下载文档原格式
1802.1X一 基本简介1.802.1x 协议起源于802.11协议,主要目的是为了解决无线局域网用户的接入认证和基于端口的接入控制(Port-Based Access Control )问题.2.作用(1)802.1X 首先是一个认证协议,是一种对用户进行认证的方法和策略。
(2)802.1X 是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN 一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道)(3)802.1X 的认证的最终目的就是确定一个端口是否可用。
对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X 的认证报文EAPOL (Extensible Authentication Protocol over LAN )通过。
二802.1X 体系结构1.Supplicant System,客户端(PC/网络设备) :支持EAP 协议的终端或安装了802.1X 客户端软件的设备.2.Authenticator System,认证系统 :也就是认证代理,它负责802.1X 客户端接入一般是接入层交换机和接入AP.switch 与client 间通过EAPOL 协议进行通讯,switch 与认证服务器间通过EAPoRadius 或EAP 承载在其他高层协议上,以便穿越复杂的网络到达 Authentication Server (EAP Relay );switch 要求客户端提供identity,接收到后将EAP 报文承载在Radius 格式的报文中,再发送到认证服务器,返回等同;switch 根据认证结果控制端口是否可用;3.Authentication Sever System,认证服务器:实际就是AAA 服务器-RADIUS,WINDOWS 中相当于域控制器.它对客户进行实际认证,核实客户的identity ,通知swtich 是否允许客户端访问LAN 和交换机提供的服务Authentication Sever 接受 Authenticator 传递过来的认证需求,认证完成后将认证结果下发给 Authenticator ,完成对端口的管理。
802.1X简介IEEE 802.1X标准(以下简称802.1X)是一种基于接口的网络接入控制(Port Based Network Access Control)协议。
“基于接口的网络接入控制”是指在局域网接入控制设备的接口对接入的设备进行认证和控制。
用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
802.1X系统为典型的Client/Server体系结构,包括三个实体:∙Supplicant(客户端)客户端一般为用户终端设备,由设备端对其进行认证。
客户端需要安装802.1X的客户端软件,如Windows自带的802.1X客户端。
客户端必须支持局域网上的可扩展认证协议EAPoL(Extensible Authentication Protocol over LAN)。
∙Authenticator(设备端)设备端通常为支持802.1X协议的网络设备,它为客户端提供接入局域网的接口。
∙Authentication Server(认证服务器)认证服务器是为设备端提供认证服务的实体。
认证服务器用于实现对用户进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。
说明:在没有外部认证服务器的情况下,USG可以同时作为本地认证服务器和设备端。
USG的本地认证服务配置请参见配置本地认证。
在有外部认证服务器的情况下,USG作为设备端。
USG上对接RADIUS的配置请参见配置RADIUS认证。
认证实体的信息交换关系如图1所示。
设备端与认证服务器之间通过EAP帧交换信息。
客户端与设备端之间通过IEEE 802.1X所定义的EAPoL帧交换信息。
图1 802.1X认证系统的体系结构当客户端发起认证请求时,设备端作为中继与客户端和认证服务器交互,经过一系列的认证过程后,如果认证成功,设备的接口成为授权状态,允许客户端通过授权接口访问网络。
802.1 x 认证配置交换机上的用户到CAMS上来认证和计费,通常需要进行以下一些配置:1、配置VLAN和VLAN虚接口[S3526E]vlan 2[S3526E-vlan2]port ethernet 0/24[S3526E]interface vlan 2[S3526E-Vlan-interface2]ip address 10.110.81.30 255.255.255.0[S3526E]interface vlan 1[S3526E-Vlan-interface1]ip address 10.110.82.1 255.255.255.0[S3526E-Vlan-interface1]ip address 10.110.83.1 255.255.255.0 sub2、配置RADIUS方案[S3526E]radius scheme cams[S3526E-radius-cams]primary authentication 10.110.81.90 1812[S3526E-radius-cams]primary