为 MAC RADIUS 身份验证配置 PEAP
可扩展身份验证协议 (EAP) 是一种可扩展协议,支持多种身份验证方法,包括基于密码的身份验证方法和更安全的基于证书的身份验证方法。EAP 有助于身份验证器或交换设备与身份验证服务器之间的协商,以确定请求方使用的身份验证方法。用于 MAC RADIUS 身份验证的默认身份验证方法是 EAP-MD5,其中服务器向客户端发送随机质询值,客户端通过使用 MD5 对质询及其密码进行哈希处理来证明其身份。由于 EAP-MD5 仅提供客户端身份验证而不提供服务器身份验证,因此它可能容易受到欺骗攻击。
您可以配置受保护的可扩展身份验证协议(也称为受保护的 EAP 或简称 PEAP)来解决 EAP-MD5 的安全漏洞。PEAP 是一种协议,用于将 EAP 数据包封装在加密且经过身份验证的传输层安全性 (TLS) 隧道中。PEAP 称为外部身份验证协议,因为它设置隧道,并且不直接参与对终结点进行身份验证。用于验证隧道内客户端 MAC 地址的内部身份验证协议是Microsoft质询握手身份验证协议版本 2 (MS-CHAPv2)。隧道内加密的信息交换可确保用户凭据不被窃听。
与 MS-CHAPv2 一起使用时,PEAP 的优点之一是它只需要服务器端证书即可建立安全隧道,并使用服务器端公钥证书对服务器进行身份验证。这消除了为需要身份验证的每个客户端部署数字证书所涉及的开销。
使用 MAC RADIUS 身份验证在交换机上对客户端进行身份验证后,后续客户端可以使用第一个客户端建立的同一外部隧道与服务器通信。这是使用 SSL 提供的会话恢复功能实现的。会话恢复可减少后续客户端等待建立新的 TLS 隧道时可能发生的延迟。
在为 MAC RADIUS 身份验证配置 PEAP 身份验证协议之前,请确保身份验证服务器还配置为将 PEAP 与 MS-CHAPv2 一起使用作为内部身份验证协议。有关配置身份验证服务器的信息,请参阅服务器的文档。
可以使用选项全局 interface all
配置身份验证协议,也可以使用单个接口名称在本地配置身份验证协议。如果同时为单个接口和所有接口配置了身份验证协议,则该接口的本地配置将覆盖全局配置。
要为 MAC RADIUS 身份验证配置 PEAP 身份验证协议,请执行以下操作: