• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

05-安全分册

01-802.1x配置

本章节下载 01-802.1x配置  (484.25 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/MESH/WH2530X-DAG/Configure/Operation_Manual/WH2530X-DAG_MESH_OM-5W100/05/200911/654819_30005_0.htm

01-802.1x配置


l    手册中标有请以设备实际情况为准的地方,请参见“用户手册”中的“特性差异化列表”部分的描述。

l    设备支持的接口类型和编号与设备的实际情况相关,本手册涉及以太网接口的配置举例统一使用Eth口举例说明。实际使用中请根据具体设备的接口类型和编号进行配置。

l    本手册中所述的AP设备如无特殊情况说明,可以指代一般意义下的无线Mesh设备。

 

1 802.1X配置

1.1  802.1X简介

IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1X协议。后来,802.1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。

802.1X协议是一种基于端口的网络接入控制协议(port based network access control protocol)。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。

由于端口安全特性通过多种安全模式提供了802.1X和MAC地址认证的扩展和组合应用,因此在需要灵活使用以上两种认证方式的组网环境下,推荐使用端口安全特性。无特殊组网要求的情况下,无线环境中通常使用端口安全特性。而在仅需要802.1X特性来完成接入控制的组网环境下,推荐单独使用802.1X特性,配置过程简洁明了。关于端口安全特性的详细介绍和具体配置请参见“安全分册”中的“端口安全配置”。

 

1.1.1  802.1X的体系结构

802.1X系统为典型的Client/Server体系结构,如图1-1所示,包括三个实体:分别客户端(Client)、设备端(Device)和认证服务器(Server)。

图1-1 802.1X认证系统的体系结构

 

l              客户端是位于局域网段一端的一个实体,由该链路另一端的设备端对其进行认证。客户端一般为一个用户终端设备,用户可以通过启动客户端软件发起802.1X认证。客户端必须支持EAPOL(Extensible Authentication Protocol over LAN,局域网上的可扩展认证协议)。

l              设备端是位于局域网段一端的另一个实体,对所连接的客户端进行认证。设备端通常为支持802.1X协议的网络设备,它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口。

l              认证服务器是为设备端提供认证服务的实体。认证服务器用于实现对用户进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。

1.1.2  802.1X的认证方式

802.1X认证系统使用EAP(Extensible Authentication Protocol,可扩展认证协议),来实现客户端、设备端和认证服务器之间认证信息的交换。

l              在客户端与设备端之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN环境中。

l              在设备端与RADIUS服务器之间,可以使用两种方式来交换信息。一种是EAP协议报文由设备端进行中继,使用EAPOR(EAP over RADIUS)封装格式承载于RADIUS协议中;另一种是EAP协议报文由设备端进行终结,采用包含PAP(Password Authentication Protocol,密码验证协议)或CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)属性的报文与RADIUS服务器进行认证交互。

1.1.3  802.1X的基本概念

1. 受控/非受控端口

设备端为客户端提供接入局域网的端口,这个端口被划分为两个逻辑端口:受控端口和非受控端口。任何到达该端口的帧,在受控端口与非受控端口上均可见。

l              非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,保证客户端始终能够发出或接收认证报文。

l              受控端口在授权状态下处于双向连通状态,用于传递业务报文;在非授权状态下禁止从客户端接收任何报文。

2. 授权/非授权状态

设备端利用认证服务器对需要接入局域网的客户端执行认证,并根据认证结果(Accept或Reject)对受控端口的授权/非授权状态进行相应地控制。

图1-2显示了受控端口上不同的授权状态对通过该端口报文的影响。图中对比了两个802.1X认证系统的端口状态。系统1的受控端口处于非授权状态(相当于端口开关打开),系统2的受控端口处于授权状态(相当于端口开关关闭)。

图1-2 受控端口上授权状态的影响

 

用户可以通过在端口下配置的接入控制的模式来控制端口的授权状态。端口支持以下三种接入控制模式:

l              强制授权模式(authorized-force):表示端口始终处于授权状态,允许用户不经认证授权即可访问网络资源。

l              强制非授权模式(unauthorized-force):表示端口始终处于非授权状态,不允许用户进行认证。设备端不对通过该端口接入的客户端提供认证服务。

l              自动识别模式(auto):表示端口初始状态为非授权状态,仅允许EAPOL报文收发,不允许用户访问网络资源;如果认证通过,则端口切换到授权状态,允许用户访问网络资源。这也是最常见的情况。