accounting 10.110.81.90 1813[S3526E-radius-cams]server-type huawei[S3526E-radius-cams]key authentication expert[S3526E-radius-cams]key accounting expert[S3526E-radius-cams]user-name-format without-domain[S3526E-radius-cams]data-flow-format data byte packet one-packet3、配置域名和缺省域名[S3526E]domain cams[S3526E-isp-cams]radius-scheme cams[S3526E-isp-cams]access-limit disable[S3526E-isp-cams]state active[S3526E-isp-cams]idle-cut disable[S3526E]domain default enable cams4、启动和设置802.1X认证[S3526E]dot1x[S3526E]interface Ethernet 0/2[S3526E-Ethernet0/2]dot1x[S3526E-Ethernet0/2]dot1x port-method macbased配置MA上的用户到CAMS上来认证和计费,通常需要进行以下一些配置:1、配置认证、计费方案[MA5200E]aaa[MA5200E-aaa]authentication-scheme cams[MA5200E-aaa-authen-cams]authentication-mode radius[MA5200E-aaa]accounting-scheme cams[MA5200E-aaa-accounting-cams]accounting-mode radius[MA5200E-aaa-accounting-cams]accounting realtime 3[MA5200E-aaa-accounting-cams]accounting interim-fail online[MA5200E-aaa-accounting-cams]accounting start-fail offline2、配置RADIUS服务器[MA5200E]radius-server group cams[MA5200E-radius-cams]radius-server authentication 10.110.81.90 1812 [MA5200E-radius-cams]radius-server accounting 10.110.81.90 1813[MA5200E-radius-cams]radius-server key expert[MA5200E-radius-cams]radius-server type portal[MA5200E-radius-cams]undo radius-server user-name domain-included [MA5200E-radius-cams]radius-server traffic-unit byte3、配置域名和缺省域名[MA5200E]aaa[MA5200E-aaa]domain cams[MA5200E-aaa-domain-cams]authentication-scheme cams[MA5200E-aaa-domain-cams]accounting-scheme cams[MA5200E-aaa-domain-cams]radius-server group cams[MA5200E-aaa-domain-cams]eap-sim-parameter[MA5200E-aaa-domain-cams]eap-end chap[MA5200E-aaa-domain-cams]ip-pool first cams[MA5200E]aaa[MA5200E-aaa]domain default[MA5200E-aaa-domain-default]authentication-scheme defaut0[MA5200E-aaa-domain- default]accounting-scheme default0[MA5200E-aaa-domain- default] web-authentication-server10.110.81.90 [MA5200E-aaa-domain- default] web-authentication-server urlhttp://10.110.81.90/portal[MA5200E-aaa-domain- default]ucl-group 1[MA5200E-aaa-domain- default]ip-pool first default4、配置上行端口[MA5200E]interface Ethernet 24[MA5200E-Ethernet24]negotiation auto[MA5200E]interface Ethernet 24.0[MA5200E-Ethernet24.0]ip address 10.110.81.12 255.255.255.0[MA5200E]portvlan ethernet 24 