你知道吗,Cisco交换机来在每个交换机端口进行Web认证的能力吗?大多数人没有意识到,这个功能在Cisco IOS存在,所以我想这将是一个很好的安全快速提示。Web认证的工作原理是重定向用户浏览器到登录页面,尽快为他们连接到交换机端口。一旦登录,切换他们的凭据转发到用于验证的RADIUS服务器。RADIUS服务器可存储用户帐户或外观Active Directory或LDAP来代替。当用户通过RADIUS服务器认证可以再下载一个交换机端口动态ACL来控制多少的访问被授予用户。网络身份验证可以结合使用与802.1x和MAC认证或可以通过将其可使用的自我。如果你是一个802.1X店则基于Web浏览器的身份验证功能可以用作802.1x的后备。如果一台机器出现故障的802.1x身份验证或没有请求者然后交换机将故障转移到向用户提供网络身份验证服务。如果你不是一个802.1X店,但希望的方式来连接到交换机端口的所有用户进行身份验证,然后网络身份验证可能是客人和承包商获得一个不错的选择。 The Cisco NAC Guest server appliance is a full featured guest portal with user tracking, simple guest account provisioning, SMS support, Billing and payment support for guest access, self-provision service, and a bunch of other nerd knobs. NAC guest server supports Cisco NAC appliance, Cisco Wireless Controllers and Cisco Web Auth solutions. This allows you to provide the same look and feel to your guest or temporary workers no matter how they connect to your network, wired or wireless. For more info on the guest server see在这里根据思科文档,思科IOS Web身份验证支持以下Cisco交换机•思科催化剂2960系列交换机与思科IOS版本12.2 (50)SE3•思科3560系列催化剂开关与思科IOS版本12.2 (50)SE3•思科3750系列催化剂开关与思科IOS版本12.2 (50)SE3•思科4500系列催化剂注意:两个可选特性AAA失败策略和定制网页,桌面交换机需要Cisco IOS软件版本12.2(52)SE或更高版本。要有一个完整的解决方案,你真的需要一个受支持的Cisco交换机与正确的软件和Cisco ACS AAA服务器(4.2或更高版本)。如果您将进行核心客户供应,那么我建议您也使用Cisco NAC客户服务器来完善解决方案。如果愿意,您可以使用第三方radius服务器,而不是ACS。web认证功能允许您创建定制的登录和注销网页。这些页面可以保存在交换机的闪存中,但我建议您将交换机指向独立的网络服务器。如果您的交换机支持加密图像,那么登录页面可以通过加密的https而不是http来传递。这里是一个web认证的配置示例:定义您的radius服务器ip radius source-interface vlan10 radius-server host 10.10.10.10 test username anyone radius-server key cisco radius-server dead-criteria tries 2 Aaa new-model Aaa authentication login default group radius Aaa authorization auth-proxy default group radius Aaa accounting auth-proxy default start-stop group radius !打开身份验证登录将迫使您通过radius登录到您的vty和控制台端口,因此要关闭此功能,请使用以下命令aaa身份验证登录控制台none !行控制台登录身份验证控制台线vty 0 4登录身份验证控制台!检测主机使用dhcp和arp请求web身份验证可能发生ip设备跟踪ip http服务器ip http安全服务器!安全服务器只适用于加密能够开关!创建web身份验证策略ip录取名web-auth代理http !创建ACL定义你将允许通过之前的用户进行身份验证的ip访问列表扩展pre-webauth允许udp任何任何情商eq bootp允许udp任何域ip否认任何后备档案web-auth-profile ip访问组在ip入学web-auth pre-webauth !创建定制web身份验证页面(可选)!这些页面加载到flash记忆的开关!每个页面类型定义在哪里找到ip招生代理http登录页面文件disk1: login.htm ip招生代理http成功页面文件disk1: success.htm ip招生代理http页面文件失败disk1: fail.htm ip招生代理http登录过期页面文件disk1: expired.htm !你也可以告诉转向重定向到外部现在在接口gig0/1认证回退web-auth-profile上为每个你想要激活的接口分配web认证策略
注意:Catalyst 6500系列在RPR模式冗余冗余管理引擎切换,关于当前认证的主机信息,在切换过程中保持不变。用户无需重新进行身份验证。欲了解更多配置信息和几种不同的配置方案看这里。Web认证部署指南,完成与ACS 5.1配置http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6638/app_note_c27-577494.html#wp9000151思科集成本地Web认证和部署配置指南http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6638/app_note_c27-577490.html你会使用这个功能,在您的会议室和公共场所?(假设你没有像NAC已经到位即是)
在此提出的意见和信息是我个人的意见,而不是我的雇主。我绝不是我雇主的官方发言人。
Jamey Heary报道: 信用卡欺诈:小偷如何在你不知情的情况下窃取你的信用卡信息 谷歌Nexus One vs.十大手机安全要求 为什么你应该总是切丝你的登机牌 视频租赁记录提供了比你的在线数据更多的隐私保护 关于新的SSL攻击的真相 2009年度都市传奇在IT安全/ A>去 杰米的博客 参阅更多有关安全的文章。*
*
*
*
*
*