，避免因安全检查会话超时导致认证失败，此处建议retransmit次数配置为1、timeout时间配置为2秒*/radius-serverretransmit1radius-servertimeout3/*当配置有多个radius服务器时，为避免网络振荡等不稳定因素导致用户认证在不同radius服务器间频繁切换，建议配置30分钟的deadtime计时器，即在计时器超时之前不再尝试向原先因无法通信标记为dead的radius服务器发起认证请求*/radius-serverdeadtime30/*配置radius报文的加密密钥，须与radius服务器上配置的加密密钥相匹配*/radius-serverkeyh3c!/*启用802.1Xmac-auth-bypass功能时接入端口的配置如下*/interfaceFastEthernet0/23switchportaccessvlan600switchportmodeaccessdot1xpaeauthenticatordot1xport-controlauto/*启用802.1X接入端口的mac-auth-bypass功能，在正常802.1X认证超时后系统会以获取到的下连终端设备的MAC地址为用户名、密码向radius服务器发起认证*/dot1xmac-auth-bypass/*启用mac-