0[MA5200E-ethernet-24-vlan0-0]access-type interface5、配置接入端口[MA5200E]portvlan ethernet 2 0 4095[MA5200E-ethernet-2-vlan0-4094]access-typelayer2-subscriber[MA5200E-ethernet-2-vlan0-4094]authentication-method web[MA5200E-ethernet-2-vlan0-4094]default-domainpre-authentication default[MA5200E-ethernet-2-vlan0-4094]default-domainauthentication cams如果是采用Portal方式认证,还需要进行如下配置:6、配置Portal认证[MA5200E]web-auth-server version v2[MA5200E]web-auth-server 10.110.81.90 key expert[MA5200E-aaa-domain- default] web-authentication-server10.110.81.90[MA5200E-aaa-domain- default] web-authentication-serverurl http://10.110.81.90/portal7、配置ACL[MA5200E]acl number 101[MA5200E-acl-adv-101]rule net-user permit ip destination 1source 10.110.81.90 0 [MA5200E-acl-adv-101]rule user-net permit ipdestination 10.110.81.90 0 source 1 [MA5200E-acl-adv-101]rule user-net deny ip source 1[MA5200E]access-group 101。
华为交换机802.1X配置1 功能需求及组网说明『配置环境参数』1. 交换机vlan10包含端口E0/1-E0/10接口地址10.10.1.1/242. 交换机vlan20包含端口E0/11-E0/20接口地址10.10.2.1/243. 交换机vlan100包含端口G1/1接口地址192.168.0.1/244. RADIUS server地址为192.168.0.100/245. 本例中交换机为三层交换机『组网需求』1. PC1和PC2能够通过交换机本地认证上网2. PC1和PC2能够通过RADIUS认证上网2 数据配置步骤『802.1X本地认证流程』用户输入用户名和密码,报文送达交换机端口,此时交换机相应端口对于此用户来说是非授权状态,报文打上相应端口的PVID,然后根据用户名所带域名送到相应域中进行认证,如果没有带域名就送到缺省域中进行认证,如果存在相应的用户名和密码,就返回认证成功消息,此时端口对此用户变为授权状态,如果用户名不存在或者密码错误等,就返回认证不成功消息,端口仍然为非授权状态。
【SwitchA相关配置】1. 创建(进入)vlan10[SwitchA]vlan 102. 将E0/1-E0/10加入到vlan10[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/103. 创建(进入)vlan10的虚接口[SwitchA]interface Vlan-interface 104. 给vlan10的虚接口配置IP地址[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.05. 创建(进入)vlan20[SwitchA-vlan10]vlan 206. 将E0/11-E0/20加入到vlan20[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/207. 创建(进入)vlan20虚接口[SwitchA]interface Vlan-interface 208. 给vlan20虚接口配置IP地址[SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.09. 创建(进入)vlan100[SwitchA]vlan 10010. 将G1/1加入到vlan100[SwitchA-vlan100]port GigabitEthernet 1/111. 创建进入vlan100虚接口[SwitchA]interface Vlan-interface 10012. 给vlan100虚接口配置IP地址[SwitchA-Vlan-interface100]ip address 192.168.0.1 255.255.255.0【802.1X本地认证缺省域相关配置】1. 在系统视图下开启802.1X功能,默认为基于MAC的认证方式[SwitchA]dot1x2. 在E0/1-E0/10端口上开启802.1X功能,如果dot1x interface 后面不加具体的端口,就是指所有的端口都开启802.1X[SwitchA]dot1x interface eth 0/1 to eth 0/103. 这里采用缺省域system,并且缺省域引用缺省radius方案system。
