思科在IEEE 802.1 X標(biāo)準(zhǔn)的基礎(chǔ)上，并且進(jìn)行了進(jìn)一步的功能擴(kuò)展，提供了全面的基于身份的網(wǎng)絡(luò)服務(wù)(IBNS)，具體的擴(kuò)展如下:

帶VLAN的802.1 X

Cisco IBNS可以提供這種功能使基于用戶的身份動態(tài)地將VLAN分配給相應(yīng)端口。采用標(biāo)準(zhǔn)的802.1 X方案，認(rèn)證成功后的用戶被置于預(yù)先配置好的VLAN中，該VLAN已經(jīng)分配到某個端口。這種新的特性使得管理員可以維護(hù)RADIUS內(nèi)從用戶名到VLAN的數(shù)據(jù)庫。在成功地完成802.1 X鑒別之后，RADIUS還可以將VLAN發(fā)送到用于特定用戶的交換機(jī)，交換機(jī)就可以為指定的VLAN配置附加端口。這樣，經(jīng)過802.1 X認(rèn)證的端口就可以將基于用戶的身份指派到VLAN上。

帶端口安全性的802.1 X

這種特性可以在802.1 X端口上配置端口安全性。如果端口上只有一個介質(zhì)接入控制(MAC) 地址能夠?qū)崿F(xiàn)端口安全性，那么只有該MAC地址才能夠通過RADIUS服務(wù)器認(rèn)證。所有其它MAC用戶將被拒絕訪問，這樣就能夠消除其它用戶連接到某個集線器上以繞開認(rèn)證的安全性風(fēng)險。在多種認(rèn)證模式中采用代端口安全性功能的802.1 X時，所有嘗試通過交換機(jī)端口連接的主機(jī)都必需要求采用802.1 X進(jìn)行認(rèn)證。

帶語音VLAN ID的802.1 X

這種特性能夠幫助組織結(jié)合Cisco AVVID(用于語音、視頻和集成數(shù)據(jù)的基礎(chǔ)架構(gòu))、IP語音 (VoIP) 以及動態(tài)端口安全性。管理員可以配置輔助的VLAN語音VLAN ID。

802.1 X訪客VLAN(僅適用于Cisco Catalyst 6500系列)

這種特性有助于讓組織提供"訪客"網(wǎng)絡(luò)接入，這種方式對網(wǎng)絡(luò)接入有嚴(yán)格限制。在啟用這種特性之后，到那些沒有802.1 X兼容主機(jī)的網(wǎng)絡(luò)的用戶連接嘗試將被置于訪客VLAN中。

802.1 X的高可用性(僅適用于Cisco Catalyst 6500系列)

這種特性可以在主用和備用監(jiān)控模塊之間提供同步運行時的802.1 X端口安全性信息，從而在高可用性的切換過程中仍然能夠保持端口的安全性狀態(tài)。

高可用性端口安全性(僅適用于Cisco Catalyst 6500系列)

這種特性可以在主用和備用監(jiān)控模塊之間提供同步運行時的端口安全性信息，從而在高可用性的切換過程中仍然能夠保持端口的安全性狀態(tài)。

帶ACL分配的802.1 X

基于身份的訪問控制列表 (ACL) 使客戶可以根據(jù)用戶的802.1 X認(rèn)證結(jié)果，動態(tài)地將訪問控制策略分配到某個接口上。您可以使用這種特性來嚴(yán)格限制用戶對網(wǎng)絡(luò)中某些網(wǎng)段的訪問，限制對敏感服務(wù)器的訪問，甚至限制可能使用到的協(xié)議和應(yīng)用。這樣，不需損害用戶的移動性或者造成管理損耗，就能夠?qū)崿F(xiàn)專門基于身份的安全性。

基于802.1x的IBNS部署方案

思科基于802.1x標(biāo)準(zhǔn)擴(kuò)展的IBNS方案主要有以下幾個部分組成:

o AAA/Radius服務(wù)器:AAA/RADIUS實現(xiàn)對用戶集中的認(rèn)證和授權(quán)。在本方案中推薦采用思科AAA/Radius服務(wù)器CiscoSecure ACS 3.3 for Windows

o 用戶帳號數(shù)據(jù)庫服務(wù)器:用戶帳號數(shù)據(jù)庫服務(wù)器用于存放用戶登陸網(wǎng)絡(luò)的用戶名和密碼信息，思科IBNS體系支持使用多種標(biāo)準(zhǔn)的用戶帳號數(shù)據(jù)庫，包括ACS內(nèi)建的用戶數(shù)據(jù)庫、標(biāo)準(zhǔn)的LDAP服務(wù)器以及微軟的Windows A.D.服務(wù)器等，各種不同的選擇具有各自的優(yōu)勢和缺點。

o 支持802.1x功能的局域網(wǎng)交換機(jī):本次方案中推薦的局域網(wǎng)交換機(jī)都可以配置并支持802.1x標(biāo)準(zhǔn)以及IBNS中對802.1x的增強(qiáng)功能。

o 支持802.1x的PC工作站:目前海爾集團(tuán)使用的Windows2000/XP都內(nèi)置了對802.1x的支持，經(jīng)過設(shè)置都可以使用IBNS服務(wù)。

其中對于局域網(wǎng)交換機(jī)的部署已經(jīng)在網(wǎng)絡(luò)架構(gòu)設(shè)計中詳細(xì)說明，以下分別進(jìn)一步說明其他幾部分的詳細(xì)建議部署方案

AAA/Radius服務(wù)器的部署

o 在總部和安全管理區(qū)域設(shè)置兩臺CiscoSecure ACS服務(wù)器，相互備份，用于全行統(tǒng)一的802.1x 認(rèn)證(同時也可用于遠(yuǎn)程接入VPN的認(rèn)證)。如有條件，分部可設(shè)立獨立的CiscoSecure ACS服務(wù)器，作為廣域網(wǎng)連接斷開時的本地備份;

o 一般的AAA/RAdius服務(wù)器本身不存儲用戶帳號的用戶名/密碼信息(Cisco ACS內(nèi)建了用戶帳號信息的存儲功能)，但是RADIUS服務(wù)器需要存儲關(guān)于特定用戶或者用戶組的交換機(jī)端口配置信息:如VLAN，ACL等，因此更改用戶或用戶組所屬的VLAN、ACL等需要在直接在CiscoSecure ACS服務(wù)器上進(jìn)行設(shè)置

o AAA/RADIUS 服務(wù)器和各個交換機(jī)直接通訊，接受交換機(jī)的802.1x查詢，并給出查詢結(jié)果和相關(guān)端口的配置信息，對于AAA/RADIUS服務(wù)器而言，各個接入層交換機(jī)將是其客戶端，因此在部署前需要確認(rèn)各個三層交換機(jī)所使用的客戶端地址，并注冊在AAA/RADIUS服務(wù)器中，今后新增接入設(shè)備也要作相應(yīng)的維護(hù);

o 為了保證安全策略自身的安全，需要定期備份AAA/Radius服務(wù)器中的交換機(jī)端口策略配置;