思科通过Cisco IBNS(基于身份识别的网络服务)解决方案扩展LAN的接入安全。Cisco IBNS利用接入控制和用户文件的组合功能,为不同用户提供更好的灵活性和移动性。这一功能组合增强了网络连接、业务和应用的安全,从而使企业能够提高用户生产力,减少运营开支。
Q.什么是 Cisco IBNS?
A.Cisco IBNS 是提高企业网络(基于IEEE 802.1X标准)物理和逻辑接入安全的解决方案。
Cisco IBNS允许网络管理员在用户和端口级别实施真正的基于身份的网络接入控制和策略增强。它使用安全可靠、功能强大的授权技术,提供用户和设备身份识别。该解决方案将拥有身份的个体与一定的策略关联起来。这些策略通过“管理”功能创建,增强控制精细度。
Q. 什么是802.1X?
A. IEEE 802.1X是根据用户ID或设备,对网络客户端(或端口)进行鉴权的标准。该流程被称为“端口级别的鉴权”。它采用RADIUS(远程认证拨号用户服务)方法,并将其划分为三个不同小组:请求方、认证方和授权服务器。
8201.X标准应用于试图连接到端口或其它设备(如Cisco Catalyst®交换机或Cisco Aironet® 系列接入点)(认证方)的终端设备和用户(请求方)。认证和授权都通过鉴权服务器(如Cisco Secure ACS)后端通信实现。IEEE 802.1X提供自动用户身份识别,集中进行鉴权、密钥管理和LAN连接配置。参见图1,了解802.1X的演示图。
图1:
802.1x
802.1X功能客户端、交换机或接入点应用策略并支持端口、登录请求、登录信息
设置支持的端口;
设置端口VLAN 10
400系列
3550/2950系列
6500系列
Cisco Aironet系列
802.1x功能接入设备
登录成功!应用策略
根据策略数据库进行验证和检查
登录+认证
登录通过验证
CiscoSecure ACS
AAA RADIUS 服务器
802.1x 鉴权服务器
Q. 802.1X有什么优势?
A. 过去,接入控制通常在网络边缘进行管理。思科现在能够在有线和无线LAN交换机和Cisco Secure ACS上支持802.1X,从而在LAN内部实现基于RADIUS的认证、授权和记帐(AAA)功能。特别是802.1X与Cisco Secure ACS同时使用时可以提供下列优势:
使用PKI(公共密钥基础架构)、令牌、智能卡及未来的生物测定学提供强大的授权功能。
在没有使用双方授权的WLAN环境中,很容易产生安全攻击弱点,此时该方法特别有效。
灵活的策略分配,如单位用户配额和VLAN分配。
用户记帐和审核,以及在LAN内部跟踪和监控用户行为的功能。
Q. 思科如何扩展现有IEEE 802.1X标准的功能?
A. 思科支持IEEE 802.1X标准,提供下列扩展应用增强功能:
带VLAN的802.1X
Cisco IBNS提供根据用户身份向端口自动分配VLAN的功能。凭借标准的802.1X实施,通过授权的用户可以进入预配置的VLAN(已分配给端口)。这一全新功能使管理员能够在RADIUS服务器内部保留一个用户名和VLAN对应的数据库。在802.1X成功授权后,RADIUS向特殊用户发送到交换机的VLAN,交换机为特定的VLAN配置相连端口。因此,通过802.1X授权的端口按用户身份分配到相应的VLAN中。
带端口安全的802.1X
该功能可以在802.1X端口上配置端口安全。如果端口上只有一个MAC(媒介接入控制)地址可以获得端口安全,则只有该MAC地址可以通过RADIUS服务器进行授权。其它MAC用户接入将被拒绝,从而减少了其它与集线器连接,避开认证过程的用户的安全风险。在多个认证模式中实施带端口安全的802.1X时,所有试图通过交换机端口连接的主机都要经过802.1X鉴权。
具备Voice VLAN ID功能的802.1X
该功能有助于有实力的公司同时使用Cisco AVVID(语音、视频和集成数据体系结构)VoIP和动态端口安全功能的优势。管理员可以配置辅助的语音VLAN。
802.1X Guest VLAN (仅适用于Cisco Catalyst 6500系列)
该功能有助于实力较强的公司提供带限制网络接入的“访客”网络接入。启用该功能后,用户试图连接未兼容802.1X标准的主机网络时,将进入Guest VLAN。
802.1X的高可用性 (仅适用于Cisco Catalyst 6500系列)
该功能位于正在使用的和备用的监控器之间,支持运行时间802.1X端口安全信息的同步。因此,在高可用性切换期间,可以保持端口安全状态。
高可用性的端口安全(仅适用于Cisco Catalyst 6500 系列)
该功能位于正在使用的和备用的监控器之间,支持运行时间端口安全信息的同步。因此,在高可用性的切换期间,可以保持端口安全状态。
带ACL分配的802.1X (仅适用于Cisco Catalyst 3550)
基于身份识别的接入控制列表(ACL)允许按照用户的802.1X鉴权,向接口动态分配用户接入控制策略。您可以使用该功能将用户限制在网络的一定区域内,限制敏感服务器的接入,甚至限制可以使用的协议和应用。