3. 受控方向

在非授权状态下,受控端口可以被设置成单向受控和双向受控。

l              实行双向受控时,禁止帧的发送和接收;

l              实行单向受控时,禁止从客户端接收帧,但允许向客户端发送帧。

目前,设备只支持单向受控。

 

1.1.4  EAPOL消息的封装

1. EAPOL数据包的格式

EAPOL是802.1X协议定义的一种报文封装格式,主要用于在客户端和设备端之间传送EAP协议报文,以允许EAP协议报文在LAN上传送。EAPOL数据包的格式如图1-3所示。

图1-3 EAPOL数据包格式

 

PAE Ethernet Type:表示协议类型,为0x888E。

Protocol Version:表示EAPOL帧的发送方所支持的协议版本号。

Type:表示EAPOL数据帧类型,目前设备上支持的数据类型见表1-1

表1-1 EAPOL数据类型

类型

说明

EAP-Packet(值为0x00):认证信息帧,用于承载认证信息

该帧在设备端重新封装并承载于RADIUS协议上,便于穿越复杂的网络到达认证服务器

EAPOL-Start(值为0x01):认证发起帧

这两种类型的帧仅在客户端和设备端之间存在

EAPOL-Logoff(值为0x02):退出请求帧

 

Length:表示数据长度,也就是“Packet Body”字段的长度,单位为字节。如果为0,则表示没有后面的数据域。

Packet Body:表示数据内容,根据不同的Type有不同的格式。

2. EAP数据包的格式

当EAPOL数据包格式Type域为EAP-Packet时,Packet Body为EAP数据包结构,如图1-4所示。

图1-4 EAP数据包格式

 

Code:指明EAP包的类型,共有4种:Request、Response、Success、Failure。

l              Success和Failure类型的包没有Data域,相应的Length域的值为4。

l              Request和Response类型数据包的Data域的格式如所示。Type为EAP的认证类型,Type data的内容由类型决定。例如,Type值为1时代表Identity,用来查询对方的身份;Type值为4时,代表MD5-Challenge,类似于PPP CHAP协议,包含质询消息。

图1-5 Request和Response类型数据包的Data域的格式

 

Identifier:用于匹配Request消息和Response消息。

Length:EAP包的长度,包含Code、Identifier、Length和Data域,单位为字节。

Data:EAP包的内容,由Code类型决定。

1.1.5  EAP属性的封装

RADIUS为支持EAP认证增加了两个属性:EAP-Message(EAP消息)和Message-Authenticator(消息认证码)。RADIUS协议的报文格式请参见“安全分册”中的“AAA配置”的RADIUS协议简介部分。

1. EAP-Message

图1-6所示,这个属性用来封装EAP数据包,类型代码为79,String域最长253字节,如果EAP数据包长度大于253字节,可以对其进行分片,依次封装在多个EAP-Message属性中。

图1-6 EAP-Message属性封装

 

2. Message-Authenticator

图1-7所示,这个属性用于在使用EAP、CHAP等认证方法的过程中,避免接入请求包被窃听。在含有EAP-Message属性的数据包中,必须同时也包含Message-Authenticator,否则该数据包会被认为无效而被丢弃。

图1-7 Message-Authenticator属性

 

1.1.6  802.1X的认证触发方式

802.1X的认证过程可以由客户端主动发起,也可以由设备端发起。设备支持的认证触发方式包括以下两种:

1. 客户端主动触发方式

客户端主动向设备端发送EAPOL-Start报文来触发认证,该报文目的地址为IEEE 802.1X协议分配的一个组播MAC地址:01-80-C2-00-00-03。

另外,由于网络中有些设备不支持上述的组播报文,使得认证设备无法收到客户端的认证请求,因此设备端还支持广播触发方式,即,可以接收客户端发送的目的地址为广播MAC地址的EAPOL-Start报文。这种触发方式需要H3C iNode的802.1X客户端的配合。

2. 设备端主动触发方式

设备会每隔N秒(缺省为30秒)主动向客户端发送EAP-Request/Identity报文来触发认证,这种触发方式用于支持不能主动发送EAPOL-Start报文的客户端,例如Windows XP自带的802.1X客户端。

1.1.7  802.1X的认证过程

802.1X系统支持EAP中继方式和EAP终结方式与远端RADIUS服务器交互完成认证。以下关于两种认证方式的过程描述,都以客户端主动发起认证为例。

1. EAP中继方式

这种方式是IEEE 802.1X标准规定的,将EAP(可扩展认证协议)承载在其它高层协议中,如EAP over RADIUS,以便扩展认证协议报文穿越复杂的网络到达认证服务器。一般来说,EAP中继方式需要RADIUS服务器支持EAP属性:EAP-Message和Message-Authenticator,分别用来封装EAP报文及对携带EAP-Message的RADIUS报文进行保护。

