华为,华赛8021x配置
- 格式:docx
- 大小:130.33 KB
- 文档页数:18
下载文档原格式
合集下载
802.1X认证配置案例
这次的配置在无线认证这一块800给了我很多帮助,在这里多谢网件的冯颖然,杨伟峰,负责AP的黄工三位工程师在整个调试过程中给予我的无私帮助.有点小经验,特分享如下,希望以后大家做相关配置时有所借鉴.技术:客户原有核心交换机为h3c 7506r,共8层楼,现每层楼布放4个AP,各配线间交换机为h3c 3100,为便于管理,每层楼的AP均统一拉线至5楼的配线间的最下面一台3100交换机,现我已做了相关的无线VLAN,(192.168.101.x),并在交换机做了相应的设置,而各AP(WG302)在默认的情况下也是不需要配置即可实现无线上网,针对客户提出的外来人员需要验证方能连入外网的要求,我们决定采用802.1x认证来实现,具体配置如下。
创造一个新的无线VLAN:核心交换机7506R:创新VLAN 划端口到VLAN(可选)给VLAN分配IP地址 DHCP (可选) ACL(可选)路由器:给新VLAN加返回路由接入交换机3100:创新VLAN 划端口到VLAN(可选)radius服务器设置:(winradius)1,设置---数据库---自动配置ODBC2,设置-系统-设置密码为******* ,认证和计费端口为默认3,操作--添加帐号只设用户名和密码即可,这里设为user/userwg302设置:五楼配线间的从下往下数第五台H3C 3100交换机24个百兆口连接各楼层的AP,对于每个AP,其默认地址为192.168.0.228,需要首先将配置电脑改为与AP同段并且同接在第五台交换机上(处于同一个VLAN)配置如下:1,在IE中输入192.168.0.228 回车,出现登陆界面,输入默认用户名和密码admin/password.2,进入basic setting,设置IP地址为192.168.101.4(从4开始,以后每个AP的设置这里不同,这是每个AP的设置不同点之一,如第二个AP要设成192.168.101.5,第三个AP要设成192.168.101.6),掩码255.255.255.0,网关192.168.101.1,DNS服务器202.96.128.86 61.144.56.100,区域选为亚洲。
华为,华赛802.1x配置
802.1X简介IEEE 802.1X标准(以下简称802.1X)是一种基于接口的网络接入控制(Port Based Network Access Control)协议。
“基于接口的网络接入控制”是指在局域网接入控制设备的接口对接入的设备进行认证和控制。
用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
802.1X系统为典型的Client/Server体系结构,包括三个实体:∙Supplicant(客户端)客户端一般为用户终端设备,由设备端对其进行认证。
客户端需要安装802.1X的客户端软件,如Windows自带的802.1X客户端。
客户端必须支持局域网上的可扩展认证协议EAPoL(Extensible Authentication Protocol over LAN)。
∙Authenticator(设备端)设备端通常为支持802.1X协议的网络设备,它为客户端提供接入局域网的接口。
∙Authentication Server(认证服务器)认证服务器是为设备端提供认证服务的实体。
认证服务器用于实现对用户进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。
说明:在没有外部认证服务器的情况下,USG可以同时作为本地认证服务器和设备端。
USG的本地认证服务配置请参见配置本地认证。
在有外部认证服务器的情况下,USG作为设备端。
USG上对接RADIUS的配置请参见配置RADIUS认证。
认证实体的信息交换关系如图1所示。
设备端与认证服务器之间通过EAP帧交换信息。
客户端与设备端之间通过IEEE 802.1X所定义的EAPoL帧交换信息。
图1 802.1X认证系统的体系结构当客户端发起认证请求时,设备端作为中继与客户端和认证服务器交互,经过一系列的认证过程后,如果认证成功,设备的接口成为授权状态,允许客户端通过授权接口访问网络。
华为交换机8021x用户认证配置
华为5700本机完成802.1X用户认证配置网络需求:需要公司人员根据自己的工号完成了802.1x认证之后才能进行通信和访问外网网络实验拓扑:第一步:建立802.1x认证用户[manage-converged]aaa[manage-converged-aaa]local-user cd00470 password cipher 12345 [manage-converged-aaa]local-user cd00470 service-type 8021x 指定用户的服务类型第二步:开启全局802.1x功能[manage-converged]dot1x enable[manage-converged]dot1x authentication-method chapPAP(Password Authentication Protocol)是一种两次握手认证协议,它采用明文方式传送口令。
CHAP(Challenge Handshake Authentication Protocol)是一种三次握手认证协议,它只在网络上传输用户名,而并不传输口令。
相比之下,CHAP认证保密性较好,更为安全可靠。
EAP认证功能,意味着交换机直接把802.1x用户的认证信息以EAP报文发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证。
如果要采用PEAP、EAP-TLS、EAP-TTLS或者EAP-MD5这四种认证方法之一,只需启动EAP认证即可第三步:开启接口802.1x功能[manage-converged-GigabitEthernet0/0/26]dot1x enable[manage-converged-GigabitEthernet0/0/26]dot1x port-method ?mac Authentication based on user MAC addressport Authentication based on switch port基于端口模式:只要连接在该端口的第一个MAC设备通过认证,该端口连接的其他MAC设备不用认证都允许接入。
802.1 x 认证实验参考配置
802.1 x 认证配置交换机上的用户到CAMS上来认证和计费,通常需要进行以下一些配置:1、配置VLAN和VLAN虚接口[S3526E]vlan 2[S3526E-vlan2]port ethernet 0/24[S3526E]interface vlan 2[S3526E-Vlan-interface2]ip address 10.110.81.30 255.255.255.0[S3526E]interface vlan 1[S3526E-Vlan-interface1]ip address 10.110.82.1 255.255.255.0[S3526E-Vlan-interface1]ip address 10.110.83.1 255.255.255.0 sub2、配置RADIUS方案[S3526E]radius scheme cams[S3526E-radius-cams]primary authentication 10.110.81.90 1812[S3526E-radius-cams]primary accounting 10.110.81.90 1813[S3526E-radius-cams]server-type huawei[S3526E-radius-cams]key authentication expert[S3526E-radius-cams]key accounting expert[S3526E-radius-cams]user-name-format without-domain[S3526E-radius-cams]data-flow-format data byte packet one-packet3、配置域名和缺省域名[S3526E]domain cams[S3526E-isp-cams]radius-scheme cams[S3526E-isp-cams]access-limit disable[S3526E-isp-cams]state active[S3526E-isp-cams]idle-cut disable[S3526E]domain default enable cams4、启动和设置802.1X认证[S3526E]dot1x[S3526E]interface Ethernet 0/2[S3526E-Ethernet0/2]dot1x[S3526E-Ethernet0/2]dot1x port-method macbased配置MA上的用户到CAMS上来认证和计费,通常需要进行以下一些配置:1、配置认证、计费方案[MA5200E]aaa[MA5200E-aaa]authentication-scheme cams[MA5200E-aaa-authen-cams]authentication-mode radius[MA5200E-aaa]accounting-scheme cams[MA5200E-aaa-accounting-cams]accounting-mode radius[MA5200E-aaa-accounting-cams]accounting realtime 3[MA5200E-aaa-accounting-cams]accounting interim-fail online[MA5200E-aaa-accounting-cams]accounting start-fail offline2、配置RADIUS服务器[MA5200E]radius-server group cams[MA5200E-radius-cams]radius-server authentication 10.110.81.90 1812 [MA5200E-radius-cams]radius-server accounting 10.110.81.90 1813[MA5200E-radius-cams]radius-server key expert[MA5200E-radius-cams]radius-server type portal[MA5200E-radius-cams]undo radius-server user-name domain-included [MA5200E-radius-cams]radius-server traffic-unit byte3、配置域名和缺省域名[MA5200E]aaa[MA5200E-aaa]domain cams[MA5200E-aaa-domain-cams]authentication-scheme cams[MA5200E-aaa-domain-cams]accounting-scheme cams[MA5200E-aaa-domain-cams]radius-server group cams[MA5200E-aaa-domain-cams]eap-sim-parameter[MA5200E-aaa-domain-cams]eap-end chap[MA5200E-aaa-domain-cams]ip-pool first cams[MA5200E]aaa[MA5200E-aaa]domain default[MA5200E-aaa-domain-default]authentication-scheme defaut0[MA5200E-aaa-domain- default]accounting-scheme default0[MA5200E-aaa-domain- default] web-authentication-server10.110.81.90 [MA5200E-aaa-domain- default] web-authentication-server urlhttp://10.110.81.90/portal[MA5200E-aaa-domain- default]ucl-group 1[MA5200E-aaa-domain- default]ip-pool first default4、配置上行端口[MA5200E]interface Ethernet 24[MA5200E-Ethernet24]negotiation auto[MA5200E]interface Ethernet 24.0[MA5200E-Ethernet24.0]ip address 10.110.81.12 255.255.255.0[MA5200E]portvlan ethernet 24 0[MA5200E-ethernet-24-vlan0-0]access-type interface5、配置接入端口[MA5200E]portvlan ethernet 2 0 4095[MA5200E-ethernet-2-vlan0-4094]access-typelayer2-subscriber[MA5200E-ethernet-2-vlan0-4094]authentication-method web[MA5200E-ethernet-2-vlan0-4094]default-domainpre-authentication default[MA5200E-ethernet-2-vlan0-4094]default-domainauthentication cams如果是采用Portal方式认证,还需要进行如下配置:6、配置Portal认证[MA5200E]web-auth-server version v2[MA5200E]web-auth-server 10.110.81.90 key expert[MA5200E-aaa-domain- default] web-authentication-server10.110.81.90[MA5200E-aaa-domain- default] web-authentication-serverurl http://10.110.81.90/portal7、配置ACL[MA5200E]acl number 101[MA5200E-acl-adv-101]rule net-user permit ip destination 1source 10.110.81.90 0 [MA5200E-acl-adv-101]rule user-net permit ipdestination 10.110.81.90 0 source 1 [MA5200E-acl-adv-101]rule user-net deny ip source 1[MA5200E]access-group 101。
华为交换机802.1X配置
华为交换机802.1X配置1 功能需求及组网说明『配置环境参数』1. 交换机vlan10包含端口E0/1-E0/10接口地址10.10.1.1/242. 交换机vlan20包含端口E0/11-E0/20接口地址10.10.2.1/243. 交换机vlan100包含端口G1/1接口地址192.168.0.1/244. RADIUS server地址为192.168.0.100/245. 本例中交换机为三层交换机『组网需求』1. PC1和PC2能够通过交换机本地认证上网2. PC1和PC2能够通过RADIUS认证上网2 数据配置步骤『802.1X本地认证流程』用户输入用户名和密码,报文送达交换机端口,此时交换机相应端口对于此用户来说是非授权状态,报文打上相应端口的PVID,然后根据用户名所带域名送到相应域中进行认证,如果没有带域名就送到缺省域中进行认证,如果存在相应的用户名和密码,就返回认证成功消息,此时端口对此用户变为授权状态,如果用户名不存在或者密码错误等,就返回认证不成功消息,端口仍然为非授权状态。
【SwitchA相关配置】1. 创建(进入)vlan10[SwitchA]vlan 102. 将E0/1-E0/10加入到vlan10[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/103. 创建(进入)vlan10的虚接口[SwitchA]interface Vlan-interface 104. 给vlan10的虚接口配置IP地址[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.05. 创建(进入)vlan20[SwitchA-vlan10]vlan 206. 将E0/11-E0/20加入到vlan20[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/207. 创建(进入)vlan20虚接口[SwitchA]interface Vlan-interface 208. 给vlan20虚接口配置IP地址[SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.09. 创建(进入)vlan100[SwitchA]vlan 10010. 将G1/1加入到vlan100[SwitchA-vlan100]port GigabitEthernet 1/111. 创建进入vlan100虚接口[SwitchA]interface Vlan-interface 10012. 给vlan100虚接口配置IP地址[SwitchA-Vlan-interface100]ip address 192.168.0.1 255.255.255.0【802.1X本地认证缺省域相关配置】1. 在系统视图下开启802.1X功能,默认为基于MAC的认证方式[SwitchA]dot1x2. 在E0/1-E0/10端口上开启802.1X功能,如果dot1x interface 后面不加具体的端口,就是指所有的端口都开启802.1X[SwitchA]dot1x interface eth 0/1 to eth 0/103. 这里采用缺省域system,并且缺省域引用缺省radius方案system。
华为数据中心5800交换机01-02 802 1x认证配置
l 当设备端工作于终结方式时,设备端终结EAPOL消息,并转换为其它认证协议(如 RADIUS),传递用户认证信息给认证服务器。
设备端每个物理接口都在逻辑上划分为受控端口和非受控端口。非受控端口始终开 放,主要用来传递EAPOL协议帧,可随时保证接收客户端发出的EAPOL认证报文;受 控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。
认证方式 EAP终结认证
定义
优势
劣势
由网络接入设备 终结用户的EAP报 文,解析出用户
名和密码,并对
密码进行加密, 再将EAP报文转换 成标准的RADIUS 报文后发给 RADIUS服务器来 完成认证。
RADIUS服务器并 不需要支持EAP认 证,减轻了服务
器压力。
设备端处理较为 复杂。
认证流程
对于EAP中继方式,802.1x认证流程如图2-2所示。
CloudEngine 8800&7800&6800&5800 系列交换机 配置指南-安全
2 802.1x 认证配置
表 2-1 802.1x 认证方式
认证方式
定义
优势
劣势
EAP中继认证
也叫EAP透传认 证,由网络接入 设备直接把802.1x 用户的认证信息 以及EAP报文直接 封装到RADIUS报 文的属性字段
中,发送给 RADIUS服务器, 而无须将EAP报文 转换成标准的 RADIUS报文后再 发给RADIUS服务 器来完成认证。
可以支持的认证 方式包括:
l MD5Challenge:例 如基于Linux操 作系统的 Xsupplicant客 户端和 FreeRadius服务 器之间可以采 用MD5Challenge认 证。服务器需 要配置MD5策 略属性。EAPMD5认证方式 简单。
设备端每个物理接口都在逻辑上划分为受控端口和非受控端口。非受控端口始终开 放,主要用来传递EAPOL协议帧,可随时保证接收客户端发出的EAPOL认证报文;受 控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。
认证方式 EAP终结认证
定义
优势
劣势
由网络接入设备 终结用户的EAP报 文,解析出用户
名和密码,并对
密码进行加密, 再将EAP报文转换 成标准的RADIUS 报文后发给 RADIUS服务器来 完成认证。
RADIUS服务器并 不需要支持EAP认 证,减轻了服务
器压力。
设备端处理较为 复杂。
认证流程
对于EAP中继方式,802.1x认证流程如图2-2所示。
CloudEngine 8800&7800&6800&5800 系列交换机 配置指南-安全
2 802.1x 认证配置
表 2-1 802.1x 认证方式
认证方式
定义
优势
劣势
EAP中继认证
也叫EAP透传认 证,由网络接入 设备直接把802.1x 用户的认证信息 以及EAP报文直接 封装到RADIUS报 文的属性字段
中,发送给 RADIUS服务器, 而无须将EAP报文 转换成标准的 RADIUS报文后再 发给RADIUS服务 器来完成认证。
可以支持的认证 方式包括:
l MD5Challenge:例 如基于Linux操 作系统的 Xsupplicant客 户端和 FreeRadius服务 器之间可以采 用MD5Challenge认 证。服务器需 要配置MD5策 略属性。EAPMD5认证方式 简单。
802.1x典型配置案例
1.1 组网图图3-1 典型企业网应用组网图1.2 配置步骤1.2.1 交换机上的配置#设置RADIUS方案cams,设置主备服务器。
<H3C> system-view[H3C] radius scheme cams[H3C-radius-cams] primary authentication 192.168.1.19[H3C-radius-cams] primary accounting 192.168.1.19[H3C-radius-cams] secondary authentication 192.168.1.20[H3C-radius-cams] secondary accounting 192.168.1.20#设置系统与认证Radius服务器交互报文时加密密码为expert,与计费Radius服务器交互报文的加密密码为expert。
[H3C-radius-cams] key authentication expert[H3C-radius-cams] key accounting expert#设置用户名为带域名格式。
[H3C-radius-cams] user-name-format with-domain#服务类型为extended。
[H3C-radius-cams] server-type extended#配置设备重启用户再认证功能。
[H3C-radius-cams] accounting-on enable#定义ISP域abc,并配置认证采用RADIUS方案cams。
[H3C] domain abc[H3C-isp-abc] radius-scheme cams[H3C-isp-abc] quit#将ISP域abc设置为缺省ISP域。
[H3C] domain default enable abc#动态VLAN下发模式[H3C-isp-abc] vlan-assignment-mode integer#用户接入端口启用Guest VLAN功能[H3C] vlan 10[H3C-Ethernet1/0/3] dot1x port-method portbased[H3C-Ehternet1/0/3] dot1x guest-vlan 10#启用802.1x[H3C] dot1x#端口视图下启用dot1x[H3C-Ethernet1/0/3] dot1x#使用display命令可以查看关于802.1x,AAA相关参数配置。
准入控制802.1x用户配置手册
802.1x用户配置手册802.1x用户配置手册 (1)1 实现功能 (2)2 总体流程 (2)2.1 802.1X原理分析 (2)2.2 802.1X认证流程 (3)2.3 802.1X配置流程 (4)3 具体实现 (4)3.1 准备环境 (4)3.2管理平台配置 (4)3.2.1 建立策略 (4)3.2.2 策略说明 (5)3.2.3 策略下发 (6)3.3 Radius服务器配置 (7)3.4交换机配置 (16)各厂商交换机配置 (16)1. Cisco2950配置方法 (16)2. 华为3COM 3628配置 (17)1实现功能随着以太网建设规模的迅速扩大,网络上原有的认证系统已经不能很好的适应用户数量急剧增加和宽带业务多样性的要求,造成网络终端接入管理混乱,大量被植入木马、病毒的机器随便接入网络,给网络内部资料的保密,和终端安全的管理带来极大考验。
在此前提下IEEE推出 802.1x协议它是目前业界最新的标准认证协议。
802.1X的出现结束了非法用户未经授权进入内部网络,为企业内部安全架起一道强有力的基础安全保障。
2总体流程我们首先先了解下,802.1X协议的原来与认证过程,在与内网安全管理程序的结合中,如何设置802.1X协议,并方便了终端用户在接入方面的配置。
2.1802.1X原理分析802.1x协议起源于802.11协议,后者是IEEE的无线局域网协议,制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。
IEEE802LAN协议定义的局域网并不提供接入认证,只要用户能接入局域网控制设备 (如LANS witch) ,就可以访问局域网中的设备或资源。
这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。
但是随着移动办公及驻地网运营等应用的大规模发展,服务提供者需要对用户的接入进行控制和配置。
尤其是WLAN的应用和LAN接入在电信网上大规模开展,有必要对端口加以控制以实现用户级的接入控制,802.lx就是IEEE为了解决基于端口的接入控制 (Port-Based Network Access Contro1) 而定义的一个标准。
华为交换机8021x配置说明
radius-server template huawei
radius-server shared-key test
radius-server authentication 1.1.1.3 1645
undo radius-server user-name domain-included 配置认证不带radius认证不带域名,
3.配置radius的认证方式,
q
domain default enable expodomain
#
dot1x
dot1x authentication-method eap
二、8号楼华为交换机3352-配置命令:
radius-server template expo
domain default
authentication-scheme huawei1 认证方式huawei1
radius-server host 172.16.102.195 key Expo2010
radius-server vsa send authentication
radius-server retraymit 3
dot1x system-auth-control
int range f0/1 – 3
secondary accounting 172.16.102.195
key authentication Expo2010
key accounting Expo2010
user-name-format without-domain
q
#
domain expodomain
scheme radius-scheme exporadius
radius-server shared-key test
radius-server authentication 1.1.1.3 1645
undo radius-server user-name domain-included 配置认证不带radius认证不带域名,
3.配置radius的认证方式,
q
domain default enable expodomain
#
dot1x
dot1x authentication-method eap
二、8号楼华为交换机3352-配置命令:
radius-server template expo
domain default
authentication-scheme huawei1 认证方式huawei1
radius-server host 172.16.102.195 key Expo2010
radius-server vsa send authentication
radius-server retraymit 3
dot1x system-auth-control
int range f0/1 – 3
secondary accounting 172.16.102.195
key authentication Expo2010
key accounting Expo2010
user-name-format without-domain
q
#
domain expodomain
scheme radius-scheme exporadius
H3C 802.1x配置
操作手册 安全分册 802.1x
目录
目录
第 1 章 802.1x配置..................................................................................................................1-1 1.1 802.1x简介 ......................................................................................................................... 1-1 1.1.1 802.1x的体系结构.................................................................................................... 1-1 1.1.2 802.1x的基本概念.................................................................................................... 1-2 1.1.3 EAPOL消息的封装 .................................................................................................. 1-4 1.1.4 EAP属性的封装 ....................................................................................................... 1-5 1.1.5 802.1x的认证过程.................................................................................................... 1-6 1.1.6 802.1x的定时器 ....................................................................................................... 1-9 1.1.7 802.1x在设备中的实现 .......................................................................................... 1-10 1.1.8 和 802.1x配合使用的特性...................................................................................... 1-10 1.2 配置 802.1x ...................................................................................................................... 