在不影响用户移动性或者不产生额外的管理费用的情况下,还可以提供非常明确的身份识别安全。
Q. Cisco IBNS平台支持哪些功能?
图2 Cisco IBNS 产品的功能
Cisco 无线安全套件的功能:
为特定员工、访客和应用提供多个VLAN
Cisco IOS
扩展的802.1X
鉴权支持,用于 Cisco LEAP、 EAPTLS、
EAP-TTLS、 PEAP和
EAPSIM
扩展的加密支持,用于802.11i 准标准(Pre-standard) TKIP
信息完整性检查
单位分组加密
广播键旋转
现在提供ACS v3.0
802.1x Catalyst 支持
PKI支持
密码老化
用于行政管理的 RBAC
为无线和交换提供新的PKI
ACS v3.1 FCS Dec ‘02
为无线应用提供PEAP支持
802.1x & EAP
SSL安全
IOS 12.1(12) EA1*
FCS Oct ‘02
带端口安全的 802.1x (2950/3550)
带VVID功能的802.1x (2950/3550)
带VLAN的802.1x
(2950/3550)
802.1x w/ACL
IBNS 功能
802.1x支持 **
带VLAN的802.1x(CatOS v7.2 或更高版本)
新型 Catalyst OS
FCS Q1‘03
802.1x外加Cisco Extensions
802.1x w/端口安全
802.1x w/VVID
802.1x Guest VLAN
** Cisco IOS v12.1(12c)EW 和
Catalyst OS v6.2及更高版本
IBNS 功能
802.1x支持***
带VLAN的 802.1x
(CatOS v7.2或更高版本)
新型 Catalyst OS v7.5.1
FCS Nov ‘02
802.1x外加
Cisco Extensions
802.1x w/端口安全
802.1x w/VVID
802.1x Guest VLAN
用于 802.1x的 HA
HA端口安全
*** Cisco IOS v12.1(13)E 和
Catalyst OS v6.2及更高版本
身份识别联网业务 (IBNS)
端到端的解决方案
Q. Cisco IBNS 对公司赢利有什么影响?
A. Cisco IBNS集中管理端口级别的安全性,减少了公司内部进行网络管理所需的资源。此外,为用户提供更大的移动性和有线/无线网络接入可以提高用户生产力。成本降低,生产力提高,这些都能增加赢利。
Q. Cisco IBNS与现有的思科端口安全产品有何不同?
A.思科在提供802.1X端口安全之前,已经开始提供(并且现在仍在提供)端口安全和Cisco URT(用户注册工具)。在特定的环境中仍然可以使用端口安全功能。端口安全支持单位端口的网络接入管理,并且在交换机上进行手动配置。Cisco URT按照用户和设备鉴权,提供LAN的动态VLAN分段。Cisco URT在当前使用专有VMPS问询协议(VQP)的思科交换机上,提供VLAN会员策略服务器(VMPS)功能。Cisco IBNS目前是基于标准的端口安全实施,由RADIUS服务器(Cisco Secure ACS)集中管理。此外,Cisco IBNS结合接入控制和用户组合功能,提供更好的灵活性和移动性,从而确保了网络连接、业务和应用的安全,使企业能提高用户生产力,减少运营成本。
Q.思科是否计划中断URT的销售?