19802.1X配置本章节描述基于AAA服务配置的相关内容。
802.1x用于控制用户对网络访问的认证,并对其提供授权与记帐功能。
本节包含如下内容:⏹19.1概述⏹19.2配置802.1X⏹19.3查看802.1x 的配置及当前的统计值⏹19.4配置802.1x 其它注意事项说明有关本节引用的CLI命令的详细使用信息及说明,请参照《配置802.1X命令》。
19.1概述IEEE 802 LAN 中,用户只要能接到网络设备上,不需要经过认证和授权即可直接使用。
这样,一个未经授权的用户,他可以没有任何阻碍地通过连接到局域网的设备进入网络。
随着局域网技术的广泛应用,特别是在运营网络的出现,对网络的安全认证的需求已经提到了议事日程上。
如何在以太网技术简单、廉价的基础上,提供用户对网络或设备访问合法性认证,已经成为业界关注的焦点。
IEEE802.1x 协议正是在这样的背景下提出的。
IEEE802.1x(Port-Based Network Access Control)是一个基于端口的网络存取控制标准,为LAN提供点对点式的安全接入。
这是IEEE标准委员会针对以太网的安全缺陷而专门制定的标准,能够在利用IEEE 802 LAN优势的基础上,提供一种对连接到局域网设备的用户进行认证的手段。
IEEE 802.1x 标准定义了一种基于“客户端——服务器”(Client-Server)模式实现了限制未认证用户对网络的访问。
客户端要访问网络必须先通过服务器的认证。
在客户端通过认证之前,只有EAPOL报文(Extensible Authentication Protocol overLAN)可以在网络上通行。
在认证成功之后,正常的数据流便可在网络上通行。
应用802.1x我司的设备提供了Authentication,Authorization,and Accounting三种安全功能,简称AAA。
⏹Authentication:认证,用于判定用户是否可以获得访问权,限制非法用户;⏹Authorization:授权,授权用户可以使用哪些服务,控制合法用户的权限;⏹Accounting:计账,记录用户使用网络资源的情况,为收费提供依据。
1、802.1x协议简介802.1x协议是基于Client/Server的访问控制和认证协议。
它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。
在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。
在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
802.1x认证包含三个角色:认证者--对接入的用户/设备进行认证的端口;请求者--被认证的用户/设备;认证服务器--根据认证者的信息,对请求访问网络资源的用户/设备进行实际认证功能的设备。
以太网的每个物理端口被分为受控和不受控的两个逻辑端口,物理端口收到的每个帧都被送到受控和不受控端口。
其中,不受控端口始终处于双向联通状态,主要用于传输认证信息。
而受控端口的联通或断开是由该端口的授权状态决定的。
受控端口与不受控端口的划分,分离了认证数据和业务数据,提高了系统的接入管理和接入服务提供的工作效率。
2、802.1x认证过程(1.客户端程序将发出请求认证的EAPoL-Start报文给交换机,开始启动一次认证过程。
(2.交换机收到请求认证的报文后,将发出一个EAP-Request/Identify报文要求用户的客户端程序将输入的用户信息送上来。
(3.客户端程序响应交换机发出的请求,将用户名信息通过EAP-Response/Identify报文送给交换机。
交换机通过Radius-Access-Request报文将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。
(4.认证服务器收到来自交换机的Radius-Access-Request报文,做如下几个操作:验证交换机的合法性:包括交换机的IP地址,以及RADIUS认证口令;验证RADIUS的ID字段中填入的账号是否有效;当上述两个条件满足的时候,给交换机应答此Radius-Access-Challenge报文。
交换机802.1x配置1、802.1X,端口认证,dot1x,也称为IBNS(注:IBNS包括port-security):基于身份的网络安全;当流量来到某个端口,需要和ACS交互,认证之后得到授权,才可以访问网络,前提是CLIENT必须支持802.1X 方式,如安装某个软件Extensible Authentication Protocol OverLan(EAPOL) 使用这个协议来传递认证授权信息示例配置:Router#configure terminalRouter(config)#aaa new-modelRouter(config)#aaa authentication dot1x default group radiusSwitch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkeyRouter(config)#dot1x system-auth-control 起用DOT1X功能Router(config)#interface fa0/0Router(config-if)#dot1x