14-802.1x-HABP操作

华为交换机802.1X配置1 功能需求及组网说明『配置环境参数』1. 交换机vlan10包含端口E0/1-E0/10接口地址10.10.1.1/242. 交换机vlan20包含端口E0/11-E0/20接口地址10.10.2.1/243. 交换机vlan100包含端口G1/1接口地址192.168.0.1/244. RADIUS server地址为192.168.0.100/245. 本例中交换机为三层交换机『组网需求』1. PC1和PC2能够通过交换机本地认证上网2. PC1和PC2能够通过RADIUS认证上网2 数据配置步骤『802.1X本地认证流程』用户输入用户名和密码，报文送达交换机端口，此时交换机相应端口对于此用户来说是非授权状态，报文打上相应端口的PVID，然后根据用户名所带域名送到相应域中进行认证，如果没有带域名就送到缺省域中进行认证，如果存在相应的用户名和密码，就返回认证成功消息，此时端口对此用户变为授权状态，如果用户名不存在或者密码错误等，就返回认证不成功消息，端口仍然为非授权状态。

【SwitchA相关配置】1. 创建（进入）vlan10[SwitchA]vlan 102. 将E0/1-E0/10加入到vlan10[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/103. 创建（进入）vlan10的虚接口[SwitchA]interface Vlan-interface 104. 给vlan10的虚接口配置IP地址[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.05. 创建（进入）vlan20[SwitchA-vlan10]vlan 206. 将E0/11-E0/20加入到vlan20[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/207. 创建（进入）vlan20虚接口[SwitchA]interface Vlan-interface 208. 给vlan20虚接口配置IP地址[SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.09. 创建（进入）vlan100[SwitchA]vlan 10010. 将G1/1加入到vlan100[SwitchA-vlan100]port GigabitEthernet 1/111. 创建进入vlan100虚接口[SwitchA]interface Vlan-interface 10012. 给vlan100虚接口配置IP地址[SwitchA-Vlan-interface100]ip address 192.168.0.1 255.255.255.0【802.1X本地认证缺省域相关配置】1. 在系统视图下开启802.1X功能，默认为基于MAC的认证方式[SwitchA]dot1x2. 在E0/1-E0/10端口上开启802.1X功能，如果dot1x interface 后面不加具体的端口，就是指所有的端口都开启802.1X[SwitchA]dot1x interface eth 0/1 to eth 0/103. 这里采用缺省域system，并且缺省域引用缺省radius方案system。

19802.1X配置本章节描述基于AAA服务配置的相关内容。

802.1x用于控制用户对网络访问的认证，并对其提供授权与记帐功能。

本节包含如下内容：⏹19.1概述⏹19.2配置802.1X⏹19.3查看802.1x 的配置及当前的统计值⏹19.4配置802.1x 其它注意事项说明有关本节引用的CLI命令的详细使用信息及说明，请参照《配置802.1X命令》。

19.1概述IEEE 802 LAN 中，用户只要能接到网络设备上，不需要经过认证和授权即可直接使用。

这样，一个未经授权的用户，他可以没有任何阻碍地通过连接到局域网的设备进入网络。

随着局域网技术的广泛应用，特别是在运营网络的出现，对网络的安全认证的需求已经提到了议事日程上。

如何在以太网技术简单、廉价的基础上，提供用户对网络或设备访问合法性认证，已经成为业界关注的焦点。

IEEE802.1x 协议正是在这样的背景下提出的。

IEEE802.1x（Port-Based Network Access Control）是一个基于端口的网络存取控制标准，为LAN提供点对点式的安全接入。

这是IEEE标准委员会针对以太网的安全缺陷而专门制定的标准，能够在利用IEEE 802 LAN优势的基础上，提供一种对连接到局域网设备的用户进行认证的手段。

IEEE 802.1x 标准定义了一种基于“客户端——服务器”（Client-Server）模式实现了限制未认证用户对网络的访问。

客户端要访问网络必须先通过服务器的认证。

在客户端通过认证之前，只有EAPOL报文（Extensible Authentication Protocol overLAN）可以在网络上通行。

在认证成功之后，正常的数据流便可在网络上通行。

应用802.1x我司的设备提供了Authentication，Authorization，and Accounting三种安全功能，简称AAA。

⏹Authentication：认证，用于判定用户是否可以获得访问权，限制非法用户；⏹Authorization：授权，授权用户可以使用哪些服务，控制合法用户的权限；⏹Accounting：计账，记录用户使用网络资源的情况，为收费提供依据。

802.1x工作原理1实现功能随着以太网建设规模的迅速扩大，网络上原有的认证系统已经不能很好的适应用户数量急剧增加和宽带业务多样性的要求，造成网络终端接入管理混乱。

大量被植入木马、病毒的机器随便接入网络，给网络内部资料的保密，和终端安全的管理带来极大考验。

在此背景下IEEE推出 802.1x协议，它是目前业界最新的标准接入认证协议。

802.1X 的出现结束了非法用户未经授权就能随意进入内部网络的状况，为企业内部安全架起一道强有力的基础安全保障。

2总体流程下面我们介绍802.1X协议的原理、认证过程及配置流程。

2.1802.1X原理分析802.1x协议起源于802.11协议，后者是IEEE的无线局域网协议，制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。

IEEE802LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制设备（如LANS witch)，就可以访问局域网中的设备或资源。