1-12 1.2.1 配置准备 ................................................................................................................ 1-12 1.2.2 配置全局 802.1x .................................................................................................... 1-13 1.2.3 配置端口的 802.1x................................................................................................. 1-14 1.3 配置Guest VLAN.............................................................................................................. 1-16 1.3.1 配置准备 ................................................................................................................ 1-16 1.3.2 配置Guest VLAN ................................................................................................... 1-16 1.4 802.1x显示和维护 ............................................................................................................ 1-17 1.5 802.1x典型配置举例 ........................................................................................................ 1-17 1.6 Guest VLAN的典型配置举例............................................................................................ 1-20 1.7 下发ACL典型配置举例 ..................................................................................................... 1-22
目录
目录
第 1 章 802.1x配置..................................................................................................................1-1 1.1 802.1x简介 ......................................................................................................................... 1-1 1.1.1 802.1x的体系结构.................................................................................................... 1-1 1.1.2 802.1x的基本概念.................................................................................................... 1-2 1.1.3 EAPOL消息的封装 .................................................................................................. 1-4 1.1.4 EAP属性的封装 ....................................................................................................... 1-5 1.1.5 802.1x的认证过程.................................................................................................... 1-6 1.1.6 802.1x的定时器 ....................................................................................................... 1-9 1.1.7 802.1x在设备中的实现 .......................................................................................... 1-10 1.1.8 和 802.1x配合使用的特性...................................................................................... 1-10 1.2 配置 802.1x ...................................................................................................................... 1-12 1.2.1 配置准备 ................................................................................................................ 1-12 1.2.2 配置全局 802.1x .................................................................................................... 