port-control autoAUTO是常用的方式,正常的通过认证和授权过程强制授权方式:不通过认证,总是可用状态强制不授权方式:实质上类似关闭了该接口,总是不可用可选配置:Switch(config)#interface fa0/3Switch(config-if)#dot1x reauthenticationSwitch(config-if)#dot1x timeout reauth-period 7200 //2小时后重新认证Switch#dot1x re-authenticate interface fa0/3 //现在重新认证,注意:如果会话已经建立,此方式不断开会话Switch#dot1x initialize interface fa0/3 //初始化认证,此时断开会话Switch(config)#interface fa0/3Switch(config-if)#dot1x timeout quiet-period 45 //45秒之后才能发起下一次认证请求Switch(config)#interface fa0/3Switch(config-if)#dot1x timeout tx-period 90 默认是30SSwitch(config-if)#dot1x max-req count 4 //客户端需要输入认证信息,通过该端口应答AAA服务器,如果交换机没有收到用户的这个信息,交换机发给客户端的重传信息,30S发一次,共4次Switch#configure terminalSwitch(config)#interface fastethernet0/3Switch(config-if)#dot1x port-control autoSwitch(config-if)#dot1x host-mode multi-host //默认是一个主机,当使用多个主机模式,必须使用AUTO方式授权,当一个主机成功授权,其他主机都可以访问网络;当授权失败,例如重认证失败或LOG OFF,所有主机都不可以使用该端口Switch#configure terminalSwitch(config)#dot1x guest-vlan supplicantSwitch(config)#interface fa0/3Switch(config-if)#dot1x guest-vlan 2 //未得到授权的进入VLAN2,提供了灵活性注意:1、VLAN2必须是在本交换机激活的,计划分配给游客使用;2、VLAN2信息不会被VTP传递出去Switch(config)#interface fa0/3Switch(config-if)#dot1x default //回到默认设置show dot1x [all] | [interface interface-id] | [statistics interface interface-id] [{ | begin | exclude | include} expression] Switch#sho dot1x allDot1x Info for interface FastEthernet0/3----------------------------------------------------Supplicant MAC 0040.4513.075bAuthSM State = AUTHENTICATEDBendSM State = IDLEPortStatus = AUTHORIZEDMaxReq = 2HostMode = SinglePort Control = AutoQuietPeriod = 60 SecondsRe-authentication = EnabledReAuthPeriod = 120 SecondsServerTimeout = 30 SecondsSuppTimeout = 30 SecondsTxPeriod = 30 SecondsGuest-Vlan = 0debug dot1x {errors | events | packets | registry | state-machine | all}。
配置802.1Q隧道本章描述实达交换机的隧道接口及其配置,主要包括以下几个部分:●理解802.1Q 隧道(tunneling)●配置802.1Q隧道理解802.1Q隧道(802.1Q tunneling)网络服务提供商的商业用户对所支持的VLAN及VLAN 号经常会有特殊的需求。
同一个服务商的用户所需要的VLAN范围可能重合,并且不同用户通过服务商核心网络的交换通路可能混在一起。
如果对每个用户限定一个VLAN范围将会限制用户的配置,并且VLAN号很容易就会超出802.1Q 定义的4096。
利用隧道(tunneling)功能,服务商可以用一个VLAN(服务商VLAN)来支持拥有多个VLAN的用户。
用户自身的VLAN被保留起来,这样即使进入网络服务商的不同用户的流的VLAN相同,也会在服务商的内部网络中被分开传输。
隧道通过双tag来扩展VLAN的范围,一个支持隧道的端口称为802.1Q 隧道端口(tunnel port)。
配置隧道的时候,可以给隧道端口赋一个VLAN作为隧道的专用VLAN。
这样,每个用户仅需要用一个服务商的VLAN,用户流在服务商网络中传输时被服务商VLAN 包装成双Tag帧,以服务商VLAN在网络中传输。