这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。

但是随着移动办公及驻地网运营等应用的大规模发展，服务提供者需要对用户的接入进行控制和配置。

尤其是WLAN的应用和LAN接入在电信网上大规模开展，有必要对端口加以控制以实现用户级的接入控制，802.lx就是IEEE为了解决基于端口的接入控制（Port-Based Network Access Contro1）而定义的一个标准。

IEEE 802.1X是根据用户ID或设备，对网络客户端（或端口）进行鉴权的标准。

该流程被称为“端口级别的鉴权”。

它采用RADIUS（远程认证拨号用户服务）方法，并将其划分为三个不同小组：请求方、认证方和授权服务器。

820.1X 标准应用于试图连接到端口或其它设备（如Cisco Catalyst交换机或Cisco Aironet系列接入点)（认证方）的终端设备和用户（请求方）。

认证和授权都通过鉴权服务器（如Cisco Secure ACS)后端通信实现。

交换机802.1x配置1、802.1X，端口认证，dot1x，也称为IBNS(注：IBNS包括port-security)：基于身份的网络安全；当流量来到某个端口，需要和ACS交互，认证之后得到授权，才可以访问网络，前提是CLIENT必须支持802.1X 方式，如安装某个软件Extensible Authentication Protocol OverLan(EAPOL) 使用这个协议来传递认证授权信息示例配置：Router#configure terminalRouter(config)#aaa new-modelRouter(config)#aaa authentication dot1x default group radiusSwitch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkeyRouter(config)#dot1x system-auth-control 起用DOT1X功能Router(config)#interface fa0/0Router(config-if)#dot1x port-control autoAUTO是常用的方式，正常的通过认证和授权过程强制授权方式：不通过认证，总是可用状态强制不授权方式：实质上类似关闭了该接口，总是不可用可选配置：Switch(config)#interface fa0/3Switch(config-if)#dot1x reauthenticationSwitch(config-if)#dot1x timeout reauth-period 7200 //2小时后重新认证Switch#dot1x re-authenticate interface fa0/3 //现在重新认证，注意：如果会话已经建立，此方式不断开会话Switch#dot1x initialize interface fa0/3 //初始化认证，此时断开会话Switch(config)#interface fa0/3Switch(config-if)#dot1x timeout quiet-period 45 //45秒之后才能发起下一次认证请求Switch(config)#interface fa0/3Switch(config-if)#dot1x timeout tx-period 90 默认是30SSwitch(config-if)#dot1x max-req count 4 //客户端需要输入认证信息，通过该端口应答AAA服务器，如果交换机没有收到用户的这个信息，交换机发给客户端的重传信息，30S发一次，共4次Switch#configure terminalSwitch(config)#interface fastethernet0/3Switch(config-if)#dot1x port-control autoSwitch(config-if)#dot1x host-mode multi-host //默认是一个主机，当使用多个主机模式，必须使用AUTO方式授权，当一个主机成功授权，其他主机都可以访问网络；当授权失败，例如重认证失败或LOG OFF，所有主机都不可以使用该端口Switch#configure terminalSwitch(config)#dot1x guest-vlan supplicantSwitch(config)#interface fa0/3Switch(config-if)#dot1x guest-vlan 2 //未得到授权的进入VLAN2，提供了灵活性注意：1、VLAN2必须是在本交换机激活的，计划分配给游客使用；2、VLAN2信息不会被VTP传递出去Switch(config)#interface fa0/3Switch(config-if)#dot1x default //回到默认设置show dot1x [all] | [interface interface-id] | [statistics interface interface-id] [{ | begin | exclude | include} expression] Switch#sho dot1x allDot1x Info for interface FastEthernet0/3----------------------------------------------------Supplicant MAC 0040.4513.075bAuthSM State = AUTHENTICATEDBendSM State = IDLEPortStatus = AUTHORIZEDMaxReq = 2HostMode = SinglePort Control = AutoQuietPeriod = 60 SecondsRe-authentication = EnabledReAuthPeriod = 120 SecondsServerTimeout = 30 SecondsSuppTimeout = 30 SecondsTxPeriod = 30 SecondsGuest-Vlan = 0debug dot1x {errors | events | packets | registry | state-machine | all}。

HABPHABP简介HABP（HW Bypass Protocol，HW旁路认证协议）是一种链路层应用协议，工作在MAC层之上，其主要作用是让802.1X接入端设备的下游设备直接通过认证。

HABP可以在接入、银行、电力、学校、企业内部管理等多种场合得到应用，一般用于园区、企业等局域网接入层。

特别是，当集群功能和802.1X功能（或MAC地址认证）同时启动时，需要启动设备的HABP功能，如果不启动设备的HABP功能，管理设备将不能对下挂的设备进行管理。

Supplicant Supplicant图1802.1X认证典型组网图如图1所示，802.1X认证端设备Switch A下挂接入设备Switch B和Switch C。

在Switch A及其连接下游设备的端口上启动802.1X认证，终端用户可以通过主机上的802.1X客户端进行认证。

在这种情况下，如果网络设备Switch B和Switch D之间也需要通信，则它们之间的报文在经过Switch A的时候就必须通过802.1X认证。

但是设备上通常不支持802.1X客户端，所以需要一种简单的机制让网络设备也可以通过802.1X认证。

HABP特性就可以解决以上问题，能帮助一些链路层报文穿过802.1X和MAC地址认证，在不影响认证体系正常功能的情况下，实现非终端用户的网络连接设备穿过认证，完成必要的网络设备间协议通信的功能。

HABP协议采用Server/Client结构，每台设备同一时间只能成为一种角色，Server 或Client。

HABP server一般应该在管理设备上启动，例如上图中的Switch A；HABP client应该在下挂的被管理的交换机上启动，例如上图中的Switch B、Switch C、Switch D和Switch E。

通常Server会定期向Client发送HABP请求报文，收集下挂交换机MAC地址，形成HABP表项。

而Client会对请求报文进行应答，同时向下层交换机转发HABP请求报文。

搭建802.1X接入认证环境配置教程Jean.h_wang(1006568)2014-12-18Revision History目录1.环境介绍 (5)2. Radius服务器端的搭建和配置 (6)2.1 EAP-PEAP认证服务器环境搭建 (6)2.1.1 安装前准备 (6)2.1.2 默认域安全设置 (8)2.1.3 配置Active Directory 用户和计算机 (9)2.1.4 设置自动申请证书 (16)2.1.5 配置Internet验证服务（IAS） (19)2.1.5-1 配置Radius客户端 (20)2.1.5-2 配置远程访问记录 (21)2.1.5-3 配置远程访问策略 (22)2.1.5-4 配置连接请求策略 (28)2.1.6 配置Radius认证客户端（TP-Link路由器） (29)2.1.7 Mobile-PEAP验证 (30)2.2 EAP-TLS认证服务器搭建 (31)2.2.1 创建访问策略 (31)2.2.2 编辑访问策略 (34)2.2.3 创建访问用户 (36)2.2.4 生成用户证书 (37)2.2.5 导出CA证书和User证书 (38)2.2.6 Mobile-TLS验证 (39)2.3 EAP-TTLS认证服务器搭建 (40)2.3.1 安装Odyssey server (40)2.3.2 配置Odyssey server (41)2.3.3 Mobile-TTLS验证 (44)1. 环境介绍在真实环境下，802.1x认证的网络拓扑结构如下图：为了测试用，搭建Radius服务器测试环境如下图，Radius服务器采用Windows 2003系统，Radius客户端采用TP-Link路由器：2. Radius服务器端的搭建和配置2.1 EAP-PEAP认证服务器环境搭建2.1.1 安装前准备A) 安装DNS服务（为安装活动目录做准备的，活动目录必须先安装DNS）[步骤]：开始→控制面板→添加或删除程序→添加/删除windows组件→进入网络服务→选中“域名系统（DNS）”。

802.1x工作过程及技术详解802.1x协议是基于Client/Server的访问控制和认证协议。

它可以限制未经授权的用户/设备通过接入端口访问LAN/WLAN。

在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。

在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

网络访问技术的核心部分是PAE（端口访问实体）。

在访问控制流程中，端口访问实体包含3部分：认证者--对接入的用户/设备进行认证的端口；请求者--被认证的用户/设备；认证服务器--根据认证者的信息，对请求访问网络资源的用户/设备进行实际认证功能的设备。

以太网的每个物理端口被分为受控和不受控的两个逻辑端口，物理端口收到的每个帧都被送到受控和不受控端口。

对受控端口的访问，受限于受控端口的授权状态。

认证者的PAE 根据认证服务器认证过程的结果，控制"受控端口"的授权/未授权状态。

处在未授权状态的控制端口将拒绝用户/设备的访问。

1.802.1x认证特点基于以太网端口认证的802.1x协议有如下特点：IEEE802.1x协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本；借用了在RAS系统中常用的EAP（扩展认证协议），可以提供良好的扩展性和适应性，实现对传统PPP认证架构的兼容；802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能，从而可以实现业务与认证的分离，由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制，业务报文直接承载在正常的二层报文上通过可控端口进行交换，通过认证之后的数据包是无需封装的纯数据包；可以使用现有的后台认证系统降低部署的成本，并有丰富的业务支持；可以映射不同的用户认证等级到不同的VLAN；可以使交换端口和无线LAN具有安全的认证接入功能。

802.1x配置命令⽬录H3C S2126-EI以太⽹交换机命令⼿册-Release22XX系列(V1.00)?01-命令⾏接⼝命令02-登录交换机命令03-配置⽂件管理命令04-VLAN命令05-配置管理VLAN命令06-IP地址-IP性能命令07-GVRP命令08-端⼝基本配置命令09-端⼝汇聚命令10-端⼝隔离命令11-端⼝安全命令12-MAC地址转发表管理命令13-MSTP命令14-组播协议命令15-802.1x及System-Guard命令16-AAA命令17-MAC地址认证命令18-ARP命令19-DHCP命令20-ACL命令21-QoS命令22-镜像命令23-Cluster命令24-SNMP-RMON命令25-NTP命令26-SSH命令27-⽂件系统管理命令28-FTP-SFTP-TFTP命令29-信息中⼼命令30-系统维护与调试命令31-VLAN-VPN命令32-HWPing命令33-IPv6管理命令34-LLDP命令35-域名解析命令36-PKI命令37-SSL命令38-HTTPS命令39-附录、H3C S2126-EI以太⽹交换机命令⼿册-Release22XX系列(V1.00)本章节下载(253.62 KB)15-802.1x及System-Guard命令⽬录1 802.1x配置命令1.1 802.1x配置命令1.1.1 display dot1x1.1.2 dot1x1.1.3 dot1x authentication-method1.1.4 dot1x dhcp-launch1.1.5 dot1x guest-vlan1.1.6 dot1x handshake1.1.7 dot1x handshake secure1.1.8 dot1x mandatory-domain1.1.9 dot1x max-user1.1.10 dot1x port-control1.1.11 dot1x port-method1.1.12 dot1x quiet-period1.1.13 dot1x retry1.1.14 dot1x retry-version-max1.1.15 dot1x re-authenticate1.1.16 dot1x supp-proxy-check1.1.17 dot1x timer1.1.18 dot1x timer reauth-period1.1.19 dot1x version-check1.1.20 reset dot1x statistics2 HABP配置命令2.1 HABP配置命令2.1.1 display habp2.1.2 display habp table2.1.3 display habp traffic2.1.4 habp enable2.1.5 habp server vlan2.1.6 habp timer3 system-guard配置命令3.1 system-guard配置命令3.1.1 display system-guard config 3.1.2 system-guard enable3.1.3 system-guard mode3.1.4 system-guard permit1 802.1x配置命令1.1 802.1x配置命令1.1.1 display dot1x【命令】display dot1x [ sessions | statistics ] [ interface interface-list ]【视图】任意视图【参数】sessions：显⽰802.1x的会话连接信息。

利用802.1X、动态VLAN和DHCP技术实现方案利用802.1X、动态VLAN和DHCP技术实现方案一、前言各行各业网络的快速发展，尤其是企业局域网的建设发生了日新月异的变化。

金融业电子商务、网上办公、业务系统处理已应用工作中的方方面面，但是由于局域网大量建设、网络接入的灵活性、开放性给企业安全管理带来了新的课题，如何建立安全灵活的可有效防范的企业局域网安全摆在各企业IT管理者的面前。

目前发生在各金融行业的安全事件中，大多是由于不合理的使用网络资源、病毒传播造成网络拥挤、随意更改IP地址银企网络冲突、移动办公用户随意接入等不确定因素造成，给金融行业信息系统安全生产运行带来了严峻挑战。

在网络接入点控制、地址分配、资源管理利用、授权访问等方面，很有必要研究技术手段解决网络接入带来的安全隐患。

本文主要在网络接入点控制和授权访问方面进行分析。

目前局域网身份主要采取PPPoE,WEB+Portal,EAPoL等方式，前两种方案硬件投入大且无法有效的解决认证安全的问题，尤其是接入点控制。

IEEE 802.1X标准认证协议和动态VLAN的引入，在以太网交换机端口实现对用户认证、授权，，以其实现技术简单、灵活、投入收成为企业局域网的首选。

利用802.1X和RADIUS认证服务器的授权控制，根据用户不同动态分配交换机端口VLAN属性、ACL控制、利用DHCP分配IP地址实现较灵活的控制，实现了用户地址分配和一定范围内的移动办公需求。

整套方案应用成熟，易于实现，给企业局域网安全管理提供了一种有效的解决途径。

二、技术简介1、IEEE 802.1X认证协议它是基于C/S结构面向端口的访问控制认证协议。

交换机端口有几种状态Block、Listen、Learn和Forward，如果端口不配置认证，PC配置相应的地址即可访问网络。

通过对端口802.1X的配置，端口处于受控状态Authen和UNAuthen，在未认证状态下，端口仅收发EAPoL等认证包信息，不允许存取网络，如果未配置VLAN，端口处于那个VLAN都未知；在认证通过后，根据用户在服务器上的配置，端口分配相应特性，才可以存取网络。

交换机安全802.1X、port-security、DHCP SNOOP、DAI、VACL、SPAN RSPAN(总结)常用的方式：1、802.1X，端口认证，dot1x，也称为IBNS(注：IBNS 包括port-security)：基于身份的网络安全；很多名字，有些烦当流量来到某个端口，需要和ACS交互，认证之后得到授权，才可以访问网络，前提是CLIENT必须支持802.1X方式，如安装某个软件Extensible Authentication Protocol OverLan(EAPOL) 使用这个协议来传递认证授权信息示例配置：Router#configure terminalRouter(config)#aaa new-modelRouter(config)#aaa authentication dot1x default group radiusSwitch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkeyRouter(config)#dot1x system-auth-control 起用DOT1X功能Router(config)#interface fa0/0Router(config-if)#dot1x port-control autoAUTO是常用的方式，正常的通过认证和授权过程强制授权方式：不通过认证，总是可用状态强制不授权方式：实质上类似关闭了该接口，总是不可用可选配置：Switch(config)#interface fa0/3Switch(config-if)#dot1x reauthenticationSwitch(config-if)#dot1x timeout reauth-period 72002小时后重新认证Switch#dot1x re-authenticate interface fa0/3现在重新认证，注意：如果会话已经建立，此方式不断开会话Switch#dot1x initialize interface fa0/3初始化认证，此时断开会话Switch(config)#interface fa0/3Switch(config-if)#dot1x timeout quiet-period 4545秒之后才能发起下一次认证请求Switch(config)#interface fa0/3Switch(config-if)#dot1x timeout tx-period 90 默认是30SSwitch(config-if)#dot1x max-req count 4客户端需要输入认证信息，通过该端口应答AAA服务器，如果交换机没有收到用户的这个信息，交换机发给客户端的重传信息，30S 发一次，共4次Switch#configure terminalSwitch(config)#interface fastethernet0/3Switch(config-if)#dot1x port-control autoSwitch(config-if)#dot1x host-mode multi-host默认是一个主机，当使用多个主机模式，必须使用AUTO方式授权，当一个主机成功授权，其他主机都可以访问网络；当授权失败，例如重认证失败或LOG OFF，所有主机都不可以使用该端口Switch#configure terminalSwitch(config)#dot1x guest-vlan supplicantSwitch(config)#interface fa0/3Switch(config-if)#dot1x guest-vlan 2未得到授权的进入VLAN2，提供了灵活性注意：1、VLAN2必须是在本交换机激活的，计划分配给游客使用；2、VLAN2信息不会被VTP传递出去Switch(config)#interface fa0/3Switch(config-if)#dot1x default回到默认设置show dot1x [all] | [interface interface-id] | [statistics interface interface-id] [{ | begin | exclude | include} expression]Switch#sho dot1x allDot1x Info for interface FastEthernet0/3----------------------------------------------------Supplicant MAC 0040.4513.075bAuthSM State = AUTHENTICATEDBendSM State = IDLEPortStatus = AUTHORIZEDMaxReq = 2HostMode = SinglePort Control = AutoQuietPeriod = 60 SecondsRe-authentication = EnabledReAuthPeriod = 120 SecondsServerTimeout = 30 SecondsSuppTimeout = 30 SecondsTxPeriod = 30 SecondsGuest-Vlan = 0debug dot1x {errors | events | packets | registry | state-machine | all}2、端口安全，解决CAM表溢出攻击（有种MACOF的工具，每分钟可以产生155000个MAC地址，去轰击CAM表，从而使合法主机的要求都必须被FLOOD）示例配置：Switch#configure terminalSwitch(config)#interface fastethernet0/0Switch(config-if)#switchport mode accessSwitch(config-if)#switchport port-securitySwitch(config-if)#switchport port-security maximum 20 这里默认是1Switch(config-if)#switchport port-security mac-address sticky保存学习到的地址到RUN CONFIG文件中，避免手动配置的麻烦，并省去动态学习所消耗的资源switchport port-security violation {protect | restrict | shutdown}三个参数解释：保护：当达到某个设定的MAC数量，后来的未知MAC 不再解析，直接丢弃，且不产生通知限制：当达到某个设定的MAC数量，后来的未知MAC 不再解析，直接丢弃，产生通知，如SNMP TRAP、SYSLOG信息，并增加违反记数；这里有个问题，恶意攻击会产生大量的类似信息，给网络带来不利。

802.1x简介：802.1x协议起源于802.11协议，802.11是IEEE的无线局域网协议，制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。

IEEE802 LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制设备(如LAN Switch)，就可以访问局域网中的设备或资源。

这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。

随着移动办公及驻地网运营等应用的大规模发展，服务提供者需要对用户的接入进行控制和配置。

尤其是WLAN的应用和LAN接入在电信网上大规模开展，有必要对端口加以控制以实现用户级的接入控制，802.lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。

二、802.1x认证体系802.1x是一种基于端口的认证协议，是一种对用户进行认证的方法和策略。

端口可以是一个物理端口，也可以是一个逻辑端口(如VLAN)。

对于无线局域网来说，一个端口就是一个信道。

802.1x认证的最终目的就是确定一个端口是否可用。

对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，即只允许802.1x的认证协议报文通过。

实验所需要的用到设备：认证设备：cisco 3550 交换机一台认证服务器：Cisco ACS 4.0认证客户端环境：Windows xp sp3实验拓扑：实验拓扑简单描述：在cisco 3550上配置802.1X认证，认证请求通过AAA server,AAA server IP地址为：172.16.0.103，认证客户端为一台windows xp ,当接入到3550交换机上实施802.1X认证，只有认证通过之后方可以进入网络，获得IP地址。

实验目的：通过本实验，你可以掌握在cisco 交换机如何来配置AAA（认证，授权，授权）,以及如何配置802.1X,掌握 cisco ACS的调试，以及如何在windows xp 启用认证，如何在cisco 三层交换机上配置DHCP等。

H3C交换机基础配置命令详解交换机的配置华为与H3C比较类似，这里面我们今天就来了解下，基础的配置命令，大家可以重点看下vlan的划分，这个在项目应用中较多。

一、基本配置<H3C> //用户直行模式提示符,用户视图<H3C>system-view //进入配置视图[H3C] sysname xxx //设置主机名成为xxx这里使用修改特权用户密码一、用户配置<H3C>system-view[H3C]super passwordH3C //设置用户分级密码[H3C]undo superpassword //删除用户分级密码[H3C]localuser bigheap 1234561 //Web网管用户设置,1（缺省）为管理级用户,缺省admin,admin[H3C]undo localuserbigheap //删除Web网管用户[H3C]user-interface aux0 //只支持0[H3C-Aux]idle-timeout 250 //设置超时为2分50秒,若为0则表示不超时,默认为5分钟[H3C-Aux]undoidle-timeout //恢复默认值[H3C]user-interface vty0 //只支持0和1[H3C-vty]idle-timeout 250 //设置超时为2分50秒,若为0则表示不超时,默认为5分钟[H3C-vty]undoidle-timeout //恢复默认值[H3C-vty]set authentication password123456 //设置telnet密码,必须设置[H3C-vty]undo set authenticationpassword //取消密码[H3C]displayusers //显示用户[H3C]displayuser-interface //用户界面状态三、VLAN配置[H3C]vlan 2 //创建VLAN2[H3C]undo vlanall //删除除缺省VLAN外的所有VLAN,缺省VLAN不能被删除[H3C-vlan2]port Ethernet 0/4 to Ethernet0/7 //将4到7号端口加入到VLAN2中,此命令只能用来加access端口,不能用来增加trunk或者hybrid端口[H3C-vlan2]port-isolateenable //打开VLAN内端口隔离特性,不能二层转发,默认不启用该功能[H3C-Ethernet0/4]port-isolate uplink-portvlan 2 //设置4为VLAN2的隔离上行端口,用于转发二层数据,只能配置一个上行端口,若为trunk,则建议允许所有VLAN通过,隔离不能与汇聚同时配置[H3C]display vlanall //显示所有VLAN的详细信息S1550E支持基于端口的VLAN,通过创建不同的user-group来实现,一个端口可以属于多个user-group,不属于同一个user-group的端口不能互相通信[H3C]user-group20 //创建user-group 20,默认只存在user-group 1[H3C-UserGroup20]port Ethernet 0/4 toEthernet 0/7 //将4到7号端口加入到VLAN20中,初始时都属于user-group 1中[H3C]display user-group20 //显示user-group 20的相关信息四、交换机IP配置[H3C]vlan 20 //创建vlan[H3C]management-vlan 20 //管理vlan[H3C]interface vlan-interface20 //进入并管理vlan20[H3C]undo interface vlan-interface20 //删除管理VLAN接口[H3C-Vlan-interface20]ip address192.168.1.2 255.255.255.0 //配置管理VLAN接口静态IP地址(缺省为192.168.0.234) [H3C-Vlan-interface20]undo ipaddress //删除IP地址[H3C-Vlan-interface20]ip gateway192.168.1.1 //指定缺省网关(默认无网关地址)[H3C-Vlan-interface20]undo ip gateway[H3C-Vlan-interface20]shutdown //关闭接口[H3C-Vlan-interface20]undoshutdown //开启[H3C]display ip //显示管理VLAN接口IP的相关信息[H3C]display interface vlan-interface20 //查看管理VLAN的接口信息<H3C>debuggingip //开启IP调试功能<H3C>undo debugging ip五、DHCP客户端配置[H3C-Vlan-interface20]ip addressdhcp-alloc // 管理VLAN接口通过DHCP方式获取IP地址[H3C-Vlan-interface20]undo ip addressdhcp-alloc // 取消[H3C]display dhcp //显示DHCP客户信息<H3C>debuggingdhcp-alloc //开启DHCP调试功能<H3C>undo debugging dhcp-alloc六、端口配置[H3C]interface Ethernet0/3 //进入端口[H3C-Ethernet0/3]shutdown //关闭端口[H3C-Ethernet0/3]speed100 //速率可为10,100,1000和auto(缺省)[H3C-Ethernet0/3]duplexfull //双工,可为half,full和auto(缺省) 光口和汇聚后不能配置[H3C-Ethernet0/3]flow-control //开启流控,默认为关闭[H3C-Ethernet0/3]broadcast-suppression20 //设置抑制广播百分比为20%,可取5,10,20,100,缺省为100,同时组播和未知单播也受此影响[H3C-Ethernet0/3]loopbackinternal //内环测试[H3C-Ethernet0/3]loopbackexternal //外环测试,需插接自环头,必须为全双工或者自协商模式[H3C-Ethernet0/3]port link-typetrunk //设置链路的类型为trunk,可为access(缺省),trunk[H3C-Ethernet0/3]port trunk pvid vlan20 //设置20为该trunk 的缺省VLAN,默认为1(trunk线路两端的PVID必须一致) [H3C-Ethernet0/3]port access vlan20 //将当前access端口加入指定的VLAN[H3C-Ethernet0/3]port trunk permit vlanall //允许所有的VLAN通过当前的trunk端口,可多次使用该命令[H3C-Ethernet0/3]mdiauto //设置以太端口为自动监测,normal(缺省)为直通线,across为交叉线[H3C]link-aggregation Ethernet 0/1 toEthernet 0/4 //将1-4口加入汇聚组,1为主端口,两端需要同时配置,设置了端口镜像以及端口隔离的端口无法汇聚[H3C]undo link-aggregation Ethernet0/1 //删除该汇聚组[H3C]link-aggregation modeegress //配置端口汇聚模式为根据目的MAC地址进行负荷分担,可选为ingress,egress和both,缺省为both[H3C]monitor-port Ethernet0/2 //将该端口设置为镜像端口,必须先设置镜像端口,删除时必须先删除被镜像端口,而且它们不能同在一个端口,该端口不能在汇聚组中,设置新镜像端口时,新取代旧,被镜像不变[H3C]mirroring-port Ethernet 0/3 toEthernet 0/4 both //将端口3和4设置为被镜像端口,both为同时监控接收和发送的报文,inbound表示仅监控接收的报文,outbound表示仅监控发送的报文[H3C]display mirror[H3C]display interface Ethernet 0/3<H3C>resetcounters //清除所有端口的统计信息[H3C]display link-aggregation Ethernet0/3 //显示端口汇聚信息[H3C-Ethernet0/3]virtual-cable-test //诊断该端口的电路状况七、集群配置S2100只能作为成员交换机加入集群中,加入后系统名改为'集群名_成员编号.原系统名'的格式.即插即用功能通过两个功能实现: 集群管理协议MAC组播地址协商和管理VLAN协商[H3C]cluster enable //启用群集功能,缺省为启用[H3C]cluster //进入群集视图[H3C-cluster]administrator-address H-H-Hname switch H-H-H为命令交换机的MAC，加入switch集群[switch_1.H3C-cluster]undoadministrator-address //退出集群[H3C]displaycluster //显示集群信息[H3C]management-vlan2 //集群报文只能在管理VLAN中转发,同一集群需在同一个管理VLAN中,需在建立集群之前指定管理VLAN八、QOS优先级配置QoS配置步骤：设置端口的优先级,设置交换机信任报文的优先级方式,队列调度,端口限速[H3C-Ethernet0/3]priority7 //设置端口优先级为7,默认为0[H3C]priority-trustcos //设置交换机信任报文的优先级方式为cos(802.1p优先级,缺省值),还可以设为dscp方式(dscp优先级方式) [H3C]queue-scheduler hq-wrr 2 4 68 //设置队列调度算法为HQ-WRR(默认为WRR),权重为2,4,6,8[H3C-Ethernet0/3]line-rate inbound29 //将端口进口速率限制为2Mbps,取1-28时,速率为rate*8*1024/125,即64,128,192...1.792M;29-127时,速率为(rate-27)*1024,即2M,3M,4M...100M,千兆时可继续往下取,128-240时,速率为(rate-115)*8*1024,即104M,112M,120M...1000M[H3C]displayqueue-scheduler //显示队列调度模式及参数[H3C]displaypriority-trust //显示优先级信任模式九、系统管理[H3C]mac-address blackhole H-H-H vlan1 //在VLAN1中添加黑洞MAC[H3C]mac-address static H-H-H interfaceEthernet 0/1 vlan 1 //在VLAN1中添加端口一的一个mac[H3C]mac-address timer aging500 //设置MAC地址表的老化时间为500s[H3C]display mac-address[H3C]display arp[H3C]mac-address port-binding H-H-Hinterface Ethernet 0/1 vlan 1 配置端口邦定[H3C]display mac-address port-binding[H3C]display saved-configuration[H3C]display current-configuration<H3C>save[H3C]restoredefault //恢复交换机出厂默认配置,恢复后需重启才能生效[H3C]display version<H3C>reboot[H3C]display device[H3C]sysname bigheap[H3C]info-centerenable //启用系统日志功能,缺省情况下启用[H3C]info-center loghost ip192.168.0.3 //向指定日志主机(只能为UNIX或LINUX,不能为Windows)输出信息,需先开启日志功能,缺省关闭[H3C]info-center loghost level8 //设置系统日志级别为8,默认为5.级别说明:1.emergencies 2.alerts 3.critical4.errors 5.warnings 6.notifications rmational 8.debugging<H3C>terminaldebugging //启用控制台对调试信息的显示,缺省控制台为禁用<H3C>terminallogging //启用控制台对日志信息的显示,缺省控制台为启用<H3C>terminaltrapping //启用控制台对告警信息的显示,缺省控制台为启用[H3C]displayinfo-center //显示系统日志的配置和缓冲区记录的信息[H3C]displaylogbuffer //显示日志缓冲区最近记录的指定数目的日志信息[H3C]displaytrapbuffer //显示告警缓冲区最近记录的指定数目的日志信息<H3C>resetlogbuffer //清除日志缓冲区的信息<H3C>resettrapbuffer //清除告警缓冲区的信息十、网络协议配置NDP即是邻居发现协议,S1550E只能开启或关闭NDP,无法配置,默认有效保留时间为180s,NDP报文发送的间隔60s[H3C]ndp enable //缺省情况下是开启的[H3C-Ethernet0/3]ndpenable //缺省情况下开启[H3C]display ndp //显示NDP配置信息[H3C]display ndp interface Ethernet0/1 //显示指定端口NDP 发现的邻居信息<H3C>debugging ndp interface Ethernet0/1// HABP协议即HuaweiAuthentication Bypass Protocol,华为鉴权旁路协议,是用来解决当交换机上同时配置了802.1x和HGMPv1/v2时,未经授权和认证的端口上将过滤HGMP报文,从而使管理设备无法管理下挂的交换机的问题。

