建置與執行

問：什麼是802.1X？

答：IEEE 802.1X是以使用者帳號或使用者設備為基礎之網路用戶(埠)認證標準；這種認證程序稱為「連接埠層級認證」（port-level authentication），利用遠端認證使用者撥接服務（Remote Authentication Dial-In User Service，RADIUS），將其分成三部分：請求端（使用者）、認證端、以及認證伺服器。 當終端裝置（如筆記型電腦、PDA）與請求端嘗試連線至其他連接埠或裝置，例如思科 CatalystR 交換器或思科AironetR 系列無線接取器（認證端），採用802.1X標準。認證與授權的動作均可在與認證伺服器的連線通訊中自動完成；例如思科安全存取控制伺服器（Secure Access Control Server，Secure ACS）即提供這項功能。此外，IEEE 802.1X提供自動使用者帳號確認、集中控制認證機制、密鑰管理，以及區域網路連線之監控。802.1X架構如圖一所示。

問：思科如何擴充現有802.1X標準之能力？

答：思科支援802.1X標準，並提供下列可擴充其能力之項目：

• 802.1X與VLAN

  根據使用者帳號認證機制，「思科網路身份認證服務」提供動態指定連接埠至虛擬區域網路(VLAN)功能。根據標準的802.1X設計，通過認證的連接埠帳號會被導引至事先設定好的虛擬區域網路中。這項新的功能使管理者能輕易的在RADIUS伺服器中管理VLAN的使用者帳號。在取得802.1X認證之後，RADIUS會針對特定的使用者帳號將VLAN資料發送給交換器，而交換器便設定其附屬的連接埠給特定的VLAN使用。總而言之，802.1X會根據使用者身份，將其認證的連接埠指派給虛擬區域網路。

• 802.1X與連接埠安全

  此項功能允許由802.1X的連接埠進行安全設定；如果連接埠安全設定更改為只允許一個媒體存取控制（Media Access Control，MAC）位址使用，則只有此媒體存取控制位址能利用RADIUS進行認證，其他媒體存取控制使用者都會被拒絕存取，這將減低其他使用者直接連接集線器而跳過認證程序的風險。當802.1X的連接埠安全設定功能被應用在多重認證模式時，所有嘗試透過交換器進行連線的主機都會被要求進行802.1X的認證。

• 802.1X與語音VLAN ID

  此項功能有助於企業結合Cisco語音、視訊、數據整合架構（Architecture for Voice, Video and Integrated Data，AVVID）、VoIP及動態連接埠安全設定等。此外，管理者還可在VLAN中設定輔助的Voice VLAN ID。

• 802.1X 與訪客虛擬區域網路（Guest VLAN）（僅適用Cisco Catalyst 6500 系列）

  使用者存取網路時若未通過身份認證，則登入的網路會受到某種程度的限制。如果使用者的網路通訊協定與802.1X標準不符，伺服器會自動將該使用者歸類到訪客虛擬區域網路的範圍中。

• 802.1X架構之高可用性（僅適用Cisco Catalyst 6500 系列）

  此項功能提供符合802.1X標準的安全連接埠具備同步維護並執行資訊安全的能力，不論這些連接埠處於啟動或是待命狀態，管理者皆可以在高可用狀態下執行同步化作業。

• 高可用性架構下連接埠的安全性（僅適用Cisco Catalyst 6500 系列）

  這項功能提供安全連接埠同步維護並執行資訊安全設定，不論這些連接埠處於啟動或是待命狀態，管理者皆可以在高可用狀態下執行同步化作業。

• 使802.1X的網路環境具備指定存取控制表的能力（僅適用Cisco Catalyst 3550）

  存取控制機制可以允許管理者在802.1X身份認證基礎下，隨意更改並指定存取設定。管理者可以使用此項功能來限制使用者網路位址的區域範圍、特定的伺服器，限制可使用的通訊協定與應用程式等。此安全機制能提供使用者便利的行動性，降低管理上的負擔。

問：「思科網路身份認證服務」平台能支援何種特性？

問：「思科網路身份認證服務」可為企業帶來什麼好處？

答：藉由「思科網路身份認證服務」，透過有線、無線網路的連結提供員工更大的行動力及靈活度，進而降低存取資料時因授權與管理所衍生的營運成本，以提高員工生產力及企業競爭力。

問：「思科網路身份認證服務」與現有思科連接埠安全技術(Port Security)有何不同？

答：在「802.1X連接埠安全(802.1X-based Port Security)」技術發表前，思科亦提供「連接埠安全(Port Security)」與思科「使用者註冊工具(User Registration Tool；URT)」等相關技術。舊有的連接埠安全功能至今仍被應用於特定環境中；連接埠安全採用以連接埠為基礎的網路存取管理，並以手動方式來設定交換器。