用户的交换流从其一个TRUNK端口,带着正常的802.1Q TAG进入到服务商边界交换机的一个隧道端口。
用户和服务商间非对称的连接称为非对称连接,因为连接的一端是一个Trunk port,另一端却是一个tunnel port。
不同用户的Tunnel port被赋予不同的VLAN 。
如图:用户A , VLANs1~100 用户A , VLANs1~100服务商网络Tunnel port VLAN30Tunnel port Tunnel port VLAN30VLAN30 Trunk portsTunnel port VLAN40 Tunnel port VLAN40用户B , VLANs1~200 用户B , VLANs1~200TrunkAsymmetric link图1 服务商网络中的802.1Q tunnel 端口从用户端的Trunk port进入到服务商网络边界交换机隧道端口的帧通常带802.1Q tag和VLAN。
802.1x配置命令⽬录H3C S2126-EI以太⽹交换机命令⼿册-Release22XX系列(V1.00)?01-命令⾏接⼝命令02-登录交换机命令03-配置⽂件管理命令04-VLAN命令05-配置管理VLAN命令06-IP地址-IP性能命令07-GVRP命令08-端⼝基本配置命令09-端⼝汇聚命令10-端⼝隔离命令11-端⼝安全命令12-MAC地址转发表管理命令13-MSTP命令14-组播协议命令15-802.1x及System-Guard命令16-AAA命令17-MAC地址认证命令18-ARP命令19-DHCP命令20-ACL命令21-QoS命令22-镜像命令23-Cluster命令24-SNMP-RMON命令25-NTP命令26-SSH命令27-⽂件系统管理命令28-FTP-SFTP-TFTP命令29-信息中⼼命令30-系统维护与调试命令31-VLAN-VPN命令32-HWPing命令33-IPv6管理命令34-LLDP命令35-域名解析命令36-PKI命令37-SSL命令38-HTTPS命令39-附录、H3C S2126-EI以太⽹交换机命令⼿册-Release22XX系列(V1.00)本章节下载(253.62 KB)15-802.1x及System-Guard命令⽬录1 802.1x配置命令1.1 802.1x配置命令1.1.1 display dot1x1.1.2 dot1x1.1.3 dot1x authentication-method1.1.4 dot1x dhcp-launch1.1.5 dot1x guest-vlan1.1.6 dot1x handshake1.1.7 dot1x handshake secure1.1.8 dot1x mandatory-domain1.1.9 dot1x max-user1.1.10 dot1x port-control1.1.11 dot1x port-method1.1.12 dot1x quiet-period1.1.13 dot1x retry1.1.14 dot1x retry-version-max1.1.15 dot1x re-authenticate1.1.16 dot1x supp-proxy-check1.1.17 dot1x timer1.1.18 dot1x timer reauth-period1.1.19 dot1x version-check1.1.20 reset dot1x statistics2 HABP配置命令2.1 HABP配置命令2.1.1 display habp2.1.2 display habp table2.1.3 display habp traffic2.1.4 habp enable2.1.5 habp server vlan2.1.6 habp timer3 system-guard配置命令3.1 system-guard配置命令3.1.1 display system-guard config 3.1.2 system-guard enable3.1.3 system-guard mode3.1.4 system-guard permit1 802.1x配置命令1.1 802.1x配置命令1.1.1 display dot1x【命令】display dot1x [ sessions | statistics ] [ interface interface-list ]【视图】任意视图【参数】sessions:显⽰802.1x的会话连接信息。
简单的说,IEEE 802.1x是一种认证技术,是对交换机上的2层接口所连接的主机做认证,当主机接到开启了IEEE 802.1x认证的接口上,就有可能被认证,否则就有可能被拒绝访问网络。
在接口上开启IEEE 802.1x认证后,在没有通过认证之前,只有IEEE 802.1x认证消息,CDP,以及STP的数据包能够通过。
因为主机接到开启了IEEE 802.1x认证的接口后,需要通过认证才能访问网络,要通过认证,只要输入合法的用户名和密码即可。
交换机收到用户输入的账户信息后,要判断该账户是否合法,就必须和用户数据库做个较对,如果是数据库中存在的,则认证通过,否则认证失败,最后拒绝该用户访问网络。