第1章 802.1X配置1.1 802.1X协议简介1.1.1 802.1X协议简介IEEE 802.1X定义了基于端口的网络接入控制协议，起源于802.11协议－－标准的无线局域网协议。

IEEE 802.1X协议的主要目的是解决无线局域网用户的接入认证问题，但其在IEEE 802 LAN所定义的有线局域网中的应用，为LAN提供了接入认证的手段。

在IEEE 802 LAN所定义的局域网中，只要用户接入局域网控制设备，如LanSwitch，用户就可以访问局域网中的设备或资源。

但是对于如电信接入、写字楼LAN 以及移动办公等应用，设备提供者希望能对用户的接入进行控制，为此产生了基于端口的网络接入控制（Port Based network access control）需求。

基于端口的网络接入控制（Port Based network access control）是在 LAN设备的物理接入级对接入设备进行认证和控制，此处的物理接入级指的是LAN设备的端口。

连接在该类端口上的用户设备如果能通过认证，就可以访问LAN内的资源；如果不能通过认证，则无法访问 LAN 内的资源，相当于物理上断开连接。

IEEE 802.1x定义了基于端口的网络接入控制协议，而且仅定义了接入设备与接入端口间点到点的连接方式。

其中端口可以是物理端口，也可以是逻辑端口。

典型的应用方式有：LanSwitch 的一个物理端口仅连接一个End Station（基于物理端口）；IEEE 802.11定义的无线LAN 接入（基于逻辑端口）等。

Quidway S3526在802.1X的实现中，不仅支持协议所规定的端口接入认证方式，还对其进行了优化，接入控制方式可以基于端口，也可以基于MAC地址，极大地提高了安全性和可管理性。

1.1.2 802.1X体系结构802.1X系统包括三个实体：客户端、认证系统、认证服务器，图1中与之相应的各部分为： Supplicant System（用户接入）；Authenticator System（接入认证）；Authentication Sever System（认证服务器）。

目录∙H3C S2126-EI以太网交换机命令手册-Release22XX系列(V1.00)∙01-命令行接口命令∙02-登录交换机命令∙03-配置文件管理命令∙04-VLAN命令∙05-配置管理VLAN命令∙06-IP地址-IP性能命令∙07-GVRP命令∙08-端口基本配置命令∙09-端口汇聚命令∙10-端口隔离命令∙11-端口安全命令∙12-MAC地址转发表管理命令∙13-MSTP命令∙14-组播协议命令∙15-802.1x及System-Guard命令∙16-AAA命令∙17-MAC地址认证命令∙18-ARP命令∙19-DHCP命令∙20-ACL命令∙21-QoS命令∙22-镜像命令∙23-Cluster命令∙24-SNMP-RMON命令∙25-NTP命令∙26-SSH命令∙27-文件系统管理命令∙28-FTP-SFTP-TFTP命令∙29-信息中心命令∙30-系统维护与调试命令∙31-VLAN-VPN命令∙32-HWPing命令∙33-IPv6管理命令∙34-LLDP命令∙35-域名解析命令∙36-PKI命令∙37-SSL命令∙38-HTTPS命令∙39-附录、H3C S2126-EI以太网交换机命令手册-Release22XX系列(V1.00)本章节下载(253.62 KB)15-802.1x及System-Guard命令目录1 802.1x配置命令1.1 802.1x配置命令1.1.1 display dot1x1.1.2 dot1x1.1.3 dot1x authentication-method1.1.4 dot1x dhcp-launch1.1.5 dot1x guest-vlan1.1.6 dot1x handshake1.1.7 dot1x handshake secure1.1.8 dot1x mandatory-domain1.1.9 dot1x max-user1.1.10 dot1x port-control1.1.11 dot1x port-method1.1.12 dot1x quiet-period1.1.13 dot1x retry1.1.14 dot1x retry-version-max1.1.15 dot1x re-authenticate1.1.16 dot1x supp-proxy-check1.1.17 dot1x timer1.1.18 dot1x timer reauth-period1.1.19 dot1x version-check1.1.20 reset dot1x statistics2 HABP配置命令2.1 HABP配置命令2.1.1 display habp2.1.2 display habp table2.1.3 display habp traffic2.1.4 habp enable2.1.5 habp server vlan2.1.6 habp timer3 system-guard配置命令3.1 system-guard配置命令3.1.1 display system-guard config 3.1.2 system-guard enable3.1.3 system-guard mode3.1.4 system-guard permit1 802.1x配置命令1.1 802.1x配置命令1.1.1 display dot1x【命令】display dot1x [ sessions | statistics ] [ interface interface-list ]【视图】任意视图【参数】sessions：显示802.1x的会话连接信息。

作为一个认证协议，802.1X在实现的过程中有很多重要的工作机制。

下图显示了802.1X协议的基本原理：Supplicant发出一个连接请求（EPAoL），该请求被Authenticator（支持802.1X 协议的交换机）转发到Authentication Server（支持EAP验证的RADIUS服务器）上，Authentication Server得到认证请求后会对照用户数据库，验证通过后返回相应的网络参数，如客户终端的IP地址，MTU大小等。

Authenticator 得到这些信息后，会打开原本被堵塞的端口。

客户机在得到这些参数后才能正常使用网络，否则端口就始终处于阻塞状态，只允许802.1X的认证报文EAPoL通过。

802.1X认证协议原理1.1.1基本认证流程图3-6是一个典型的认证会话流程，采用的认证机制是MD5-Challenge：(1)Supplicant发送一个EAPoL-Start报文发起认证过程。

(2)Authenticator收到EAPoL-Start后，发送一个EAP-Request报文响应Supplicant的认证请求，请求用户ID。

(3)Supplicant以一个EAP-Response报文响应EAP-Request，将用户ID封装在EAP 报文中发给Authenticator。

(4)Authenticator将Supplicant送来的EAP-Request报文与自己的NAS IP、NAS Port等相关信息一起封装在RADIUS Access-Request报文中发给认证服务器（Authentication Server）。

典型的认证会话流程(5)认证服务器收到RADIUS Access-Request报文后，将用户ID提取出来在数据库中进行查找。

如果找不到该用户ID，则直接丢弃该报文；如果该用户ID存在，认证服务器会提取出用户的密码等信息，用一个随机生成的加密字进行MD5加密，生成密文。