本节书摘来自异步社区《CCNP安全Secure 642-637认证考试指南》一书中的第6章,第6.6节802.1X的验证与排错,作者【美】Sean Wilkins , Trey Smith,更多章节内容可以访问云栖社区“异步社区”公众号查看
6.6 802.1X的验证与排错
CCNP安全Secure 642-637认证考试指南
进行802.1X排错时,必须仔细检查请求方、认证方、认证服务器以及三者之间的连接,不漏过每一个环节。参与802.1X认证的设备及其角色如图6-16所示。
6.6.1 排错过程
请参考以下步骤进行排错。
步骤1 验证请求方配置。命令dot1x test eapol-capable用于测试用户能否正常响应交换机发送的EAPOL请求。如果用户可以响应EAPOL请求则进入步骤2,否则应使用Cisco SSC管理工具排查存在的问题。
步骤2 验证RADIUS配置。命令test aaa用于测试交换机与Cisco ACS之间的RADIUS通信是否正常,管理员还可以通过Cisco ACS产生的失败认证尝试(Failed Authentication Attempts)报告查看服务器存在的问题。如果交换机与Cisco ACS工作正常,则进入步骤3。
步骤3 通过失败认证尝试报告查看请求方的身份凭证是否存在问题(如密码错误)。如果使用Windows Active Directory等外部数据库,请确保外部数据库可以正常工作。
6.6.2 日志消息
默认情况下,Cisco IOS软件将802.1X认证中出现的问题记录在案,管理员可以使用命令show logging查看日志消息。
6.6.3 验证连接状态
Cisco SSC会安装一个收集连接状态信息的系统托盘图标,管理员可以通过托盘的颜色与形状获取当前的连接状态。此外,管理员还可以右键点击托盘并从菜单中选择连接状态(Connection Status)图标,以查看详细的连接状态信息。
6.6.4 验证认证服务器
Cisco ACS产生的通过认证(Passed Authentication)报告详细列出了各种审计信息,包括所有成功的认证(采用内部或外部数据库)。
6.6.5 验证访客VLAN与受限VLAN的分配
必须将访客用户分配给专门的访客VLAN。如果由于配置不当使访客用户接触到内部资源与服务,则可能危害到网络安全。管理员可以通过命令show interfaces status查看交换机端口及其所在VLAN的状态信息。
6.6.6 802.1X准备就绪检测
在进行802.1X认证之前,管理员可以使用命令dot1x test eapol-capable测试请求方、认证方与认证服务器的状态,并查看与交换机端口相连的客户。默认情况下,客户有10秒时间响应来自交换机的EAPOL消息,管理员可以使用全局命令dot1x test timeout修改该时间(范围是1~65535秒)。
6.6.7 请求方无响应
如果请求方在一段时间内没有响应,管理员可以查阅Cisco IOS软件提供的日志消息以协助排错。日志消息记录了成功的认证、失败的认证、请求方响应认证服务器的消息但二者之间的配置存在问题等各种信息。
6.6.8 认证失败:RADIUS配置存在问题
如果交换机与Cisco ACS之间的RADIUS配置存在问题,管理员可以查阅交换机日志与Cisco ACS的失败认证尝试报告以协助排错。
6.6.9 认证失败:身份凭证存在问题
如果请求方提供的身份凭证不正确,认证服务器将拒绝请求方访问网络资源的要求,并向认证方发送表示认证失败的RADIUS消息。管理员也可以通过Cisco ACS产生的认证失败尝试报告获取相关信息。
备考指南
前言的“本书内容结构”部分列出了备考的几种方式:各章习题、助记表(附录C)、第22章以及随书光盘中的模拟考题。每一章最后均包含若干主观题填空。与实际考试相比,主观题的难度较大,读者可以借此检验自己对本章内容的掌握程度。主观题的答案请参见附录A。