A. 不会。Cisco URT仍然具有优势,特别是在没有广泛使用802.1X操作系统的请求端仍然适用。Cisco URT通过网页登录功能解决没有802.1X操作系统的问题。目前,Cisco URT在大量客户端操作系统上提供完整的AAA LAN身份识别联网解决方案,进一步完善了Cisco IBNS的功能。
Q. Cisco IBNS实施是否为开放应用?我是否只能使用思科设备才能让其工作?
A.是开放应用。思科实施基于并兼容IEEE 802.1X标准,支持所有兼容RADIUS的服务器和客户端(请求方)。思科扩展系列只能由本文列出的思科产品提供支持。
Q. Cisco IBNS未来会提供更多功能吗?
A. Cisco IBNS解决方案将根据标准的变化和客户需求不断进行修改,目前它还处于多阶段实施的早期阶段。
Q. Cisco IBNS支持什么鉴权客户端或平台?
A. Cisco Catalyst交换机支持Microsoft Windows XP、Linux 和 HP UNIX系统,以后还将支持其它802.1x客户端。Cisco Aironet产品支持Microsoft Windows、Windows CE、MAC OS、Linux和MS-DOS的全部现有版本。
Q.什么鉴权服务器是兼容的?
A. Cisco IBNS解决方案基于标准的RADIUS 和 802.1X实施。它能与符合这两种标准的所有IETF鉴权服务器互操作。思科特别增强Secure ACS,以在所有思科交换机上提供严密的集成。
Q.我需要进行哪些修改才能获得本支持?
A.不需要对硬件基础架构进行修改。在大多数情况下,您只需对LAN接入设备(有线和无线)、交换机、客户端工作站和RADIUS服务器的操作系统软件进行升级。
参见图2,了解支持Cisco IBNS和IEEE 802.1X标准的思科产品列表。
参见本文提供的支持客户端和鉴权服务器。
Q.可以用802.1X实施什么类型的安全策略?
A.除了提供基于身份的动态端口鉴权和保护网络接入安全功能外,Cisco IBNS还提供按照单位用户动态分配VLAN和ACL的功能。与Cisco Secure ACS服务器一起提供的其它策略如下:
每天某时和每周某天的限制
基于网络接入服务器NAS的IP地址限制用户和交换机接入的IP过滤器
根据MAC地址限制设备鉴权的MAC地址过滤
单位用户VLAN
单位用户ACL
Q.可以使用什么管理工具来管理用户接入组合?
A. Cisco Secure ACS减少了在您的网络上划分用户和网络管理器接入的大量管理工作。Cisco Secure ACS使您能从基于图形用户界面的网页,集中控制所有用户AAA文件,并在网络中将这些文件分配给数千个接入点。此外,作为一种记帐业务,Cisco Secure ACS还能在您的网络中跟踪和报告用户行为,同时提供每个远程接入连接或设备配置的修改记录。
Q.在多站点机构中,我应将RADIUS服务器放置在什么位置?
A.有了Cisco Secure ACS,您可以配置多个要在分布式环境中部署的RADIUS服务器。
它具有以下几个优势:
远程ACS服务器的代理鉴权(用于拨号远程移动接入)
通过NAS的群集配置和ACS的数据库复制功能支持故障恢复和冗余
集中的远程登录功能
在网络中设置Cisco Secure ACS的技术指南详见白皮书,网址如下:
www.cisco.com/warp/public/cc/pd/sqsw/sq/tech/secre_wp.htm.
Q.实施Cisco IBNS后,Cisco ACS会增加其它负荷吗?
A. 主要是后端负荷增加了。思科与高性能的后端数据库(如Oracle或Sybase)连接后,已经开始在群集部署中为Windows 2000和 NT提供Cisco Secure ACS功能。据数千份用户报告来看,该扩展功能为客户提供了良好的操作。这是目前市场上兼容802.1X的RADIUS服务器不能提供的。
