下载文档原格式
H3C 802.1x认证客户端安装及使用相关设置
网络信息中心 V1.1(2010.08.12)
1、将下载的文件包解压后双击其中的“H3C认证客户端.exe”进入安装过程,点击“下一步”继续,如图:
2、软件开始安装,等待片刻,如图:
3、安装完毕后,点击“完成”,重新启动计算机,如图:
4、重启完毕后,双击桌面上“iNode智能客户端”图标,进入“新建连接向导”过程,如图:
5、在出现的软件界面中点击“是”,如图:
6、在“新建连接向导”中点击“下一步”,如图:
7、点击“下一步”,如图:
8、选择“普通连接”,点击“下一步”,如图:
9、输入您在网络中心申请的用户名和密码,点击“下一步”,如图:
10、选择好需要连接网络的网卡(一般为字符串中带Ethernet的),报文类型选“多播”,并请勾选“被动下线自动连接”选项,点击“下一步”,如图:
11、点击“创建”,如图:
12、使用时,双击桌面上的“iNode智能客户端”图标,如图:
13、在出现的窗口中双击“我的802.1X连接”或单击该图标后点选上方的“连接”钮,即可进行认证,下方的“认证信息”会显示认证的全过程(请留意该详细信息,以备发生故障时,方便地与我们进行沟通)。
无线802.1x认证标准无线802.1x协议交互逻辑无线PEAP认证分为几个阶段,802.11无线关联阶段、PEAP认证阶段、无线Key 配置阶段、客户端IP地址获取阶段、正常网络访问阶段以及最后的下线阶段,接下来我们就依照下图对认证过程中的各个阶段进行详细描述。
一、802.11无线关联阶段STA(WorkStation,通常指个人PC)上的认证客户端(Supplicant)通过无线开放模式和无线设备之间建立连接。
1)第一对交互过程用于客户端请求希望关联的SSID,无线设备进行请求应答。
2)接下来的一对交互过程使用开放模式进行认证,真正的身份校验放到了PEAP阶段完成。
3)最后一对交互过程是在进行无线关联,通过该对话可以协商出双方所支持的通讯速率、无线数据传输时的密钥传递、管理和加密方式。
客户端和无线设备完成上述交互过程后,无线关联过程也就完成了。
二、PEAP认证阶段A、802.1X认证起始阶段1)客户端向无线设备发送一个EAPoL-Start报文,开始802.1X认证;2)无线设备向客户端发送EAP-Request/ID报文,要求客户端将用户信息送上来;3)客户端回应EAP-Response/ID给无线设备,该报文中包含用户标识,通常为认证用户ID(由于PEAP的TLS安全通道内依然使用EAP协议进行认证,而EAP 认证过程中会再请求一次用户ID,那么方案设计者可以通过本次的Response/ID 来隐藏真实的用户ID,而在TLS安全通道内的EAP交互中携带真实的用户ID,这样可以增强用户认证凭证的保密性);4)无线设备以EAP Over Radius的形式将EAP-Response/ID传送给Radius服务器。
B、协商PEAP认证并建立TLS安全通道5)Radius服务器收到EAP-Response/ID后根据配置确定使用PEAP认证,并向无线设备发送Radius Access-Challenge报文,报文中包含Radius服务器发送给客户端的PEAP-Start报文,表示希望使用PEAP方法进行接下来的认证;6)无线设备将EAP-Request/PEAP-Start发送给认证客户端;7)客户端收到EAP-Request/PEAP-Start报文后,生成客户端随机数、客户端支持的加密算法列表、TLS协议版本、会话ID等信息,并将这些信息封装到PEAP-Client Hello报文中发送给无线设备;8)无线设备以EAP Over Radius的形式将PEAP-Client Hello发送给Radius服务器;9)Radius服务器收到客户端发来的PEAP-Client Hello报文后,会从PEAP-Client Hello报文的加密算法列表中选择自己支持的一组加密算法并同Radius服务器产生的随机数、Radius服务器证书、证书请求信息、Server_Hello_Done属性形成一个Server Hello报文封装在Access-Challenge报文中,发送给客户端;10)无线设备提取Radius报文中的EAP属性,将其封装成EAP-Request报文并最终发送给客户端;11) 客户端收到来自服务器的EAP-Request报文后,验证Radius服务器的证书是否合法。
北信源桌面终端标准化管理系统准入控制技术使用手册2010年5月目录一、802.1x认证模块原理 (3)1-1. 802.1x的工作机制 (3)1-2. 802.1x的认证过程 (4)二、VRVEDP-NAC系统硬件配置及实施方案 (6)2-1.VRVEDP-NAC相关系统硬件配置 (6)2-2.VRVEDP-NAC实施方案 (6)三、802.1x认证应用注册事项 (25)四、802.1x认证应急预案 (29)4-1.预案流程 (29)4-2.应急事件处理方法 (29)一、802.1x认证模块原理1-1. 802.1x的工作机制IEEE 802.1x认证系统利用EAP(Extensible Authentication Protocol,可扩展认证协议)协议,作为在客户端和认证服务器之间交换认证信息的手段。
802.1x认证系统的工作机制在客户端PAE与设备端PAE之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN环境中。
在设备端PAE与RADIUS服务器之间,EAP协议报文可以使用EAPOR 封装格式(EAP over RADIUS),承载于RADIUS协议中;也可以由设备端PAE 进行终结,而在设备端PAE与RADIUS服务器之间传送PAP协议报文或CHAP 协议报文。
当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE根据RADIUS服务器的指示(Accept或Reject)决定受控端口的授权/非授权状态。
1-2. 802.1x的认证过程802.1x认证系统的认证过程1. 当用户有上网需求时打开802.1x客户端,输入已经申请、登记过的用户名和口令,发起连接请求(EAPOL-Start报文)。
此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。
2. 交换机收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity报文)要求用户的客户端程序发送输入的用户名。
Cisco802.1x准⼊控制配置指南Cisco 802.1x 准⼊控制配置指南802.1x简介:802.1x协议起源于802.11协议,802.11是IEEE的⽆线局域⽹协议,制订802.1x协议的初衷是为了解决⽆线局域⽹⽤户的接⼊认证问题。
IEEE802 LAN协议定义的局域⽹并不提供接⼊认证,只要⽤户能接⼊局域⽹控制设备(如LAN Switch),就可以访问局域⽹中的设备或资源。
这在早期企业⽹有线LAN应⽤环境下并不存在明显的安全隐患。
随着移动办公及驻地⽹运营等应⽤的⼤规模发展,服务提供者需要对⽤户的接⼊进⾏控制和配置。
尤其是WLAN的应⽤和LAN 接⼊在电信⽹上⼤规模开展,有必要对端⼝加以控制以实现⽤户级的接⼊控制,802.lx就是IEEE为了解决基于端⼝的接⼊控制(Port-Based Network Access Contro1)⽽定义的⼀个标准。
⼆、802.1x认证体系802.1x是⼀种基于端⼝的认证协议,是⼀种对⽤户进⾏认证的⽅法和策略。
端⼝可以是⼀个物理端⼝,也可以是⼀个逻辑端⼝(如VLAN)。
对于⽆线局域⽹来说,⼀个端⼝就是⼀个信道。
802.1x认证的最终⽬的就是确定⼀个端⼝是否可⽤。
对于⼀个端⼝,如果认证成功那么就“打开”这个端⼝,允许所有的报⽂通过;如果认证不成功就使这个端⼝保持“关闭”,即只允许802.1x 的认证协议报⽂通过。
实验所需要的⽤到设备:认证设备:cisco 3550 交换机⼀台认证服务器:Cisco ACS 4.0认证客户端环境:Windows xp sp3实验拓扑:实验拓扑简单描述:在cisco 3550上配置802.1X认证,认证请求通过AAA server,AAA server IP地址为:172.16.0.103,认证客户端为⼀台windows xp ,当接⼊到3550交换机上实施802.1X认证,只有认证通过之后⽅可以进⼊⽹络,获得IP地址。
实验⽬的:通过本实验,你可以掌握在cisco 交换机如何来配置AAA(认证,授权,授权),以及如何配置802.1X,掌握 cisco ACS的调试,以及如何在windows xp 启⽤认证,如何在cisco 三层交换机上配置DHCP等。
8021x认证客户端使用说明802.1X 认证客户端软件安装使用说明一、设置要求对于 Windows 用户,在保证计算机系统没问题的情况下,请在使用 802.1X 认证客户端之前进行如下设置:如下图所示,点击桌面的“开始”菜单,选择“设置”里面的“控制面板”,在“控制面板”窗口里,双击“网络连接”图标。
在打开的窗口中,右键点击“本地连接”图标,在弹出菜单中选择“属性”,打开本地连接“属性”的对话框。
如下图所示,选择“Internet 协议(TCP/IP)”点击“属性”按钮,选择“自动获得IP地址”和“自动获得DNS服务器地址”,点“确定”按钮。
二、客户端安装执行桌面“认证客户端.exe”,启动安装程序,如下图所示:在安装过程中,若出现“Mircrosoft Visual C++2005”则属于正常需求安装,如下图所示:注意:若用户系统装有诺顿、瑞星、360等杀毒软件或者防火墙,在安装本软件过程中,会提示用户是否允许继续安装等提示信息,则用户必须点允许安装,否则安装失败,用户不能正常认证上网。
认证客户端软件安装完成时,则显示如下图所示:可以选择“是”立即重新启动计算机或者“否”稍后重新启动计算机,点击“完成”。
三、连接网络认证双击“INode智能客户端”,如下图所示:选中“1x预设连接”按钮,点击“连接”按钮,如下图所示:然后点击1x预设连接的“属性”,打开属性对话框,若多网卡,则选择上网所用的网卡,点击“确定”,如下图所示:用户名填写的格式如下图说明:注意:技术中心的域为:tech // 公共教学的域为:teach // 宿舍的域为:dorm // 食堂的域为:mess // 机房的域为:jifang // 辅导员的域为:coach1.部门在技术中心楼的人员,用户名:自己的教工号后6位@tech2.部门在公共教学楼的人员,用户名:自己的教工号后6位@teach3.部门在食堂楼的人员,用户名:自己的教工号后6位@mess4.辅导员的用户名:自己的教工号后6位@coach5.宿舍学生的用户名:学生号@dorm举例:若部门在技术中心楼里的人员,教工号是test,则技术中心规定的域为tech,如下图所示:点击“连接”按钮,则显示连接认证信息的内容,显示连接成功,如下图所示:四、密码修改选中“1x预设按钮”,点击“操作”,选择“在线修改密码”,如下图所示:按提示输入密码信息,然后点击“确定”,显示用户密码修改成功,则如下图所示:五、断开网络认证选中“1x预设连接”,点击“断开”按钮,如上图所示,认证信息显示连接已经断开。
华为802.1x认证客户端使用说明新802.1X认证客户端使用方法1.卸载原有的802.1X客户端。
2.下载安装新的客户端。
3.安装完后重启计算机。
4.双击桌面的H3C802.1X图标进入如下界面,网络适配器选择你自己的网卡5.点击属性进入设置,默认设置如下图,把两个勾全部去掉,如果你要自动重拨,你可以把“握手超时后重认证”这个勾选上。
如下图:完成后点击确定,然后点连接出现下图,连接成功后最小化到屏幕右下角,与老客户端一样的小电脑标志。
6.断开连接方法:点击屏幕右下角的小电脑图标右键,点断开连接或者退出程序。
断开连接(£)用户配置©网塔配置(N)显示营理面口萸改用户密码升级程序&帮助.…遽出程序7.点击小电脑右键出现在菜单中,用户配置可以看自己的上网时间,可以累计, 也可以清零后重新计时。
网络配置则回到第5步进行配置。
确定 取消8 Client〔4K'H3C 802用户提示;般用户使用以上功能即可,还有更高级的功能就是打开管理窗口,如下图: 系统1S 知:^802. IX 用户设置r 陀藏蜀录宙口 r 显示管理留口广保存L0睹息 r记录网络報文 SG 丈件名;120050613. LOG| | 更卩「黒计上网时间:01 :⑴06 I 賢零默认设詈 网络®)配置©帮助® 2005-06-1315:56:49 2005-05-3315:56:49 2005-06-1316:05:46 2Q05-Q5-13 2005-06-132005-06-13 16;06:53 H3C S02. 1S 客户E&na :323E Receivers ; OH 已成功通过网络验证16;06:邨 ttifteoz. ix 认证 已成功適过网塔验证 中斷602. IX 认证链押 用尸主动离线 fli^eoa. ix 认证 已成功通过网勰证Message : Message : Message :Message :。
802.1x简介:802.1x协议起源于802.11协议,802.11是IEEE的无线局域网协议,制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。
IEEE802 LAN协议定义的局域网并不提供接入认证,只要用户能接入局域网控制设备(如LAN Switch),就可以访问局域网中的设备或资源。
这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。
随着移动办公及驻地网运营等应用的大规模发展,服务提供者需要对用户的接入进行控制和配置。
尤其是WLAN的应用和LAN接入在电信网上大规模开展,有必要对端口加以控制以实现用户级的接入控制,802.lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。
二、802.1x认证体系802.1x是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。
端口可以是一个物理端口,也可以是一个逻辑端口(如VLAN)。
对于无线局域网来说,一个端口就是一个信道。
802.1x认证的最终目的就是确定一个端口是否可用。
对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,即只允许802.1x的认证协议报文通过。
实验所需要的用到设备:认证设备:cisco 3550 交换机一台认证服务器:Cisco ACS 4.0认证客户端环境:Windows xp sp3实验拓扑:实验拓扑简单描述:在cisco 3550上配置802.1X认证,认证请求通过AAA server,AAA server IP地址为:172.16.0.103,认证客户端为一台windows xp ,当接入到3550交换机上实施802.1X认证,只有认证通过之后方可以进入网络,获得IP地址。
实验目的:通过本实验,你可以掌握在cisco 交换机如何来配置AAA(认证,授权,授权),以及如何配置802.1X,掌握 cisco ACS的调试,以及如何在windows xp 启用认证,如何在cisco 三层交换机上配置DHCP等。
802.1xeap认证流程下载温馨提示:该文档是我店铺精心编制而成,希望大家下载以后,能够帮助大家解决实际的问题。
文档下载后可定制随意修改,请根据实际需要进行相应的调整和使用,谢谢!并且,本店铺为大家提供各种各样类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,如想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by theeditor. I hope that after you download them,they can help yousolve practical problems. The document can be customized andmodified after downloading,please adjust and use it according toactual needs, thank you!In addition, our shop provides you with various types ofpractical materials,such as educational essays, diaryappreciation,sentence excerpts,ancient poems,classic articles,topic composition,work summary,word parsing,copy excerpts,other materials and so on,want to know different data formats andwriting methods,please pay attention!802.1X EAP 认证流程是一种用于网络访问控制的认证协议,它基于 IEEE 802.1X 标准,使用可扩展身份验证协议(EAP)进行身份验证。
华为802.1x客户端安装华为802.1x客户端安装文件名为H3C 8021XClient V220_0231.exe大小为2.57MB。
1.双击安装文件图标,出现以下窗口:2.单击下一步按钮:3.选择“我接受许可证协议中的条款”,单击下一步:4.填好用户名和公司名称(可以任意填写,不影响使用),单击下一步:选择“全部”,单击下一步:5.开始安装:6.安装完成:7.单击完成:8.重新启动计算机后便可以开始使用了。
华为802.1x客户端使用1.安装完毕以后先配置TCP/IP参数:单击开始菜单,单击控制面板,双击网络连接2.在本地连接图标上面单击右键,然后在弹出菜单选择属性3.出现如下窗口:4.双击Internet协议(TCP/IP),出现如下窗口:5.按上图显示配置后,单击确定按钮回到上一个窗口,单击验证选择卡,出现如下窗口:将“启用此网络的IEEE 802.1x验证”复选框的勾取消,单击确定。
6.双击桌面上出现的名为H3C802.1X的图标,出现如下窗口:7.在“选择网络适配器”一项中选择本机网卡(一般会默认选好,不必配置),单击属性按钮,出现如下窗口:按如上进行配置,单击确定。
8.回到上一窗口,填好您临到的用户名和密码:单击连接,连接成功以后便可以上网。
网络连通性测试1.单击开始菜单-运行,出现如下窗口:2.键入“cmd”,然后单击确定,出现如下窗口:注意要将其中打下划线的IP地址部分改为您领到的网关IP地址。
如果出现不是类似以下的画面(注意IP地址要为您领到的网关IP地址),则说明您的网络连通性出现问题,请与相关网络维护人员联系解决。
以上的画面说明网络已经连通。
Configuring a W ireless C lient f or 802.1X AuthenticationApplication NoteTable o f C ontentsIntroduction & K ey C oncepts (3)What i s 802.1X? (3)Why w ould I w ant t o u se 802.1X? (4)Configuring t he S upplicant (5)Configure a W indows S upplicant ............................................. E rror! B ookmark n ot d efined.Disable S erver C ertificate V alidation (7)Automatically l ogin w ith d ifferent c redentials (9)Single s ign o n (10)EAP-‐TLS C onfiguration (11)Configure a M ac O S S upplicant ................................................. E rror! B ookmark n ot d efined.EAP-‐TLS C onfiguration (14)802.1X (15)Digital C ertificates a nd C ertificate A uthorities (15)Microsoft N etwork P olicy S erver (15)April-2012-1Introduction& Key ConceptsWhat is 802.1X?802.1X is an IEEE security standard for network access. Authentication is a key part of the 802.1X standard. Three devices participate in every 802.1X authentication:Supplicant – the client deviceAuthenticator – the device that controls network access (port) and passes authentication messages to the authentication serverAuthentication Server – AAA-compliant authentication serverFigure 1 - 802.1X Authentication Phase 1The supplicant responds to an authentication challenge from the authenticator and transmits its credentials. The goal of the first phase is to establish the protected tunnel (TLS) to encrypt the user credentials so they aren’t sent in the clear.April-2012-1Figure 2 - 802.1X Authentication Phase 2Once the user credentials are transmitted, the authenticator (AP) sends this information to the ZoneDirector. The ZoneDirector then submits it to the AAA server. If the authentication is successful, the authentication server notifies the authenticator, which opens the network port.These stringent requirements create very secure network access – other than authentication attempts, no traffic of any kind will be allowed onto the network - including DHCP and DNS.Why would I want to use 802.1X?802.1X is a very secure authentication and encryption standard. Unlike pre-shared key (PSK) networks, 802.1X requires a user name and password that is checked against an authentication server for every authentication. PSKs rely on a single, shared secret for all machines. 802.1X is also well suited for single sign-on, in which 802.1X authentication occurs at the same time a user signs on to a computer.April-2012-1Configuring a Windows SupplicantMost modern operating systems include an 802.1X supplicant. Although the details change from client to client, the process is the same.In this example, we will use a Microsoft Windows 7 client using Microsoft’s WLAN AutoConfig supplicant. This process is very similar for other versions of Windows when you use the built-in Microsoft supplicant.If you wish to use a 3rd-party supplicant, like Odyssey or the client utility that came with the wireless adapter, please consult their documentation for set up details.1.From the Control Panel, go to Administrative Tools and open the Services.Confirm the Microsoft WLAN AutoConfig service is running1. If it is not, start it and set it to start up automatically.2From the Control Panel, go to Network and Internet -> Manage Wireless Networks1 On Windows XP this is called Wireless Zero Config, on Windows 7 it is WLAN AutoConfig2 Starting Microsoft’s supplicant will automatically stop any other supplicants running on the machine.April-2012-1Click AddIn the next screen, select Manually create a network profileApril-2012-1Enter your SSID name, security and encryption typeClick Next to create the profileAt this point, it’s a good idea to review some of the more common options that may also be needed for this supplicant.3Disable Server Certificate ValidationIf you RADIUS server is not using a certificate from a known CA, you might want to temporarily disable the Validate server certificate box. This will prevent the client from validating the server’s certificate – although it will still require a certificate.1.From the list of profiles, right-click the 802.1X profile and Properties3 If you’ve done everything right and followed every step, you can probably skip the rest of this section. Or you could read it anyway – just in case.April-2012-1Click the Security tabClick the Settings buttonThis opens the PEAP configuration dialogueApril-2012-1Unselecting the Validate server certificate option will cause the client to accept any correctly formatted certificate from the server.Security best practices dictate the client should always validate the server certificate. This step is only recommended for troubleshooting certificate problems. Once they are resolved, the client should be configured to validate certificates again.Automatically login with different credentialsThe default behavior for a Microsoft client is to attempt to authenticate with the user credentials that were used to log onto the machine itself. If you want to use a different set of credentials you can disable this behavior. If you do this you will be presented with a pop-up dialogue box asking for the user name and password.April-2012-1Single sign onIt’s often useful to allow domain computers to authenticate to the wireless before a user logs on. This allows domain users to log onto the wireless from any domain machine, regardless of whether the user has ever used the machine before (i.e. has cached credentials).1.From the wireless network properties window, click the Advanced settingsbuttonThe following dialogue box offers the ability to specify several behaviors: Authentication mode – determines what entities can login to the wireless: users, machines, or user and machineApril-2012-1Enable single sign on – allows the machine to log onto the wireless network when a user is not logged on, this allows users with non-cached credentials to login to the wireless at the same time that they log onto the machineEAP-TLS ConfigurationIf you are using EAP-TLS, the configuration is very similar to PEAP with the following exceptions:1. A client certificate (user or machine) must be loaded on the machine orinstalled as part of auto-enrollment prior to the first connectionDuring the wireless network setup, go to the Security tab and select Microsoft: Smart Card or other certificate as the authentication methodApril-2012-1After choosing the authentication method, select Settings and make sure the checkbox next to Use a certificate on this computer is selectedThese are the only changes required to configure a client for EAP-TLS instead of PEAP.April-2012-1Configuring a Mac OS SupplicantIn this example, we will use an Apple Mac OS 10.7 (Lion) client using Apple’s built-in supplicant. This process is very similar for other versions of Mac OS when you use the built-in supplicant.If you wish to use a 3rd-party supplicant, like Odyssey or the client utility that came with the wireless adapter, please consult their documentation for set up details.1.Install any certificates, if required2.From the Settings application, go to Network and select Wi-Fi from the list ofnetwork interfaces on the left3.Click the Advanced button4.Click the plus (+) sign under Preferred Networks to define a new networkApril-2012-15.In the network profile dialogue, make sure the correct SSID, security type andcredentials are entered46.Click OK7.Click OK in the next dialogue box to save your changes8.The new SSID should appear in the dropdown box of Network Names9.Select the new SSID and connect. Enter your credentials if promptedEAP-TLS ConfigurationIf you are using EAP-TLS instead of PEAP there is no change to the configuration. Simply make sure the client certificate is installed in the Keychain Access before connecting. If prompted, select the correct certificate from the TLS Certificate dropdown menu.4 User credentials are not required, however if not entered here you will be prompted for your credentials when you connectApril-2012-1Appendix A–Fur ther Reading802.1XAn Introduction to 802.1X for Wireless Local Area Networks/media/pdf_autogen/802_1X_for_Wireless_LAN.pdfDigital Certificates and Certificate AuthoritiesMicrosoft – Understanding Digital Certificates and Public Key Cryptography /en-us/library/bb123848(v=exchg.65).aspx Installing a Certificate Server with Microsoft Windows Server 2008Application note available from Ruckus WirelessMicrosoft Network Policy ServerNetwork Policy and Access Services/en-us/library/cc754521(WS.10).aspxApril-2012-1Introduction & Key Concepts dffdfdApril-2012-1。
交换机MAC认证(MBA)说明与配置方法功能说明:为了完善802.1X解决方案,经过对相关模块的修改,IDNAC3.2以上版本现在已经支持交换机的MAC-AUTH,并在Cisco-3550和H3C-3600上测试通过,主要修改为:(1)在新建NAS设备的时候在Radius配置标签页添加了“此设备使用802.1X的MAC-AUTH认证方式”,选中这个选项的时候此设备来的认证都认为是MAC-AUTH的认证;(2)新终端或者未审批终端接入交换机,并触发MAC-AUTH认证请求的时候,Radius禁止其接入网络;(3)已审批的合法终端接入交换机,并触发MAC-AUTH认证请求,Radius直接发送Accept通知交换机开启端口;ACK配置步骤如下:1)新建网络接入设备2)选择网络访问设备,具体类型和厂商型号可以根据实际情况选择配置,如果实际型号没有提供,则选择默认,或者接近的一个。
3)给这个设备命名,填写IP地址4)配置Radius共享密钥,并勾选此设备支持MAC-AUTH认证方式。
5)将允许接入的终端配置成合法终端则此终端允许通过MAC-AUTH入网。
交换机具体配置如下:(1)Cisco-3550配置:#全局启用802.1Xdot1x system-auth-control#创建radius配置aaa new-modelaaa authentication dot1x default group radiusradius-server host 192.168.22.221 key 123456#进入端口视图interface fastEthernet 0/2switchport mode access#端口下启用802.1Xdot1x port-control auto#端口下启用mac-authdot1x mac-auth-bypass#设置mac-auth认证前探测802.1X客户端存在次数dot1x max-reauth-req 1#探测802.1X客户端重试间隔dot1x timeout tx-period 1(2)H3C-3600配置:system-view#创建Radius方案radius scheme radius1primary authentication 192.168.22.221primary accounting 192.168.22.221key authentication 123456key accounting 123456user-name-format without-domainquit#创建域domain Authentication default radius-scheme radius1authorization default radius-scheme radius1accounting default radius-scheme radius1quit#指定域用户的radius方案mac-authentication domain #全局启用mac地址认证[H3C] mac-authentication#开启端口mac-authmac-authentica on interface Ethernet 1/0/1mac-authentication authmode usernameasmacaddress 此命令默认,可不配置mac-authentication domain 需要进一步确认的问题是(我只是简单测试过下面的结论):(1)现在H3C-3600的mac-auth过程很快,基本上在1-3秒内完成,而Cisco-3550速度比较慢,整个认证过程大约有1分钟左右,现在不能确认慢在哪里,可能是我们3550交换机本来就有问题(802.1X认证的时候也很慢),也可能是mac-auth过程就是这么慢(因为cisco的原理是首先它会尝试使用802.1X认证,当尝试失败后才会使用mac-auth认证);(2)下挂hub的问题在mac-auth中交换机已经解决,两种交换机的处理方式基本相同,他们会对hub上接入的每一个mac地址做单独的认证,不经过mac-auth的pc是不能通过交换机进行网络通信的,即使hub上已经有pc通过mac-auth认证并正常通信,没有通过mac-auth认证的pc任然不能通过交换机。
天翼校园宽带操作指引一:802.1X客户端的安装802.1X客户端的安装程序是一个名称为ZTESupplicant_802.1x的压缩文件,解压文件双击Setup.exe文件,根据提示操作,一般直接点“下一步”就可完成安装。
客户端安装完打开客户端,如果客户端选取上网设备中为空白请重启电脑。
不同的操作系统安装和设置略有不同,请参照如下设置:Windows xp:如果以前没有安装winpcap或802.1x客户端,请直接安装。
如果安装过winpcap或802.1x客户端,请执行windows7 中的步骤1,步骤2后,直接安装。
安装的客户端在“选取上网设备”上能够显示网卡,即表示安装成功。
Windows7:如果以前没有安装过winpcap或802.1x客户端,直接安装并跳至第4步骤。
步骤1:首先,如果安装了winpcap,请先卸载winpcap,没有,请跳过此步骤。
在开始菜单中寻找是否有WinPcap,如果有,请单击Uninstall WinPcap如图所示:步骤2:请在以下文件夹文件夹下,确保以下相应文件不存在(以前未使用过客户端且未安装过WinpCap 软件的可不用此步骤);为了显示所有文件,请单击“计算机”—“组织”—“文件夹和搜索选项”,在弹出的“文件夹选项”对话框中,选择“查看”,下拉滚动条找到“显示隐藏的文件、文件夹和驱动器”,单击“确定”。
如下图所示。
寻找以下文件,如果有,将其删除。
C:\Windows\System32\drivers\npf.sysC:\Windows\System32\wpcap.dllC:\Windows\System32\WanPacket.dllC:\Windows\System32\Packet.dll步骤3:卸载原802.1x客户端。
方法:单击电脑左下角“开始”,单击“所有程序”。
单击“ZTE中兴认证客户端”,单击“卸载”。
如图所示。
步骤4:获得并安装新客户端。
802.1X 无线客户端设置
802.1X 无线客户端设置
802.1X 无线客户端设置
802.1X 无线客户端设置
802.1X 无线客户端设置
Windows XP
经过以上设置之后,在笔记本的无线网络连接里面会看到一个经过WPA加密的SSID,点击连接时,会出现无法找到证书的错误,这是因为windowsXP的默认设置不符合要求。
打开无线网络连接的属性—》无线网络配置,选择正确的SSID,点击属性
网络验证选择WPA,数据加密TKIP
点击“验证”选项卡,选择EAP类型为“受保护的EAP(PEAP),点击属性
勾掉“验证服务器证书“选项,选择”安全密码(EAP-MSCHAP v2),点击配置
勾掉“自动使用windows登录名和密码”
完成以上配置之后,就可以正常连接到IAS服务器,提示输入用户名密码
如果客户端是域成员,可以通过组策略完成以上客户端的配置。
Windows 7
打开网络连接,选择管理无线网络
删除已有的无线网络
然后添加一个无线网络,安全类型选择WPA2+企业,加密类型AES
点击下一步,然后选择更改连接设置
选择安全,点击高级设置
选择指定身份验证模式,下拉框选中用户身份验证,然后点击确定
去掉每当登录时记住此连接的凭据:做实验时方便
然后点击设置
去掉图中的两个勾,然后点击配置
去掉图中的勾
到此设置完成,可以去连接了,然后就可以输入用户名和密码了。
802.1X认证完整配置过程说明发出来和大家分享我在新浪有微博第一无线802.1x 的认证的网络拓布结构如下图:我们的认证客户端采用无线客户端,无线接入点是用cisco2100 wireless controller,服务器安装windows Server 2003 sp1;所以完整的配置方案应该对这三者都进行相关配置,思路是首先配置RADIUS server 端,其次是配置无线接入点,最后配置无线客户端,这三者的配置先后顺序是无所谓的。
配置如下:配置RADIUS Server Access Pointer Wireless ClientIP Address 192.168.1.188 192.168.1.201 DHCP自动获得Operate System Windows Server 2003 CISCO Wireless controller Windows XP配置RADIUS server步骤:配置RADIUS server 的前提是要在服务器上安装Active Directory ,IAS(internet验证服务),IIS管理器(internet信息服务管理器),和证书颁发机构;如果没有安装AD,在“开始”—〉“运行”—〉命令框中输入命令“dcpromo”,然后按照提示安装就可以了;如果没有安装证书颁发机构,就在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows 组件向导”的组件中选择“证书服务”并按提示安装;如果没有安装IAS和IIS,就在就在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows组件向导”的组件中选择“网络服务”按提示完成安装;在AD和证书服务没有安装时,要先安装AD然后安装证书服务,如果此顺序翻了,证书服务中的企业根证书服务则不能选择安装;在这四个管理部件都安装的条件下,可以配置RADIUS服务器了。
802.1X 认证客户端软件安装使用说明一、设置要求对于 Windows 用户,在保证计算机系统没问题的情况下,请在使用 802.1X 认证客户端之前进行如下设置:如下图所示,点击桌面的“开始”菜单,选择“设置”里面的“控制面板”,在“控制面板”窗口里,双击“网络连接”图标。