1-13 1.2.3 配置端口的 802.1x................................................................................................. 1-14 1.3 配置Guest VLAN.............................................................................................................. 1-16 1.3.1 配置准备 ................................................................................................................ 1-16 1.3.2 配置Guest VLAN ................................................................................................... 1-16 1.4 802.1x显示和维护 ............................................................................................................ 1-17 1.5 802.1x典型配置举例 ........................................................................................................ 1-17 1.6 Guest VLAN的典型配置举例............................................................................................ 1-20 1.7 下发ACL典型配置举例 ..................................................................................................... 1-22
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
802.1X简介IEEE 802.1X标准(以下简称802.1X)是一种基于接口的网络接入控制(Port Based Network Access Control)协议。
“基于接口的网络接入控制”是指在局域网接入控制设备的接口对接入的设备进行认证和控制。
用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
802.1X系统为典型的Client/Server体系结构,包括三个实体:•Supplicant(客户端)客户端一般为用户终端设备,由设备端对其进行认证。
客户端需要安装802.1X的客户端软件,如Windows自带的802.1X客户端。
客户端必须支持局域网上的可扩展认证协议EAPoL(Extensible Authentication Protocol over LAN)。
•Authenticator(设备端)设备端通常为支持802.1X协议的网络设备,它为客户端提供接入局域网的接口。
•Authentication Server(认证服务器)认证服务器是为设备端提供认证服务的实体。
认证服务器用于实现对用户进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。
说明:在没有外部认证服务器的情况下,USG可以同时作为本地认证服务器和设备端。
USG的本地认证服务配置请参见配置本地认证。
在有外部认证服务器的情况下,USG作为设备端。
USG上对接RADIUS的配置请参见配置RADIUS认证。
认证实体的信息交换关系如图1所示。
设备端与认证服务器之间通过EAP帧交换信息。
客户端与设备端之间通过IEEE 802.1X所定义的EAPoL帧交换信息。
图1 802.1X认证系统的体系结构当客户端发起认证请求时,设备端作为中继与客户端和认证服务器交互,经过一系列的认证过程后,如果认证成功,设备的接口成为授权状态,允许客户端通过授权接口访问网络。
配置本地认证本地认证是指在没有外部认证服务器的情况下,使用USG作为本地认证服务器。
操作步骤1.创建本地用户。
a.执行命令system-view,进入系统视图。
b.执行命令aaa,进入AAA视图。
c.执行命令local-user user-name password { simple | cipher } password,创建用户并配置密码。
d.执行命令local-user user-name level3,配置用户级别为3。
用户级别必须配置为3,这样用户才能进行认证授权。
2.创建认证方案,配置认证方式为local。
a.执行命令authentication-scheme scheme-name,创建认证方案,并进入认证方案视图。
b.执行命令authentication-mode local,配置认证方式为local。
c.执行命令quit,退回到AAA视图。
3.创建域并引用认证方案。
说明:系统默认存在一个名为dot1x的域。
a.执行命令domain domain-name,创建域,并进入域视图。
当用户使用带域名的用户名进行802.1X认证时,必须在此处配置相应的域。
例如:带域名的用户名为user1@abc,那么必须要配置域abc,否则认证无法通过。
b.执行命令authentication-scheme scheme-name,引用2中创建的认证方案。
配置RADIUS认证RADIUS认证是指在有外部RADIUS服务器的情况下,使用RADIUS服务器作为认证服务器。
背景信息本手册只介绍USG上RADIUS的配置。
RADIUS服务器的相关配置请参见RADIUS服务器的相关手册。
操作步骤1.创建认证方案,配置认证方式为RADIUS。
a.执行命令system-view,进入系统视图。
b.执行命令aaa,进入AAA视图。
c.执行命令authentication-scheme scheme-name,创建认证方案,并进入认证方案视图。
