目录
1 802.1X配置........................................................................................................................................1-1
1.1 80
2.1X简介........................................................................................................................................1-1
1.1.1 80
2.1X的体系结构..................................................................................................................1-1
1.1.2 80
2.1X的认证方式..................................................................................................................1-1
1.1.3 80
2.1X的基本概念..................................................................................................................1-2
1.1.4 EAPOL消息的封装..................................................................................................................1-3
1.1.5 EAP属性的封装......................................................................................................................1-4
1.1.6 80
2.1X的认证触发方式...........................................................................................................1-5
1.1.7 80
2.1X的认证过程..................................................................................................................1-5
1.1.8 80
2.1X的接入控制方式...........................................................................................................1-8
1.1.9 80
2.1X的定时器......................................................................................................................1-8
1.1.10 和80
2.1X配合使用的特性....................................................................................................1-9
1.2 配置80
2.1X.....................................................................................................................................1-11
1.2.1 配置准备...............................................................................................................................1-11
1.2.2 配置全局802.1X...................................................................................................................1-11
1.2.3 配置端口的802.1X...............................................................................................................1-12
1.3 配置80
2.1X的Guest VLAN.............................................................................................................1-14
1.3.1 配置准备...............................................................................................................................1-14
1.3.2 配置Guest VLAN..................................................................................................................1-14
1.4 80
2.1X显示和维护...........................................................................................................................1-14
1.5 80
2.1X典型配置举例.......................................................................................................................1-15
1.6 Guest VLAN、VLAN下发的典型配置举例......................................................................................1-17
1.7 下发ACL典型配置举例....................................................................................................................1-19
2 EAD快速部署配置.............................................................................................................................2-1
2.1 EAD快速部署简介.............................................................................................................................2-1
2.1.1 概述........................................................................................................................................2-1
2.1.2 实现机制.................................................................................................................................2-1
2.2 配置EAD快速部署.............................................................................................................................2-1
2.2.1 配置准备.................................................................................................................................2-1
2.2.2 配置用户可访问的免认证网段.................................................................................................2-1
2.2.3 配置用户HTTP访问的重定向URL...........................................................................................2-2
2.2.4 配置EAD规则的老化超时时间................................................................................................2-2
2.3 EAD快速部署显示和维护..................................................................................................................2-3
2.4 EAD快速部署典型配置举例...............................................................................................................2-3
2.5 常见配置错误举例.............................................................................................................................2-4
2.5.1 用户通过浏览器访问外部网络不能正确重定向.......................................................................2-4
1 802.1X配置
1.1 80
2.1X简介
IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1X协议。后来,802.1X 协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。
802.1X协议是一种基于端口的网络接入控制协议(port based network access control protocol)。
“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
由于端口安全特性通过多种安全模式提供了802.1X和MAC地址认证的扩展和组合应用,因此在需要灵活使用以上两种认证方式的组网环境下,推荐使用端口安全特性。而在仅需要802.1X特性来完成接入控制的组网环境下,推荐单独使用802.1X特性,配置过程简洁明了。关于端口安全特性的详细介绍和具体配置请参见“安全分册”中的“端口安全配置”。
1.1.1 80
2.1X的体系结构
802.1X系统为典型的Client/Server结构,如图1-1所示,包括三个实体:客户端(Client)、设备端(Device)和认证服务器(Server)。
图1-1802.1X认证系统的体系结构
z客户端是位于局域网段一端的一个实体,由该链路另一端的设备端对其进行认证。客户端一般为一个用户终端设备,用户可以通过启动客户端软件发起802.1X认证。客户端必须支持
EAPOL(Extensible Authentication Protocol over LAN,局域网上的可扩展认证协议)。
z设备端是位于局域网段一端的另一个实体,对所连接的客户端进行认证。设备端通常为支持802.1X协议的网络设备,它为客户端提供接入局域网的端口,该端口可以是物理端口,也可
以是逻辑端口。
z认证服务器是为设备端提供认证服务的实体。认证服务器用于实现对用户进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)
服务器。
1.1.2 80
2.1X的认证方式
802.1X认证系统使用EAP(Extensible Authentication Protocol,可扩展认证协议),来实现客户端、设备端和认证服务器之间认证信息的交换。
z在客户端与设备端之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN环境中。
z在设备端与RADIUS服务器之间,可以使用两种方式来交换信息。一种是EAP协议报文由设备端进行中继,使用EAPOR(EAP over RADIUS)封装格式承载于RADIUS协议中;另一
种是EAP协议报文由设备端进行终结,采用包含PAP(Password Authentication Protocol,
密码验证协议)或CHAP(Challenge Handshake Authentication Protocal,质询握手验证协
议)属性的报文与RADIUS服务器进行认证交互。
1.1.3 80
2.1X的基本概念
1. 受控/非受控端口
设备端为客户端提供接入局域网的端口,这个端口被划分为两个逻辑端口:受控端口和非受控端口。
任何到达该端口的帧,在受控端口与非受控端口上均可见。
z非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,保证客户端始终能够发出或接收认证报文。
z受控端口在授权状态下处于双向连通状态,用于传递业务报文;在非授权状态下禁止从客户端接收任何报文。
2. 授权/非授权状态
设备端利用认证服务器对需要接入局域网的客户端执行认证,并根据认证结果(Accept或Reject)对受控端口的授权/非授权状态进行相应地控制。
图1-2显示了受控端口上不同的授权状态对通过该端口报文的影响。图中对比了两个802.1X认证系统的端口状态。系统1的受控端口处于非授权状态(相当于端口开关打开),系统2的受控端口处于授权状态(相当于端口开关关闭)。
图1-2受控端口上授权状态的影响
用户可以通过在端口下配置的接入控制的模式来控制端口的授权状态。端口支持以下三种接入控制模式:
z强制授权模式(authorized-force):表示端口始终处于授权状态,允许用户不经认证授权即可访问网络资源。
z强制非授权模式(unauthorized-force):表示端口始终处于非授权状态,不允许用户进行认证。设备端不对通过该端口接入的客户端提供认证服务。
z
自动识别模式(auto ):表示端口初始状态为非授权状态,仅允许EAPOL 报文收发,不允许用户访问网络资源;如果认证通过,则端口切换到授权状态,允许用户访问网络资源。这也是最常见的情况。
3. 受控方向
在非授权状态下,受控端口可以被设置成单向受控和双向受控。
z 实行双向受控时,禁止帧的发送和接收;
z
实行单向受控时,禁止从客户端接收帧,但允许向客户端发送帧。
目前,设备只支持单向受控。
1.1.4 EAPOL 消息的封装
1. EAPOL 数据包的格式
EAPOL 是802.1X 协议定义的一种报文封装格式,主要用于在客户端和设备端之间传送EAP 协议报文,以允许EAP 协议报文在LAN 上传送。EAPOL 数据包的格式如图1-3所示。
图1-3 EAPOL 数据包格式
PAE Ethernet Type :表示协议类型,为0x888E 。
Protocol Version :表示EAPOL 帧的发送方所支持的协议版本号。 Type :表示EAPOL 数据帧类型,目前设备上支持的数据类型见表1-1。
表1-1 EAPOL 数据类型
类型
说明
EAP-Packet (值为0x00):认证信息帧,用于承载认证信息
该帧在设备端和认证服务器之间存在,重新封装并承载于RADIUS 协议上,便于穿越复杂的网络到达认证服务器
EAPOL-Start (值为0x01):认证发起帧
EAPOL-Logoff (值为0x02):退出请求帧
这两种类型的帧仅在客户端和设备端之间存在
Length :表示数据长度,也就是“Packet Body ”字段的长度,单位为字节。如果为0,则表示没有后面的数据域。
Packet Body :表示数据内容,根据不同的Type 有不同的格式。
2. EAP 数据包的格式
当EAPOL 数据包格式Type 域为EAP-Packet 时,Packet Body 为EAP 数据包结构,如图1-4所示。
图1-4 EAP 数据包格式
15
7
24
N
Code :指明EAP 包的类型,共有4种:Request 、Response 、Success 、Failure 。
z Success 和Failure 类型的包没有Data 域,相应的Length 域的值为4。
z
Request 和Response 类型数据包的Data 域的格式如图1-5所示。Type 为EAP 的认证类型,Type data 的内容由类型决定。例如,Type 值为1时代表Identity ,用来查询对方的身份;Type 值为4时,代表MD5-Challenge ,类似于PPP CHAP 协议,包含质询消息。
图1-5
Request 和Response 类型数据包的
Data 域的格式
Identifier :用于匹配Request 和Response 消息。
Length :EAP 包的长度,包含Code 、Identifier 、Length 和Data 域,单位为字节。 Data :EAP 包的内容,由Code 类型决定。
1.1.5 EAP 属性的封装
RADIUS 为支持EAP 认证增加了两个属性:EAP-Message (EAP 消息)和Message-Authenticator (消息认证码)。RADIUS 协议的报文格式请参见“安全分册”中的“AAA 配置”的RADIUS 协议简介部分。 1. EAP-Message
如图1-6所示,这个属性用来封装EAP 数据包,类型代码为79,String 域最长253字节,如果EAP 数据包长度大于253字节,可以对其进行分片,依次封装在多个EAP-Message 属性中。
图1-6 EAP-Message 属性封装
2. Message-Authenticator
如图1-7所示,这个属性用于在使用EAP、CHAP等认证方法的过程中,避免接入请求包被窃听。
在含有EAP-Message属性的数据包中,必须同时也包含Message-Authenticator,否则该数据包会被认为无效而被丢弃。
图1-7Message-Authenticator属性
1.1.6 80
2.1X的认证触发方式
802.1X的认证过程可以由客户端主动发起,也可以由设备端发起。设备支持的认证触发方式包括以下两种:
1. 客户端主动触发方式
客户端主动向设备端发送EAPOL-Start报文来触发认证,该报文目的地址为IEEE 802.1X协议分配的一个组播MAC地址:01-80-C2-00-00-03。
另外,由于网络中有些设备不支持上述的组播报文,使得认证设备无法收到客户端的认证请求,因此设备端还支持广播触发方式,即,可以接收客户端发送的目的地址为广播MAC地址的
EAPOL-Start报文。这种触发方式需要H3C iNode的802.1X客户端的配合。
2. 设备端主动触发方式
设备会每隔N秒(缺省为30秒)主动向客户端发送EAP-Request/Identity报文来触发认证,这种触发方式用于支持不能主动发送EAPOL-Start报文的客户端,例如Windows XP自带的802.1X客户端。
1.1.7 80
2.1X的认证过程
802.1X系统支持EAP中继方式和EAP终结方式与远端RADIUS服务器交互完成认证。以下关于两种认证方式的过程描述,都以客户端主动发起认证为例。
1. EAP中继方式
这种方式是IEEE 802.1X标准规定的,将EAP(可扩展认证协议)承载在其它高层协议中,如EAP over RADIUS,以便扩展认证协议报文穿越复杂的网络到达认证服务器。一般来说,EAP中继方式需要RADIUS服务器支持EAP属性:EAP-Message和Message-Authenticator,分别用来封装EAP 报文及对携带EAP-Message的RADIUS报文进行保护。
下面以EAP-MD5方式为例介绍基本业务流程,如图1-8所示。
图1-8IEEE 802.1X认证系统的EAP中继方式业务流程
认证过程如下:
(1) 当用户有访问网络需求时打开802.1X客户端程序,输入已经申请、登记过的用户名和密码,
发起连接请求(EAPOL-Start报文)。此时,客户端程序将发出请求认证的报文给设备端,开始启动一次认证过程。
(2) 设备端收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity报文)要求用户
的客户端程序发送输入的用户名。
(3) 客户端程序响应设备端发出的请求,将用户名信息通过数据帧(EAP-Response/Identity报文)
发送给设备端。设备端将客户端发送的数据帧经过封包处理后(RADIUS Access-Request报文)送给认证服务器进行处理。
(4) RADIUS服务器收到设备端转发的用户名信息后,将该信息与数据库中的用户名表对比,找到
该用户名对应的密码信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字通过RADIUS Access-Challenge报文发送给设备端,由设备端转发给客户端程序。
(5) 客户端程序收到由设备端传来的加密字(EAP-Request/MD5 Challenge报文)后,用该加密
字对密码部分进行加密处理(此种加密算法通常是不可逆的),生成EAP-Response/MD5 Challenge报文,并通过设备端传给认证服务器。
(6) RADIUS服务器将收到的已加密的密码信息(RADIUS Access-Request报文)和本地经过加
密运算后的密码信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息(RADIUS Access-Accept报文和EAP-Success报文)。
(7) 设备收到认证通过消息后将端口改为授权状态,允许用户通过端口访问网络。在此期间,设备
端会通过向客户端定期发送握手报文的方法,对用户的在线情况进行监测。缺省情况下,两次握手请求报文都得不到客户端应答,设备端就会让用户下线,防止用户因为异常原因下线而设备无法感知。
(8) 客户端也可以发送EAPOL-Logoff报文给设备端,主动要求下线。设备端把端口状态从授权状
态改变成未授权状态,并向客户端发送EAP-Failure报文。
EAP中继方式下,需要保证在客户端和RADIUS服务器上选择一致的EAP认证方法,而在设备上,只需要通过dot1x authentication-method eap命令启动EAP中继方式即可。
2. EAP终结方式
这种方式将EAP报文在设备端终结并映射到RADIUS报文中,利用标准RADIUS协议完成认证、授权和计费。设备端与RADIUS服务器之间可以采用PAP或者CHAP认证方法。以下以CHAP认证方法为例介绍基本业务流程,如图1-9所示。
图1-9IEEE 802.1X认证系统的EAP终结方式业务流程
EAP终结方式与EAP中继方式的认证流程相比,不同之处在于用来对用户密码信息进行加密处理的随机加密字由设备端生成,之后设备端会把用户名、随机加密字和客户端加密后的密码信息一起送给RADIUS服务器,进行相关的认证处理。
1.1.8 80
2.1X的接入控制方式
设备不仅支持协议所规定的基于端口的接入认证方式,还对其进行了扩展、优化,支持基于MAC 的接入控制方式。
z当采用基于端口的接入控制方式时,只要该端口下的第一个用户认证成功后,其它接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其它用户也会被拒绝使用网络。
z采用基于MAC的接入控制方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
1.1.9 80
2.1X的定时器
802.1X认证过程中会启动多个定时器以控制接入用户、设备以及RADIUS服务器之间进行合理、有序的交互。802.1X的定时器主要有以下几种:
z用户名请求超时定时器(tx-period):该定时器定义了两个时间间隔。其一,当设备端向客户端发送EAP-Request/Identity请求报文后,设备端启动该定时器,若在tx-period设置的时
间间隔内,设备端没有收到客户端的响应,则设备端将重发认证请求报文;其二,为了兼容不
主动发送EAPOL-Start连接请求报文的客户端,设备会定期组播EAP-Request/Identity请求
报文来检测客户端。tx-period定义了该组播报文的发送时间间隔。
z客户端认证超时定时器(supp-timeout):当设备端向客户端发送了EAP-Request/MD5 Challenge请求报文后,设备端启动此定时器,若在该定时器设置的时长内,设备端没有收到
客户端的响应,设备端将重发该报文。
z认证服务器超时定时器(server-timeout):当设备端向认证服务器发送了RADIUS Access-Request请求报文后,设备端启动server-timeout定时器,若在该定时器设置的时长
内,设备端没有收到认证服务器的响应,设备端将重发认证请求报文。
z握手定时器(handshake-period):此定时器是在用户认证成功后启动的,设备端以此间隔为周期发送握手请求报文,以定期检测用户的在线情况。如果配置发送次数为N,则当设备端
连续N次没有收到客户端的响应报文,就认为用户已经下线。
z静默定时器(quiet-period):对用户认证失败以后,设备端需要静默一段时间(该时间由静默定时器设置),在静默期间,设备端不处理该用户的认证请求。
1.1.10 和80
2.1X配合使用的特性
1. VLAN下发
802.1X用户在服务器上通过认证时,服务器会把授权信息传送给设备端。如果服务器上配置了下发VLAN功能,则授权信息中含有授权下发的VLAN信息,设备根据用户认证上线的端口链路类型,按以下三种情况将端口加入下发VLAN中。
z端口的链路类型为Access,当前Access端口离开用户配置的VLAN并加入授权下发的VLAN 中。
z端口的链路类型为Trunk,设备允许授权下发的VLAN通过当前Trunk端口,并且端口的缺省VLAN ID为下发VLAN的VLAN ID。
z端口的链路类型为Hybrid,设备允许授权下发的VLAN以不携带Tag的方式通过当前Hybrid 端口,并且端口的缺省VLAN ID为下发VLAN的VLAN ID。需要注意的是,若当前Hybrid
端口上配置了基于MAC的VLAN,则设备将根据认证服务器下发的授权VLAN动态地创建基
于用户MAC的VLAN,而端口的缺省VLAN ID并不改变。
授权下发的VLAN并不改变端口的配置,也不影响端口的配置。但是,授权下发的VLAN的优先级高于用户配置的VLAN,即通过认证后起作用的VLAN是授权下发的VLAN,用户配置的VLAN在用户下线后生效。
关于不同端口链路类型下VLAN的具体配置请参见“接入分册”中的“VLAN配置”。
z对于Hybrid端口,如果授权下发的VLAN已经配置为携带Tag的方式加入端口,则VLAN下发失败。
z对于Hybrid端口,在VLAN下发之后,不能将授权下发的VLAN配置修改为携带Tag的方式。
2. Guest VLAN
Guest VLAN功能允许用户在未认证或者认证失败的情况下,可以访问某一特定VLAN中的资源,比如获取客户端软件,升级客户端或执行其他一些用户升级程序。这个缺省VLAN称之为Guest VLAN。
根据端口的接入控制方式可以将Guest VLAN划分为两类:
z当端口的接入控制方式为portbased时,支持基于端口的Guest VLAN (Port-based Guest VLAN),简称PGV;
z当端口的接入控制方式为macbased时,支持基于MAC的Guest VLAN (MAC-based Guest VLAN),简称MGV。
目前,S3610 & 5510系列以太网交换机的Guest VLAN功能仅支持基于端口的Guest VLAN (Port-based Guest VLAN),简称PGV。
配置了PGV的端口上,在一定的时间内(默认90秒)若无客户端认证成功,则该端口会被加入到Guest VLAN,所有在该端口接入的用户将被授权访问Guest VLAN里的资源。
与VLAN下发类似,配置了PGV的端口将按照各自的链路类型情况被加入到Guest VLAN内。此时Guest VLAN中端口下的用户发起认证,如果认证失败,该端口将会仍然处在Guest VLAN内;如果认证成功,端口会离开Guest VLAN,之后加入的VLAN分为以下两种情况:
z若认证服务器下发VLAN,则端口加入下发的VLAN中。用户下线后,端口会回到配置的VLAN 中(加入Guest VLAN之前所在的VLAN,即“初始VLAN”)。
z若认证服务器不下发VLAN,则端口加入配置的VLAN中。用户下线后,端口仍在配置的VLAN 中。
3. ACL下发
ACL(Access Control List,访问控制列表)提供了控制用户访问网络资源和限制用户访问权限的功能。当用户上线时,如果RADIUS服务器上配置了授权ACL,则设备会根据服务器下发的授权ACL对用户所在端口的数据流进行控制;在服务器上配置授权ACL之前,需要在设备上配置相应的规则。管理员可以通过改变服务器的授权ACL设置或设备上对应的ACL规则来改变用户的访问权限。
4. 指定端口的强制认证域
指定端口的强制认证域(mandatory domain)为802.1X接入提供了一种安全控制策略。所有从该端口接入的802.1X用户将被强制使用该认证域来进行认证、授权和计费,可以防止用户通过恶意假冒其它域账号来接入网络。
另外,对于采用证书的EAP中继方式的802.1X认证来说,接入用户的客户端证书决定了用户的域名。因此,即使所有端口上客户端的用户证书隶属于同一证书颁发机构,即输入的用户域名相同,管理员也可以通过配置强制认证域对不同端口指定不同的认证域,从而增加了管理员部署802.1X 接入策略的灵活性。
1.2 配置80
2.1X
1.2.1 配置准备
802.1X提供了一个用户身份认证的实现方案,但是仅仅依靠802.1X是不足以实现该方案的。接入设备的管理者选择使用RADIUS或本地认证方法,以配合802.1X完成用户的身份认证。因此,需要首先完成以下配置任务:
z配置802.1X用户所属的ISP认证域及及其使用的AAA方案,即本地认证方案或RADIUS方案。
z如果需要通过RADIUS服务器进行认证,则应该在RADIUS服务器上配置相应的用户名和密码。
z如果需要本地认证,则应该在设备上手动添加认证的用户名和密码。配置本地认证时,用户使用的服务类型必须设置为lan-access。
RADIUS客户端的具体配置请参见“安全分册”中的“AAA配置”。
1.2.2 配置全局802.1X
表1-2配置全局802.1X
配置步骤命令说明进入系统视图system-view -
开启全局的802.1X特性dot1x 必选
缺省情况下,全局的802.1X特性为关闭状态
设置802.1X用户的认证方法dot1x authentication-method
{ chap | eap | pap }
可选
缺省情况下,设备对802.1X用户的认
证方法为CHAP认证
设置端口接入控制的模式dot1x port-control
{ authorized-force | auto |
unauthorized-force } [ interface
interface-list ]
可选
缺省情况下,802.1X在端口上进行接
入控制的模式为auto
设置端口接入控制方式dot1x port-method { macbased |
portbased } [ interface
interface-list ]
可选
缺省情况下,802.1X在端口上进行接
入控制方式为macbased
配置端口控制
设置端口同时接入用户数量的最大值dot1x max-user user-number
[ interface interface-list ]
可选
缺省情况下,端口同时接入用户数量
最大值为256
设置设备向接入用户发送认证请求报文的最大次数dot1x retry max-retry-value
可选
缺省情况下,max-retry-value为2,
即设备最多可向接入用户发送2次认
证请求报文
配置步骤
命令
说明
配置定时器参数
dot1x timer { handshake-period handshake-period-value |
quiet-period quiet-period-value | server-timeout
server-timeout-value |
supp-timeout supp-timeout-value | tx-period tx-period-value }
可选 缺省情况下:
z 握手定时器的值为15秒 z 静默定时器的值为60秒 z
认证服务器超时定时器的值为100秒
z
客户端认证超时定时器的值为30秒
z
用户名请求超时定时器的值为30秒
开启静默定时器功能
dot1x quiet-period
可选
缺省情况下,静默定时器功能处于关闭状态 使能全局的对通过代理登录设备的用户的检测及控制 dot1x supp-proxy-check { logoff | trap } [ interface interface-list ]
可选
缺省情况下,没有设置设备对通过代理登录的用户的检测及接入控制
z 只有同时开启全局和端口的802.1X 特性后,802.1X 的配置才能在端口上生效。
z
开启端口的802.1X 特性与配置端口控制(设置端口接入控制的模式、端口接入控制方式、端口同时接入用户数量的最大值)也可在二层以太网端口视图下进行,具体配置请参见表1-3和表1-4。全局配置与端口配置并无优先级之分,仅是作用范围不一致,后配置的参数会覆盖已有的参数。
z
必须同时开启全局和指定端口的代理用户检测与控制,此特性的配置才能在该端口上生效。另外,该功能的实现需要H3C 802.1X 客户端程序的配合。
z
一般情况下,用户无需使用dot1x timer 命令改变部分定时器值,除非在一些特殊或恶劣的网络环境下,可以使用该命令调节交互进程。例如,用户网络状况比较差的情况下,可以适当地将客户端认证超时定时器值调大一些;网络处在风险位置,容易受攻击的情况下,可以适当地将静默定时器值调大一些,反之,可以将其调小一些来提高对用户认证请求的响应速度。另外,可以通过调节认证服务器超时定时器的值来适应认证服务器性能的不同情况。
1.2.3 配置端口的802.1X
1. 开启端口80
2.1X 特性
表1-3 开启端口802.1X 特性
配置步骤
命令
说明
进入系统视图
system-view
-
在系统视图下
dot1x interface interface-list
interface interface-type interface-number 开启端口的802.1X 特性
在二层以太网端口视图下
dot1x
二者必选其一
缺省情况下,端口的802.1X 特性为关闭状态
2. 配置端口802.1X参数
表1-4配置端口802.1X参数
配置步骤命令说明
进入系统视图system-view
-
进入二层以太网端口视图interface interface-type
interface-number
-
设置端口接入控制的模式dot1x port-control
{ authorized-force | auto |
unauthorized-force }
可选
缺省情况下,802.1X在端口上进行
接入控制的模式为auto
设置端口接入控制方式dot1x port-method { macbased |
portbased }
可选
缺省情况下,802.1X在端口上进行
接入控制方式为macbased
设置端口同时接入用户数量的最大值dot1x max-user user-number
可选
缺省情况下,端口同时接入用户数量
最大值为256
开启在线用户握手功能dot1x handshake 可选
缺省情况下,开启在线用户握手功能
使能端口对通过代理登录设备的用户的检测及控制dot1x supp-proxy-check { logoff |
trap }
可选
缺省情况下,没有设置设备对通过代
理登录的用户的检测及接入控制
开启组播触发功能dot1x multicast-trigger 可选
缺省情况下,组播触发功能处于开启状态
配置端口的强制认证域dot1x mandatory-domain
domain-name
可选
缺省情况下,未定义强制认证域
z802.1X的代理检测功能依赖于在线用户握手功能。在配置代理检测功能之前,必须先开启在线用户握手功能。关闭在线用户握手功能之前,必须先关闭配置代理检测功能。
z端口启动802.1X与端口加入聚合组及端口加入业务环回组互斥。
z对于802.1X用户,如果采用EAP中继认证方式,则设备会把客户端输入的内容直接封装后发给服务器,这种情况下user-name-format命令的设置无效,user-name-format的介绍请参见“安全分册”中的“AAA命令”。
z如果802.1X客户端配置的用户名携带版本号或者用户名中存在空格,则无法通过用户名来检索和切断用户连接,但是通过其他方式(如IP地址、连接索引号等)仍然可以检索和切断用户的连接。
z若端口启动了802.1X的组播触发功能,则该端口会定期向客户端发送组播触发报文来启动认证。z在用户端设备发送不携带Tag数据流的情况下,接入端口的Voice VLAN功能与802.1X功能互斥。关于Voice VLAN特性请参见“接入分册”中的“VLAN配置”。
1.3 配置80
2.1X 的Guest VLAN
1.3.1 配置准备
z 开启802.1X 特性。
z 配置端口上进行接入控制的方式为portbased ,且保证802.1X 的组播触发功能处于开启状态。 z 配置端口上进行接入控制的模式为auto 。 z
已经创建需要配置为Guest VLAN 的VLAN 。
1.3.2 配置Guest VLAN
表1-5 配置Guest VLAN
配置步骤
命令
说明
进入系统视图
system-view
-
在系统视图下
dot1x guest-vlan guest-vlan-id [ interface interface-list ] interface interface-type interface-number
配置指定端口的Guest VLAN
在二层以太网端口视图下
dot1x guest-vlan guest-vlan-id
二者必选其一
缺省情况下,端口没有配置Guest VLAN
z
当端口的接入控制方式为portbased 时,Guest VLAN 才能生效;若端口的接入控制为macbased ,Guest VLAN 能够配置成功,但不生效。
z 不同的端口可以配置不同的Guest VLAN ,但一个端口只能配置一个Guest VLAN 。 z Guest VLAN 与EAD 快速部署的Free IP 配置互斥。
z
可以指定携带Tag 方式的VLAN 为Hybrid 端口的Guest VLAN ,但该Guest VLAN 不会生效。同样当Hybrid 端口的Guest VLAN 生效后,则不能再配置该Guest VLAN 为携带Tag 方式的VLAN 。
如果用户端设备发出的是携带Tag 的数据流,且接入端口上使能了802.1X 认证和Guest VLAN ,为保证各种功能的正常使用,请为Voice VLAN 、端口的缺省VLAN 和802.1X 的Guest VLAN 分配不同的VLAN ID 。
1.4 80
2.1X 显示和维护
在完成上述配置后,在任意视图下执行display 命令可以显示配置后802.1X 的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset 命令可以清除802.1X 的统计信息。
表1-6802.1X配置的显示和维护
操作命令
显示802.1X的会话连接信息、相关统计
display dot1x [ sessions | statistics ] [ interface interface-list ] 信息或配置信息
清除802.1X的统计信息reset dot1x statistics [ interface interface-list ]
1.5 80
2.1X典型配置举例
1. 组网需求
z要求在端口Ethernet1/0/1上对接入用户进行认证,以控制其访问Internet;接入控制方式要求是基于MAC地址的接入控制。
z所有接入用户都属于一个缺省的域:https://www.doczj.com/doc/299552368.html,,该域最多可容纳30个用户;认证时,先进行RADIUS认证,如果RADIUS服务器没有响应再转而进行本地认证;计费时,如果RADIUS
计费失败则切断用户连接使其下线。
z由两台RADIUS服务器组成的服务器组与交换机相连,其IP地址分别为10.1.1.1和10.1.1.2,使用前者作为主认证/备份计费服务器,使用后者作为备份认证/主计费服务器。
z设置系统与认证RADIUS服务器交互报文时的共享密钥为name、与计费RADIUS服务器交互报文时的共享密钥为money。
z设置系统在向RADIUS服务器发送报文后5秒种内如果没有得到响应就向其重新发送报文,发送报文的次数总共为5次,设置系统每15分钟就向RADIUS服务器发送一次实时计费报文。
z设置系统从用户名中去除用户域名后再将之传给RADIUS服务器。
z本地802.1X接入用户的用户名为localuser,密码为localpass,使用明文输入;闲置切断功能处于打开状态,正常连接时用户空闲时间超过20分钟,则切断其连接。
2. 组网图
图1-10802.1X认证典型组网图
3. 配置步骤
下述各配置步骤包含了大部分AAA/RADIUS协议配置命令,对这些命令的介绍,请参见“安全分册”中的“AAA配置”。此外,802.1X客户端和RADIUS服务器上的配置略。
# 配置各接口的IP地址(略)。
# 添加本地接入用户,启动闲置切断功能并设置相关参数。
[Switch] local-user localuser
[Switch-luser-localuser] service-type lan-access
[Switch-luser-localuser] password simple localpass
[Switch-luser-localuser] authorization-attribute idle-cut 20
[Switch-luser-localuser] quit
# 创建RADIUS方案radius1并进入其视图。
[Switch] radius scheme radius1
# 设置主认证/计费RADIUS服务器的IP地址。
[Switch-radius-radius1] primary authentication 10.1.1.1
[Switch-radius-radius1] primary accounting 10.1.1.2
# 设置备份认证/计费RADIUS服务器的IP地址。
[Switch-radius-radius1] secondary authentication 10.1.1.2
[Switch-radius-radius1] secondary accounting 10.1.1.1
# 设置系统与认证RADIUS服务器交互报文时的共享密钥。
[Switch-radius-radius1] key authentication name
# 设置系统与计费RADIUS服务器交互报文时的共享密钥。
[Switch-radius-radius1] key accounting money
# 设置系统向RADIUS服务器重发报文的时间间隔与次数。
[Switch-radius-radius1] timer response-timeout 5
[Switch-radius-radius1] retry 5
# 设置系统向RADIUS服务器发送实时计费报文的时间间隔。
[Switch-radius-radius1] timer realtime-accounting 15
# 指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。
[Switch-radius-radius1] user-name-format without-domain
[Switch-radius-radius1] quit
# 创建域https://www.doczj.com/doc/299552368.html,并进入其视图。
[Switch] domain https://www.doczj.com/doc/299552368.html,
# 指定radius1为该域用户的RADIUS方案,并采用local作为备选方案。
[https://www.doczj.com/doc/299552368.html,] authentication default radius-scheme radius1 local
[https://www.doczj.com/doc/299552368.html,] authorization default radius-scheme radius1 local
[https://www.doczj.com/doc/299552368.html,] accounting default radius-scheme radius1 local
# 设置该域最多可容纳30个用户。
[https://www.doczj.com/doc/299552368.html,] access-limit enable 30
# 启动闲置切断功能并设置相关参数。
[https://www.doczj.com/doc/299552368.html,] idle-cut enable 20
[https://www.doczj.com/doc/299552368.html,] quit
# 配置域https://www.doczj.com/doc/299552368.html,为缺省用户域。
[Switch] domain default enable https://www.doczj.com/doc/299552368.html,
# 开启全局802.1X特性。
[Switch] dot1x
# 开启指定端口Ethernet1/0/1的802.1X特性。
[Switch] interface ethernet 1/0/1
[Switch-Ethernet1/0/1] dot1x
[Switch-Ethernet1/0/1] quit
# 设置接入控制方式(该命令可以不配置,因为端口的接入控制在缺省情况下就是基于MAC地址的)。
[Switch] dot1x port-method macbased interface ethernet 1/0/1
1.6 Guest VLAN、VLAN下发的典型配置举例
1. 组网需求
如图1-11所示,一台主机通过802.1X认证接入网络,认证服务器为RADIUS服务器。Host接入Switch 的端口Ethernet1/0/2在VLAN 1内;认证服务器在VLAN 2内;Update Server是用于客户端软件下载和升级的服务器,在VLAN 10内;Switch连接Internet网络的端口Ethernet1/0/3在VLAN 5内。
图1-11Guest VLAN典型组网图
如图1-12所示,在Ethernet1/0/2上开启802.1X特性并设置VLAN 10为端口的Guest VLAN,当设
备从端口发送触发认证报文(EAP-Request/Identity)超过设定的最大次数而没有收到任何回应报文后,Ethernet1/0/2被加入Guest VLAN中,此时Host和Update Server都在VLAN 10内,Host可以访问Update Server并下载802.1X客户端。
图1-12端口加入Guest VLAN
如图1-13所示,当用户认证成功上线,认证服务器下发VLAN 5。此时Host和Ethernet1/0/3都在VLAN 5内,Host可以访问Internet。
图1-13用户上线,VLAN下发
Update server
2. 配置步骤
下述各配置步骤包含了大部分AAA/RADIUS协议配置命令,对这些命令的介绍,请参见“安全分册”中的“AAA配置”。此外,802.1X客户端和RADIUS服务器上的配置略。
# 配置RADIUS方案2000。
[Switch] radius scheme 2000
[Switch-radius-2000] primary authentication 10.11.1.1 1812
[Switch-radius-2000] primary accouting 10.11.1.1 1813
[Switch-radius-2000] key authentication abc
[Switch-radius-2000] key accouting abc
[Switch-radius-2000] user-name-format without-domain
[Switch-radius-2000] quit
# 配置认证域system,该域使用已配置好的RADIUS方案2000。
[Switch] domaim system
[Switch-isp-system] authentication default radius-scheme 2000
[Switch-isp-system] authorization default radius-scheme 2000
[Switch-isp-system] accounting default radius-scheme 2000
[Switch-isp-system] quit
# 开启全局802.1X特性。
[Switch] dot1x
# 开启指定端口的802.1X特性。
[Switch] interface ethernet 1/0/2
[Switch-ethernet1/0/2] dot1x
# 配置端口上进行接入控制的方式为portbased。
[Switch-ethernet1/0/2] dot1x port-method portbased
# 配置端口上进行接入控制的模式为auto。
[Switch-ethernet1/0/2] dot1x port-control auto
[Switch-ethernet1/0/2] quit
# 创建VLAN 10。
[Switch] vlan 10
[Switch-vlan10] quit
# 配置指定端口的Guest VLAN。
[Switch] dot1x guest-vlan 10 interface ethernet 1/0/2
通过命令display current-configuration或者display interface ethernet 1/0/2可以查看Guest VLAN配置情况。在没有用户上线、用户认证失败或用户成功下线等情况下,设备发送触发认证报文(EAP-Request/Identity)超过设定的最大次数时,通过命令display vlan 10可以查看端口配置的Guest VLAN是否生效;在用户认证成功之后,通过display interface ethernet 1/0/2可以看到用户接入的端口Ethernet1/0/2加入了认证服务器下发的VLAN 5中。
1.7 下发ACL典型配置举例
1. 组网需求
如图1-14所示,主机Host通过802.1X认证接入网络,认证服务器为RADIUS服务器。Internet网络中有一台FTP服务器,IP地址为10.0.0.1。
z在认证服务器上配置授权下发ACL 3000。
z在Switch的Ethernet1/0/1上开启802.1X认证,并配置ACL 3000。
当用户认证成功上线,认证服务器下发ACL 3000。此时ACL 3000在Ethernet1/0/1上生效,Host 可以访问Internet,但不能访问FTP服务器。