URT提供動態虛擬區域網路，並依據使用者或機器來執行認證程序，透過此一功能，這些交換器使用思科專有的虛擬區域網路會員管理伺服器(VLSN Membership Policy Server；VMPS)詢問通訊協定；而「思科網路身份認證服務」則是符合業界標準的連接埠安全技術，該連接埠安全由RADIUS 思科安全存取控制伺服器來進行管理。此外，「思科網路身份認證服務」功能可結合存取控制與使用者資料，提供使用者網路連結、服務與應用，大幅提升員工的移動性及連結有線、無線網路的靈活度與彈性，幫助企業提高員工生產力與競爭力。

問：思科是否計畫停止銷售使用者註冊工具(URT)？

答：思科不會停止銷售使用者註冊工具(URT)，主要是因為IEEE 802.1X使用者端作業系統尚未普及，URT能提供使用者端作業系統更完整的AAA區域網路身份認證服務，以補其不足之處。

問：「思科網路身份認證服務」是開放式的架構嗎？還是只能在思科產品上使用？

答：只有使用思科產品才能建立「思科網路身份認證服務」。此架構之特性限於本問答集所列之思科產品清單。

問：未來「思科網路身份認證服務」會提供更多功能嗎？

答：「思科網路身份認證服務」功能將根據未來標準與使用者的需要改變，目前僅為早期發展階段。

問：「思科網路身份認證服務」支援哪些認證平台或使用者端？

答：思科Catalyst 交換器支援微軟Windows XP、Linux與HP UNIX，以及未來的802.1X使用者端支援。思科Aironet產品支援微軟Windows、Windows CE、MAC OS、Linux與MS-DOS。

問：何種認證伺服器具備相容性？

答：「思科網路身份認證服務」是依據標準RADIUS與802.1X架構，此服務能與符合上述兩標準之IETF認證伺服器交互運作。思科特別加強安全存取控制伺服器的功能，使所有思科交換器具有緊密整合能力。

問：採用這樣的支援系統需要作何改變？

答：不需要改變任何硬體設備，僅需升級區域網路接取設備、交換器、使用者端工作站、RADIUS伺服器等設備之作業系統軟體。

問：在802.1X架構下可以採用哪些安全策略？

答：在身份認證的架構下，除了提供動態連接埠認證及網路安全存取控制，思科網路身份認證服務還提供以使用者為基礎的動態指定虛擬區域網路及存取控制表的功能。思科安全存取控制伺服器尚提供下列各項功能：

• 提供一日內特定時段或一週內特定日期設定服務
• 以網路存取伺服器的 IP位置為依據，利用網路存取伺服器的IP過濾器(Filter)來限制使用者或交換器的網路存取功能
• 媒體存取控制位址過濾功能，可依據媒體存取控制位址來限制設備是否可以通過認證
• 個別使用者的虛擬區域網路
• 個別使用者的存取控制表

問：有哪些管理工具能應用於管理使用者的存取資訊？

答：當網路使用者和管理者增加時，使用思科安全存取控制伺服器系統能降低管理的複雜度。思科安全存取控制伺服器可以使用Web模式的圖形化管理介面集中控制所有使用者的認證、授權及記帳資料，並將這些資料分派到網路中數千個存取連結器中。思科安全存取控制伺服器還有事件紀錄伺服器的功能，能幫助管理者追蹤與回報使用者的網路行為，並保存所有遠端存取連線及更改設備設定之記錄。

• 在遠端存取控制伺服器中執行代理認證服務(針對撥號、遠端行動存取使用者而言)
• 建構多台具備叢集服務的網路存取伺服器，可以有效的提供容錯及資料庫備份服務
• 集中化管理並提供遠端登入服務。

欲自行架設思科安全存取控制伺服器，相關參考指引可造訪下列網址：http://www.cisco.com/warp/public/cc/pd/sqsw/sq/tech/secre_wp.htm

問：架設「思科網路身份認證服務」功能時，可能產生的額外負擔為何？

答：可能發生在後端高效能資料庫系統上，例如Oracle或Sybase。思科曾將思科安全存取控制伺服器部署在Windows 2000或NT叢集架構中，透過實際運作證明這種可擴充性的效能，縱使在數千個使用者存取數據的情況下，依然表現良好，而這是RADIUS伺服器尚不能做到的。

問：哪裡可以找到更多的「思科網路身份認證服務」相關資訊？

答：欲進一步得知更多關於「思科網路身份認證服務」相關資訊，請至點選此處。欲進一步取得更多「思科網路身份認證服務」產品之相關資訊，請造訪下列網址：

• 思科安全存取控制伺服器
• 思科 AironetR 系列產品
• 思科 Catalyst 6500 系列交換器
• 思科 Catalyst 4500 系列交換器
• 思科 Catalyst 3550 系列交換器
• 思科 Catalyst 2950 系列交換器