如需了解Cisco Secure ACS的更多信息,请访问:http://www.cisco.com/go/acs。
Q. 我可以在何处查找Cisco IBNS解决方案特定产品的更多信息?
A.如需了解Cisco IBNS 解决方案的更多信息,请访问:ibnssolution@cisco.com。
如需了解个别产品的更多信息,请访问下列网址:
Cisco Secure Access Control Server(安全接入控制服务器)
www.cisco.com/warp/public/cc/pd/sqsw/sq/
Cisco Aironet®系列产品
www.cisco.com/go/wireless
Cisco Catalyst 6500 系列交换机
www.cisco.com/go/catalyst6500
Cisco Catalyst 4500系列交换机
www.cisco.com/go/catalyst4500
Cisco Catalyst 3560系列交换机
www.cisco.com/go/catalyst3560
Cisco Catalyst 3750系列交换机
www.cisco.com/go/catalyst3750
Cisco Catalyst 2950系列交换机
www.cisco.com/go/catalyst2950
----------------------------------------------------------
网络应用识别概述
网络应用识别(NBAR)是Cisco IOS Software中的新特性,能够为基础设施提供智能网络分类。NBAR是一种新的分类引擎,能够识别多种应用,包括基于Web的应用,以及动态分配TCP或UDP端口号的客户机/服务器应用。完成应用识别后,网络可以为该应用提供相应的服务。目前,NBAR与服务质量(QoS)特性配合使用,能够最合理地使用网络带宽,实现企业目标。这些特性包括:保证主要应用的带宽,限制其它应用的带宽,有选择地丢弃分组以避免出现拥堵,给分组作上标记以便网络和服务供应商的网络能够端到端提供QoS。
例如,在查询Oracle数据库服务器上的公司数据库中查询订单状态时,客户服务需要快速答复。但是,如果网络上的其他人正在使用VDOLive等高带宽应用,或者查看大型GIF文件,则对Oracle数据库的SQL*NET事务处理可能被延迟。而NBAR就能解决这个问题,因为它能够对应用分类,然后一面为SQL*NET查询提供足够的带宽,一面执行其它应用。该解决方案如图1所示。
图1 NBAR能够提供智能网络分类
SQL
保证带宽
作“金色”服务标记
VODLive
管理带宽
通过丢弃避免拥堵
作“青铜”服务标记
HTTP
管理GIF文件
通过丢弃避免拥堵
作“银色”服务标记
特性简介
利用NBAR,企业能够实施智能分类,并对当今的关键业务应用实施QoS策略。
NBAR支持多种网络协议,包括在NBAR出现之前难以识别的以下状态化协议:
按URL、主机和MIME类型实施HTTP分类
Oracle SQL*NET
Sun RPC
Microsoft Exchange
UNIX r 命令
VDOLive
RealAudio
Microsoft Netshow
文件传输协议(FTP)
StreamWorks
普通文件传输协议(TFTP)
另外,NBAR还能对传统的静态端口协议进行分类,以便支持多种解决方案,详细清单已列在本文末尾。
通过思科开发的数据包描述语言模块(PDLM),可以轻松、快速地添加新协议。PDLM包含NBAR用于识别的规则,多数情况下,不需要新Cisco IOS软件镜像,甚至不需要重新启动就能实现加载。
通过协议识别可以显示当前网络上运行的应用组合,帮助用户确定QoS等级并实施监控,例如需要为关键业务应用提供多少带宽,哪些协议需要监控等。每个协议的双向统计信息如下所示:
分组和位数
位率
对应用进行智能分类之后,网络可以应用以下QoS特性:
利用基于等级的加权公平排序(CBWFQ)保障带宽
通过监控实施带宽限制
在IP报头中使用服务类型(ToS)位或Diff Serv代码点(DSCP)给与众不同的下行服务或来自服务供应商的服务作上标记
通过丢弃避免拥堵(加权随机早期检测[WRED])
优点和应用
保证关键业务应用的性能
Oracle、Citrix、Microsoft Exchange等关键业务应用或者新型Web应用必须连续正常运行才能保证企业在快速发展的电子商务环境中取得成功。许多地方都有可能出现瓶颈,包括网络。即使花巨资为每个应用提供了过量的带宽,也有可能出现瓶颈。
其原因是,员工通常会使用新型互联网应用,例如流音频和视频,或者下载新程序。这些应用都会很快耗尽企业的WAN带宽。遗憾的是,这些并不是企业希望优先处理的关键业务应用。
如果能够智能地识别应用,NBAR将能够使网络为每种应用提供不同的服务。对于Oracle等关键业务应用,或者在某个Web页面上运行的应用,企业可以给予绝对的优先处理,并提供足够的带宽。与此同时,企业还可以限制“带宽猪”对带宽的消耗,使用户能够以最低的延迟访问关键业务应用,而企业则不需要进行昂贵的WAN链路升级,也不需要切断经常使用但非关键业务应用的连接。
缩减WAN开支
过去十年里,WAN成本一直在下降,尤其是在非管制市场上。但是,在世界上许多地区,尤其是在国家之间,电信链路仍然比较昂贵。这使网络经理陷入了两难境地:一方面,企业必须提供对新型客户机—服务器和互联网应用的访问,另一方面,又需要控制WAN服务成本。为解决这个问题,NBAR提供了一种解决方案,使企业能够以智能方式利用WAN带宽,以便以最低的带宽提供可以接受的服务水平。
NBAR能够识别关键业务应用,以便为其分配更高的优先级或足够的带宽,避免非关键应用占用这些比较慢的国际链路,阻碍关键业务流量的传输。
增强Web响应能力
目前,无论是对内部交流,还是外部交流,Web都已经成为许多企业的关键业务资源。员工、合作伙伴和客户必须能够正常访问所需要的Web页面,而不能出现下载缓慢或Web应用失效等问题。
利用NBAR,企业能够识别企业认为重要的Web页面和Web内容,例如:
访问销售订单页面的客户应得到优先处理,以免客户在销售点不耐烦。
销售工具也应给予绝对的优先处理和足够的带宽,以保证销售人员不需要因另一名员工正在使用流视频浏览公司最新推出的电视广告而长久等待产品报价。
基于Web的应用一般加载比较慢,利用NBAR,可以按MIME类型识别应用,并给予优先处理。
JPEG图片等内容占用大量带宽,但不属于基于Web的关键信息。在这种情况下,可以控制这些“带宽猪”占用的带宽。
改善虚拟专用网的性能
虚拟专用网(VPN)不但能降低联网成本,还能提高灵活性。遗憾的是,VPN中的服务质量很难保证。同时在同一台路由器中运行NBAR和VPN能够解决这个问题,因为这样可以在加密之前识别关键业务流量,并允许网络使用适当的QoS控制。另外,通过同时运行VPN和NBAR,我们还能保证以正常的顺序处理分组,以提高安全性,实现相应的QoS。
当远程员工访问关键的企业资源规划(ERP)应用时,NBAR将进行包识别,作上“金色服务”标记,然后放入高优先级序列。然后,VPN流程对分组进行加密,并继续在新分组上作“金色服务”标记。当传输到在网络上提供多种服务的服务供应商的网络上时,ERP应用将在穿过VPN的过程中得到优先处理。与之相反,同一员工访问的非关键应用则只能得到低优先级服务。
提高多服务性能
利用多服务网络,可以将数据、话音和视频信息聚合到同一个网络上。遗憾的是,不同的服务需要不同的网络特性。NBAR能够以智能方式识别分组的种类,并提供适当的网络特性。
例如,如果部署了采用Cisco IP/TV®解决方案等流视频的培训系统,企业一定希望员工能够看到清晰的图片,而不是陆续显示的难以理解的图片。利用NBAR,网络可以轻松地识别流视频流量,并给予较高的优先级。电子邮件等其它流量则只能获得较低的优先级,因为电子邮件虽然必须按时到达,但不像流视频那样有延迟和带宽方面的要求。这样,接受培训的人就能够获得高质量的视频培训,而网络又能同时为企业应用提供相应的服务。
表1 NBAR的特性和优点总结
特性
说明
优点
对应用进行智能分类
ACL等传统分类技术不能识别基于Web的应用和客户机—服务器应用,NBAR则能够通过智能分类识别这些应用。
关键业务应用可以得到网络的优先处理,以保证不出现网络传输引起的延迟。
可以迅速为NBAR添加新协议
NBAR使用灵活的分组说明语言,使思科能够轻松、快速地增加对新应用的支持。不需要修改IOS®软件版本,也不需要重新启动路由器,就能加载新型PDLM。
在当今快速变化的环境中,根本不可能准确预测新关键应用。利用NBAR的灵活性,企业可以放心的是,思科一定能及时支持这些新应用。
协议识别
NBAR可以确定目前网络上正在运行哪些协议和应用
在制订QoS策略之前,必须首先了解当前的流量组合和应用要求。协议识别的目标就是提供这些信息,这是重要的第一步。
支持QoS服务
NBAR对分组进行智能分类之后,路由器将使用基本的QoS服务提供差别化服务。支持的服务包括:
利用CBWFQ保证带宽
监控和限制带宽
为差别化下行服务或来自服务供应商的服务(ToS或DSCP)作上标记
通过丢弃避免拥堵(WRED)
基本QoS特性指为网络提供差别化服务,保证关键业务应用能够得到优先处理,不会受到非关键流量的影响。
表2 NBAR支持的协议
NBAR支持的协议如表2-4所示。
TCP 和UDP 状态化协议
协议类型
说明
FTP
TCP
文件传输协议
Exchange
TCP
为Exchange 开发的MS-RPC
HTTP
TCP
带URL或 MIME 分类的HTTP
Netshow
TCP/UDP
Microsoft Netshow
RealAudio
TCP/UDP
RealAudio 流协议
r-commands
TCP
rsh, rlogin, rexec
StreamWorks
UDP
Xing Technology Stream Works 音频/视频
SQL*NET
TCP/UDP
为Oracle开发的SQL*NET
SunRPC
TCP/UDP
Sun 远程程序调用
TFTP
UDP
普通文件传输协议
VDOLive
CP/UDP
VDOLive 流视频
表3
非UDP和非TCP协议
协议类型
已知端口号
说明
EGP
IP
8
外部网关协议
GRE
IP
47
通用路由封装
ICMP
IP
1
互联网控制消息协议
IP/IP
IP
4
IP中的IP
IPSec
IP
50, 51
IP 封装安全负载/认证报头
EIGRP
IP
88
增强内部网关路由协议
表4
TCP与UDP静态端口协议
协议类型
已知端口号
说明
BGP
TCP/UDP
179
边缘网关协议
CU-SeeMe
TCP/UDP
7648, 7649
桌面视频会议
CU-SeeMe
UDP
24032
桌面视频拘役
DHCP/Bootp
UDP
67, 68
动态主机配置协议/靴襻协议
DNS
TCP/UDP
53
域名系统
Finger
TCP
79
指针用户信息协议
Gopher
TCP/UDP
70
互联网搜索协议
HTTP
TCP
80
超文本传输协议
HTTPS
TCP
443
受保护的HTTP
IMAP
TCP/UDP
143, 220
互联网消息访问协议
IRC
TCP/UDP
194
互联网中继聊天
Kerberos
TCP/UDP
88, 749
Kerberos网络认证服务
L2TP
UDP
1701
L2TP 通道
LDAP
TCP/UDP
389
轻量级目录访问协议
MS-SQLServe
TCP
1433
Microsoft SQL 服务器视频会议
NetBIOS
TCP
137, 139
IP NetBIOS(MS Windows)
NetBIOS
TCP
137, 139
IP NetBIOS(MS Windows)
NFS
TCP/UDP
2049
网络文件系统
NNTP
TCP/UDP
119
网络新闻传输协议
Notes
TCP/UDP
352
Lotus Notes
NTP
TCP/UDP
123
网络时间协议
PCAnywhere
TCP
5631, 65301
Symantec PCAnywhere
PCAnywhere
UDP
22, 5632
Symantec PCAnywhere
POP3
TCP/UDP
10
邮局协议
PPTP
TCP
1723
点到点通道协议
RIP
UDP
520
路由信息协议
RSVP
UDP
1698,1699
资源保留协议
SFTP
TCP
990
安全 FTP
SHTTP
TCP
443
安全 HTTP
SIMAP
TCP/UDP
585, 993
安全IMAP
SIRC
TCP/UDP
994
安全 IRC
SLDAP
TCP/UDP
636
安全 LDAP
SNTP
TCP/UDP
563
安全 NNTP
SMTP
TCP
25
简单邮件传输协议
SNMP
TCP/UDP
61, 162
简单网络管理协议
SOCKS
TCP
080
防火墙安全协议
SPOP3
TCP/UDP
995
安全 POP3
SSH
TCP
22
安全壳协议
STELNET
TCP
992
安全TELNET
Syslog
UDP
514
系统记录设施
Telnet
TCP
23
Telnet 协议
X Windows
TCP
6000-6003
X11, X Windows Telnet 协议
回复Comments
{commenttime}{commentauthor}
{CommentUrl}
{commentcontent}