d.执行命令authentication-mode radius,配置认证方法为RADIUS类型。
2.配置RADIUS模板。
说明:此处的RADIUS配置必须和RADIUS服务器上的配置保持一致,否则无法完成和RADIUS服务器的对接。
a.执行命令return,返回用户视图。
b.执行命令system-view,进入系统视图。
c.执行命令radius-server template template-name,创建RADIUS服务器模板,并进入RADIUS服务器模板视图。
d.执行命令radius-server authentication ip-address port,配置RADIUS主认证服务器。
e.(可选)执行命令radius-server authentication ip-address port secondary,配置RADIUS备份认证服务器。
f.执行命令radius-server type standard,配置使用的RADIUS协议。
802.1X认证中,仅支持standard协议。
g.执行命令radius-server shared-key key-string,配置RADIUS服务器的密钥。
h.执行命令undo radius-server user-name domain-included,配置传递不带域名的用户名给RADIUS服务器。
进行802.1X认证时,必须配置传递不带域名的用户名给RADIUS服务器。
i.执行命令quit,进入系统视图。
3.创建域并引用RADIUS服务器模板和认证方案。
说明:系统默认存在一个名为dot1x的域。
a.执行命令aaa,进入AAA视图。
b.执行命令domain domain-name,创建域,并进入域视图。
当用户使用带域名的用户名进行802.1X认证时,必须在此处配置相应的域。
例如:带域名的用户名为user1@abc,那么必须要配置域abc,否则认证无法通过。
c.执行命令radius-server template-name,引用2中配置的RADIUS服务器模板。
d.执行命令authentication-scheme scheme-name,引用1中配置的认证方案。
配置以太网接入用户的802.1X认证以太网的802.1X认证是指对指定以太网接口上接入的用户进行802.1X认证。
背景信息逻辑接口不支持802.1X功能。
USG2100和USG2100BSR/HSR支持802.1X功能的接口卡包括:5FSW、8FE+2GE。
USG2200/5100、USG2200BSR/HSR和USG5100BSR/HSR支持802.1X功能的接口卡包括:5FSW、8FE+2GE、16GE+4SFP、18FE+2SFP。
以太网客户端802.1X接入的认证方式支持MD5、TLS、TTLS、PEAP。
操作步骤1.在接口上启用802.1X功能。
a.执行命令system-view,进入系统视图。
b.执行命令interface interface-type interface-number,进入以太网接口视图。
c.执行命令dot1x enable,在接口上启用802.1X功能。
缺省情况下,禁用所有接口的802.1X功能。
2.执行命令dot1x domain domain-name,引用认证域。
缺省情况下,使用默认的认证域dot1x。
在一个接口下只能引用一个认证域。
此处的认证域必须已经在配置认证服务中配置。
只有当用户使用不带域名的用户名进行802.1X认证时,才会使用此处引用的域进行认证。
对于带域名的用户名,使用原来的域进行认证。
3.执行命令dot1x port-control { authorized | auto | unauthorized },配置接口接入控制的模式。
缺省情况下,接口接入控制的模式为auto。
接入控制模式的说明如下:•authorized:强制授权模式。
接口始终处于授权状态,允许用户不经认证授权即可访问网络资源。
•auto:自动识别模式。
接口初始状态为非授权状态,仅允许EAPoL报文收发,不允许用户访问网络资源;如果认证通过,则接口切换到授权状态,允许用户访问网络资源。
这也是最常见的情况。
•unauthorized:强制非授权模式。
接口始终处于非授权状态,不允许用户访问网络资源。
4.可选:执行命令dot1x port-method { mac | port },配置接口的认证方式。
说明:只有在接口接入控制模式配置为auto时,才能配置接口的认证方式。
缺省情况下,接口接入控制的方式为mac。
接入控制方式的说明如下:•mac:表示基于MAC地址对接入用户进行认证,即该接口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
•port:表示基于接口对接入用户进行认证,即只要该接口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其他用户也会被拒绝使用网络。
5.可选:配置静默定时器。
启用静默定时器后,如果某个用户进行802.1X认证时失败,USG将该用户列入静默期。
在静默期内,USG不处理该用户再次的802.1X认证请求(不影响其他用户的802.1X认证),从而防止攻击。
.执行命令dot1x quiet-period enable,启用静默定时器。
缺省情况下,禁用静默定时器功能。
a.执行命令dot1x timer quiet-period time,配置静默定时器时间。
缺省情况下,静默定时器的时间为60秒。
6.可选:执行命令dot1x dhcp-trigger enable,启用DHCP Discover报文触发认证。
DHCP Discover报文触发认证是指客户端在申请动态IP地址时触发USG对客户端的802.1X 认证。
说明:此命令只能在接口的认证方式为mac时使用。
DHCP Discover报文触发认证只适用于用户PC需要动态申请IP地址且不会主动发起802.1X认证的情况下,例如当用户PC的操作系统为Windows XP sp2,且没有安装任何独立802.1X客户端,并需要通过DHCP来动态获取IP地址时,就需要启用DHCP Discover 报文触发认证。
否则用户PC只能获取IP地址,无法通过802.1X认证。
缺省情况下,禁用DHCP Discover报文触发认证。
7.可选:配置802.1X客户端在线检测。
802.1X客户端在线检测功能用来定期检测802.1X认证成功的客户端是否在线。
如果得不到客户端的应答,USG就会让客户端下线,防止USG无法感知用户由于异常原因下线,从而避免接口连接资源的异常占用。