教徒计划出品：同一端口同时启用PEAP和MAC地址旁路（适用于IPPhone串接PC的网络环境）...

ACS5.2上的MAC地址旁路技术，已经有连续两个学员问到我这里了，这次我把这个任务交给了参加教徒计划的学员们，下面就是他们做的关于在一个端口上同时启用PEAP和MAC地址旁路的试验报告，这个技术主要适用于IPPhone串接PC的网络环境。最近我们还接了一个NAC Appliance的“项目”（依然是学员要求研究的），近期也会出相关的资料。安全CCIE8月15日之后，已经连续一次PASS 13人了！再次祝贺他们！

新一轮CCSP课程将于10月17日开始，希望大家的参加

实验目的：
在交换机上的同一端口，插入不同设备，可以自动的选择不同的服务，既可以对PC做PEAP认证，也可以对IPphone等设备基于MAC地址做bypass。

配置步骤：
首先，我们先把switch 做成client，很简单的两条命令。
aaa new-model      
radius-server host 202.100.1.241 key cisco
然后再 ACS 5.2 上面定义client，如下图。


在identity Group 下面建三个组，分别是Test（测试client用）、PEAP（用于PEAP认证用）、MAC（用于MAC地址Bypass用）。
 

在Internal Identity Stores下面的User 下面建两个user
Cisco（用于client测试）、Peapuser((PEAP认证用)
分别关联到不同的Identity Group中去。
 

在Host下面 添加主机的MAC地址。
把地址放在MAC 组里面。


在交换机上做一下测试
test aaa group radius cisco cisco new-code
确认测试成功，才可以进行下一步。

在Access Policies 下面的Access Services中创建新的services，首先，先创建一个PEAP用的Access Services。输入的名字。选择User Selected Service Type类型为Network Access，点下一步。
 

在Authentication Protocols 下勾选 PAP/ASCII 和 PEAP，PEAP使用MS-CHAPv2。
 

下面再做一个MAC Bypass的Access Service
Name 随便，在Based on Service template 中选择 Network Access – MAC Authentication Bypass
如下图：
 

第二步，服务只要默认的Process Host Lookup就好，其他什么都不用选了。
 

下面就是关键所在了。
点击 Service Selection Rules 进入，选择右下角的Customize，把Compound Condition 选中点击向右的箭头，把他选到右边的Selected框中。
 

点击左下角的Create 创建一个新的Rules。
注意这里的Rules匹配条件，Protocol 匹配 Radius
然后，选择RADIUS-IETF中的Service-Type参数匹配上Framed。
使用PEAP Service 做认证和授权。
 

在做一条Rules，匹配Service-type中的Call Check，使用MAC做认证和授权。
 

把新建的两条Rules移到上面去，这样保证不会匹配上默认Rules。
 

Network Access 类型的 service Type 默认的Identity Source是DenyAccess，我们需要把他改成 Internal Users。如果有域数据库的话，这里也可以指向AD，使用外面AD做认证，请参考教主的ACS 5.2 研究报告，这里就不搞这么麻烦了。
授权这里就直接使用默认的授权：Permit access，详细的授权，在ACS 5.2 研究报告里也有提到。
 

MAC-authentication-Bypass 默认的就是Internal Host，这里就不需要改了。


到交换机上把Dot1x的命令都敲上吧。
先做好安全防护措施，先把线下保护做好，要是被锁外面，哭都来不及了。
aaa authentication login noacs line none
line con 0
 login authentication noacs
下面是802.1x的命令
aaa authentication dot1x default group radius
aaa authorization network default group radius
dot1x system-auth-control
interface FastEthernet0/45
 dot1x mac-auth-bypass
 dot1x port-control auto
交换机做完之后，我们去PC上把802.1x的有线认证开起来。
 

在本地连接的属性的身份验证选项卡中设置一下。
把 网络身份验证方法选择为 微软的PEAP。
我们要做测试，所以把记录凭据也取消掉。
 

点击网络身份验证方法后面的设置，可以看到下面的图。
因为这次主要是为了测试PEAP，所以这里，我把验证服务器证书也取消了。
把身份验证方法选择为EAP-MSCHAP v2，就OK了。
 

回到身份验证的选项卡中，点击其他设置，取消掉自动使用Windows登录名和密码。
 

一切就绪，下面就是测试了。插上网线，电脑右下角会弹出下面的提示框，单击他。
 

身份认证来了，要输入用户名和密码。
 

看，速度很快，输完用户名和密码，立刻就up了。
 

现在，关掉802.1x的认证服务。
 

把网线拔下来重新插入。也通过了。时间有点长，要两分半钟，可以做适当的优化。把timeout的值做修改，还可以把最大重认证次数和最大请求次数的值改小。
 

到ACS 上看一下报告吧：报告太长我分两段截的图，可以对比着看。
 

还有更详细的报告：
下面是PEAP的详细的报告：
 

注意看Authentication Details中的Other选项：
Service-type=Framed
 

下面还有两张MAC-authentication Bypass的图片。
 

留意一下service-type=Call Check
 

最后附上对service-type的详细说明：
当服务类型出现在Access-Accept报文中时，定义如下文所示。当在
Access-Request报文中出现时，应该当作NAS暗示RADIUS服务器认为用户
应该使用的服务，但服务器不一定要满足提示中的要求。

1.Login：用户应该连接到主机。

2.Framed：用户使用帧协议例如PPP或SLIP。

3.Callback Login：用户应该先断开再连接。

4.Callback Framed：用户需要受限端口连接，然后使用帧协议进行连接
，例如PPP或SLIP。

5.OutBond：用户可以访问外部设备。

6.Administrative：用户授权访问NAS的管理接口，可以执行特权命令。

7.Nas Promt：NAS为用户提供输入提示允许运行非特权命令。

8.Authenticate Only：只返回认证信息，Access-Accept报文中不返回
授权信息（通常在代理服务器中使用）。

9.Callback NAS Prompt：用户应该断开连接，再连接，NAS提供输入提
示允许执行非特权命令。

10.Call Check：NAS在Access-Request中使用，表示请求收到，RADIUS
服务器如果接收，应该返回Access-Accept报文，如果不接受，应该返回
Access-Reject报文。建议这种Access-Requests报文使用Calling-
Station-Id属性保存用户名。

11.Callback Administrative：用户应该先断开再连接，然后可以通过
管理接口访问NAS，执行特权命令。

本文转自Yeslab教主 51CTO博客，原文链接:http://blog.51cto.com/xrmjjz/685688