下面以EAP-MD5方式为例介绍基本业务流程,如图1-8所示。

图1-8 IEEE 802.1X认证系统的EAP中继方式业务流程

 

认证过程如下:

(1)        当用户有访问网络需求时打开802.1X客户端程序,输入已经申请、登记过的用户名和密码,发起连接请求(EAPOL-Start报文)。此时,客户端程序将发出请求认证的报文给设备端,开始启动一次认证过程。

(2)        设备端收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity报文)要求用户的客户端程序发送输入的用户名。

(3)        客户端程序响应设备端发出的请求,将用户名信息通过数据帧(EAP-Response/Identity报文)发送给设备端。设备端将客户端发送的数据帧经过封包处理后(RADIUS Access-Request报文)送给认证服务器进行处理。

(4)        RADIUS服务器收到设备端转发的用户名信息后,将该信息与数据库中的用户名表对比,找到该用户名对应的密码信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字通过RADIUS Access-Challenge报文发送给设备端,由设备端转发给客户端程序。

(5)        客户端程序收到由设备端传来的加密字(EAP-Request/MD5 Challenge报文)后,用该加密字对密码部分进行加密处理(此种加密算法通常是不可逆的,生成EAP-Response/MD5 Challenge报文),并通过设备端传给认证服务器。

(6)        RADIUS服务器将收到的已加密的密码信息(RADIUS Access-Request报文)和本地经过加密运算后的密码信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息(RADIUS Access-Accept报文和EAP-Success报文)。

(7)        设备收到认证通过消息后将端口改为授权状态,允许用户通过端口访问网络。在此期间,设备端会通过向客户端定期发送握手报文的方法,对用户的在线情况进行监测。缺省情况下,两次握手请求报文都得不到客户端应答,设备端就会让用户下线,防止用户因为异常原因下线而设备无法感知。

(8)        客户端也可以发送EAPOL-Logoff报文给设备端,主动要求下线。设备端把端口状态从授权状态改变成未授权状态,并向客户端发送EAP-Failure报文。

EAP中继方式下,需要保证在客户端和RADIUS服务器上选择一致的EAP认证方法,而在设备上,只需要通过dot1x authentication-method eap命令启动EAP中继方式即可。

 

2. EAP终结方式

这种方式将EAP报文在设备端终结并映射到RADIUS报文中,利用标准RADIUS协议完成认证、授权和计费。设备端与RADIUS服务器之间可以采用PAP或者CHAP认证方法。以下以CHAP认证方法为例介绍基本业务流程,如图1-9所示。

图1-9 IEEE 802.1X认证系统的EAP终结方式业务流程

 

EAP终结方式与EAP中继方式的认证流程相比,不同之处在于用来对用户密码信息进行加密处理的随机加密字由设备端生成,之后设备端会把用户名、随机加密字和客户端加密后的密码信息一起送给RADIUS服务器,进行相关的认证处理。

1.1.8  802.1X的接入控制方式

设备不仅支持协议所规定的基于端口的接入认证方式,还对其进行了扩展、优化,支持基于MAC的接入控制方式。

l              当采用基于端口的接入控制方式时,只要该端口下的第一个用户认证成功后,其它接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其它用户也会被拒绝使用网络。

l              采用基于MAC的接入控制方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。

1.1.9  802.1X的定时器

802.1X认证过程中会启动多个定时器以控制接入用户、设备以及RADIUS服务器之间进行合理、有序的交互。802.1X的定时器主要有以下几种:

l              用户名请求超时定时器(tx-period):该定时器定义了两个时间间隔。其一,当设备端向客户端发送EAP-Request/Identity请求报文后,设备端启动该定时器,若在tx-period设置的时间间隔内,设备端没有收到客户端的响应,则设备端将重发认证请求报文;其二,为了兼容不主动发送EAPOL-Start连接请求报文的客户端,设备会定期组播EAP-Request/Identity请求报文来检测客户端。tx-period定义了该组播报文的发送时间间隔。

l              客户端认证超时定时器(supp-timeout):当设备端向客户端发送了EAP-Request/MD5 Challenge请求报文后,设备端启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,设备端将重发该报文。