交换机提供给IEEE 802.1x认证的数据库可以是交换机本地的,也可以是远程服务器上的,这需要通过AAA来定义,如果AAA指定认证方式为本地用户数据库(Local),则读取本地的账户信息,如果AAA指定的认证方式为远程服务器,则读取远程服务器的账户信息,AAA为IEEE 802.1x提供的远程服务器认证只能是RADIUS服务器,该RADIUS服务器只要运行Access Control Server Version 3.0(ACS 3.0)或更高版本即可。
当开启IEEE 802.1x后,并且连接的主机支持IEEE 802.1x认证时,将得出如下结果:★如果认证通过,交换机将接口放在配置好的VLAN中,并放行主机的流量。
★如果认证超时,交换机则将接口放入guest vlan。
★如果认证不通过,但是定义了失败VLAN,交换机则将接口放入定义好的失败VLAN中。
★如果服务器无响应,定义放行,则放行。
注:不支持IEEE 802.1x认证的主机,也会被放到guest vlan中。
提示:当交换机使用IEEE 802.1x对主机进行认证时,如果主机通过了认证,交换机还可以根据主机输入的不同账户而将接口划入不同的VLAN,此方式称为IEEE 802.1x动态VLAN认证技术,并且需要在RADIUS服务器上做更多的设置。
第1章 802.1X配置1.1 802.1X协议简介1.1.1 802.1X协议简介IEEE 802.1X定义了基于端口的网络接入控制协议,起源于802.11协议--标准的无线局域网协议。
IEEE 802.1X协议的主要目的是解决无线局域网用户的接入认证问题,但其在IEEE 802 LAN所定义的有线局域网中的应用,为LAN提供了接入认证的手段。
在IEEE 802 LAN所定义的局域网中,只要用户接入局域网控制设备,如LanSwitch,用户就可以访问局域网中的设备或资源。
但是对于如电信接入、写字楼LAN 以及移动办公等应用,设备提供者希望能对用户的接入进行控制,为此产生了基于端口的网络接入控制(Port Based network access control)需求。
基于端口的网络接入控制(Port Based network access control)是在 LAN设备的物理接入级对接入设备进行认证和控制,此处的物理接入级指的是LAN设备的端口。
连接在该类端口上的用户设备如果能通过认证,就可以访问LAN内的资源;如果不能通过认证,则无法访问 LAN 内的资源,相当于物理上断开连接。
IEEE 802.1x定义了基于端口的网络接入控制协议,而且仅定义了接入设备与接入端口间点到点的连接方式。
其中端口可以是物理端口,也可以是逻辑端口。
典型的应用方式有:LanSwitch 的一个物理端口仅连接一个End Station(基于物理端口);IEEE 802.11定义的无线LAN 接入(基于逻辑端口)等。
Quidway S3526在802.1X的实现中,不仅支持协议所规定的端口接入认证方式,还对其进行了优化,接入控制方式可以基于端口,也可以基于MAC地址,极大地提高了安全性和可管理性。
1.1.2 802.1X体系结构802.1X系统包括三个实体:客户端、认证系统、认证服务器,图1中与之相应的各部分为: Supplicant System(用户接入);Authenticator System(接入认证);Authentication Sever System(认证服务器)。
1.11 802.1X典型配置举例1.11.1 802.1X认证配置举例1. 组网需求用户通过Device的端口GigabitEthernet2/0/1接入网络,设备对该端口接入的用户进行802.1X认证以控制其访问Internet,具体要求如下:∙由两台RADIUS服务器组成的服务器组与Device相连,其IP地址分别为10.1.1.1/24和10.1.1.2/24,使用前者作为主认证/计费服务器,使用后者作为备份认证/计费服务器。
∙端口GigabitEthernet2/0/1下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
∙认证时,首先进行RADIUS认证,如果RADIUS服务器没有响应则进行本地认证。
∙所有接入用户都属于同一个ISP域bbb。
∙ Device与RADIUS认证服务器交互报文时的共享密钥为name、与RADIUS计费服务器交互报文时的共享密钥为money。
2. 组网图图1-12 802.1X认证组网图3. 配置步骤(1) 配置各接口的IP地址(略)(2) 配置本地用户# 添加网络接入类本地用户,用户名为localuser,密码为明文输入的localpass。
(此处添加的本地用户的用户名和密码需要与服务器端配置的用户名和密码保持一致,本例中的localuser仅为示例,请根据实际情况配置)<Device> system-view[Device] local-user localuser class network[Device-luser-network-localuser] password simple localpass# 配置本地用户的服务类型为lan-access。
[Device-luser-network-localuser] service-type lan-access[Device-luser-network-localuser] quit(3) 配置RADIUS方案# 创建RADIUS方案radius1并进入其视图。