在打开的窗口中,右键点击“本地连接”图标,在弹出菜单中选择“属性”,打开本地连接“属性”的对话框。
如下图所示,选择“Internet 协议(TCP/IP)”点击“属性”按钮,选择“自动获得IP地址”和“自动获得DNS服务器地址”,点“确定”按钮。
二、客户端安装执行桌面“认证客户端.exe”,启动安装程序,如下图所示:在安装过程中,若出现“Mircrosoft Visual C++2005”则属于正常需求安装,如下图所示:注意:若用户系统装有诺顿、瑞星、360等杀毒软件或者防火墙,在安装本软件过程中,会提示用户是否允许继续安装等提示信息,则用户必须点允许安装,否则安装失败,用户不能正常认证上网。
认证客户端软件安装完成时,则显示如下图所示:可以选择“是”立即重新启动计算机或者“否”稍后重新启动计算机,点击“完成”。
三、连接网络认证双击“INode智能客户端”,如下图所示:选中“1x预设连接”按钮,点击“连接”按钮,如下图所示:然后点击1x预设连接的“属性”,打开属性对话框,若多网卡,则选择上网所用的网卡,点击“确定”,如下图所示:用户名填写的格式如下图说明:注意:技术中心的域为:tech // 公共教学的域为:teach // 宿舍的域为:dorm // 食堂的域为:mess // 机房的域为:jifang // 辅导员的域为:coach1.部门在技术中心楼的人员,用户名:自己的教工号后6位@tech2.部门在公共教学楼的人员,用户名:自己的教工号后6位@teach3.部门在食堂楼的人员,用户名:自己的教工号后6位@mess4.辅导员的用户名:自己的教工号后6位@coach5.宿舍学生的用户名:学生号@dorm举例:若部门在技术中心楼里的人员,教工号是test,则技术中心规定的域为tech,如下图所示:点击“连接”按钮,则显示连接认证信息的内容,显示连接成功,如下图所示:四、密码修改选中“1x预设按钮”,点击“操作”,选择“在线修改密码”,如下图所示:按提示输入密码信息,然后点击“确定”,显示用户密码修改成功,则如下图所示:五、断开网络认证选中“1x预设连接”,点击“断开”按钮,如上图所示,认证信息显示连接已经断开。
一、引言802.1x协议起源于802.11协议,后者是IEEE的无线局域网协议,制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。
IEEE802LAN协议定义的局域网并不提供接入认证,只要用户能接入局域网控制设备(如LANS witch),就可以访问局域网中的设备或资源。
这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。
随着移动办公及驻地网运营等应用的大规模发展,服务提供者需要对用户的接入进行控制和配置。
尤其是WLAN的应用和LAN接入在电信网上大规模开展,有必要对端口加以控制以实现用户级的接入控制,802.lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。
二、802.1x认证体系802.1x是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。
端口可以是一个物理端口,也可以是一个逻辑端口(如VLAN)。
对于无线局域网来说,一个端口就是一个信道。
802.1x认证的最终目的就是确定一个端口是否可用。
对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,即只允许802.1x的认证协议报文通过。
802.1x的体系结构如图1所示。
它的体系结构中包括三个部分,即请求者系统、认证系统和认证服务器系统三部分:图1802.1x认证的体系结构1.请求者系统请求者是位于局域网链路一端的实体,由连接到该链路另一端的认证系统对其进行认证。
请求者通常是支持802.1x认证的用户终端设备,用户通过启动客户端软件发起802.lx认证,后文的认证请求者和客户端二者表达相同含义。
2.认证系统认证系统对连接到链路对端的认证请求者进行认证。
认证系统通常为支持802.lx协议的网络设备,它为请求者提供服务端口,该端口可以是物理端口也可以是逻辑端口,一般在用户接入设备(如LAN Switch 和AP)上实现802.1x认证。
802.1X 认证客户端软件安装使用说明
一、设置要求
对于 Windows 用户,在保证计算机系统没问题的情况下,请在使用 802.1X 认证客户端之前进行如下设置:
如下图所示,点击桌面的“开始”菜单,选择“设置”里面的“控制面板”,在“控制面板”窗口里,双击“网络连接”图标。
在打开的窗口中,右键点击“本地连接”图标,在弹出菜单中选择“属性”,打开本地连接“属性”的对话框。
如下图所示,选择“Internet 协议(TCP/IP)”点击“属性”按钮,选择“自动获得IP
地址”和“自动获得DNS服务器地址”,点“确定”按钮。
二、客户端安装
执行桌面“”,启动安装程序,如下图所示:
在安装过程中,若出现“Mircrosoft Visual C++2005”则属于正常需求安装,如下图所示:
注意:
若用户系统装有诺顿、瑞星、360等杀毒软件或者防火墙,在安装本软件过程中,会提示用户是否允许继续安装等提示信息,则用户必须点允许安装,否则安装失败,用户不能正常认证上网。
认证客户端软件安装完成时,则显示如下图所示:
可以选择“是”立即重新启动计算机或者“否”稍后重新启动计算机,点击“完成”。
三、连接网络认证
双击“INode智能客户端”,如下图所示:
选中“1x预设连接”按钮,点击“连接”按钮,如下图所示:
然后点击1x预设连接的“属性”,打开属性对话框,若多网卡,则选择上网所用的网卡,点击“确定”,如下图所示:
用户名填写的格式如下图说明:
注意:
技术中心的域为:tech // 公共教学的域为:teach // 宿舍的域为:dorm // 食堂的域为:mess // 机房的域为:jifang // 辅导员的域为:coach
1.部门在技术中心楼的人员,用户名:自己的教工号后6位@tech
2.部门在公共教学楼的人员,用户名:自己的教工号后6位@teach
3.部门在食堂楼的人员,用户名:自己的教工号后6位@mess
4.辅导员的用户名:自己的教工号后6位@coach
5.宿舍学生的用户名:学生号@dorm
举例:若部门在技术中心楼里的人员,教工号是test,则技术中心规定的域为tech,
如下图所示:
点击“连接”按钮,则显示连接认证信息的内容,显示连接成功,如下图所示:
四、密码修改
选中“1x预设按钮”,点击“操作”,选择“在线修改密码”,如下图所示:
按提示输入密码信息,然后点击“确定”,显示用户密码修改成功,则如下图所示:五、断开网络认证
选中“1x预设连接”,点击“断开”按钮,如上图所示,认证信息显示连接已经断开。