l              认证服务器超时定时器(server-timeout):当设备端向认证服务器发送了RADIUS Access-Request请求报文后,设备端启动server-timeout定时器,若在该定时器设置的时长内,设备端没有收到认证服务器的响应,设备端将重发认证请求报文。

l              握手定时器(handshake-period):此定时器是在用户认证成功后启动的,设备端以此间隔为周期发送握手请求报文,以定期检测用户的在线情况。如果配置发送次数为N,则当设备端连续N次没有收到客户端的响应报文,就认为用户已经下线。

l              静默定时器(quiet-period):对用户认证失败以后,设备端需要静默一段时间(该时间由静默定时器设置),在静默期间,设备端不处理该用户的认证请求。

l              周期性重认证定时器(reauth-period):如果端口下开启了周期性重认证功能,设备端以此定时器设置的时间间隔为周期对该端口在线用户发起重认证。

1.1.10  和802.1X配合使用的特性

1. VLAN下发

802.1X用户在服务器上通过认证时,服务器会把授权信息传送给设备端。如果服务器上配置了下发VLAN功能,则授权信息中含有授权下发的VLAN信息,设备根据用户认证上线的端口链路类型,按以下三种情况将端口加入下发VLAN中。

l              端口的链路类型为Access,当前Access端口离开用户配置的VLAN并加入授权下发的VLAN中。

l              端口的链路类型为Trunk,设备允许授权下发的VLAN通过当前Trunk端口,并且端口的缺省VLAN ID为下发VLAN的VLAN ID。

l              端口的链路类型为Hybrid,设备允许授权下发的VLAN以不携带Tag的方式通过当前Hybrid端口,并且端口的缺省VLAN ID为下发VLAN的VLAN ID。需要注意的是,若当前Hybrid端口上配置了基于MAC的VLAN,则设备将根据认证服务器下发的授权VLAN动态地创建基于用户MAC的VLAN,而端口的缺省VLAN ID并不改变。

授权下发的VLAN并不改变端口的配置,也不影响端口的配置。但是,授权下发的VLAN的优先级高于用户配置的VLAN,即通过认证后起作用的VLAN是授权下发的VLAN,用户配置的VLAN在用户下线后生效。

关于不同端口链路类型下VLAN的具体配置请参见“接入分册”中的“VLAN配置”。

l    对于Hybrid端口,如果授权下发的VLAN已经配置为携带Tag的方式加入端口,则VLAN下发失败。

l    对于Hybrid端口,在VLAN下发之后,不能将授权下发的VLAN配置修改为携带Tag的方式。

l    开启端口的MAC VLAN功能时,若该端口上有802.1X用户在线,则只有在线用户重认证成功且服务器授权下发的VLAN发生变化时MAC VLAN功能才会生效。

 

2. Guest VLAN

Guest VLAN功能允许用户在未认证的情况下,可以访问某一特定VLAN中的资源,比如获取客户端软件,升级客户端或执行其他一些用户升级程序。这个VLAN称之为Guest VLAN。

根据端口的接入控制方式不同,可以将Guest VLAN划分基于端口的Guest VLAN和基于MAC的Guest VLAN。

(1)        PGV(Port-based Guest VLAN)

在接入控制方式为portbased的端口上配置的Guest VLAN称为PGV。若在一定的时间内(默认90秒),配置了PGV的端口上无客户端进行认证,则该端口将被加入Guest VLAN,所有在该端口接入的用户将被授权访问Guest VLAN里的资源。端口加入Guest VLAN的情况与加入授权下发VLAN相同,与端口链路类型有关。

当端口上处于Guest VLAN中的用户发起认证且失败时:如果端口配置了Auth-Fail VLAN,则该端口会被加入Auth-Fail VLAN;如果端口未配置Auth-Fail VLAN,则该端口仍然处于Guest VLAN内。关于Auth-Fail VLAN的具体介绍请参见“3. Auth-Fail VLAN”。

当端口上处于Guest VLAN中的用户发起认证且成功时,端口会离开Guest VLAN,之后端口加入VLAN情况与认证服务器是否下发VLAN有关,具体如下:

l              若认证服务器下发VLAN,则端口加入下发的VLAN中。用户下线后,端口离开下发的VLAN回到初始VLAN中,该初始VLAN为端口加入Guest VLAN之前所在的VLAN。

l              若认证服务器未下发VLAN,则端口回到初始VLAN中。用户下线后,端口仍在该初始VLAN中。

(2)        MGV(MAC-based Guest VLAN)

在接入控制方式为macbased的端口上配置的Guest VLAN称为MGV。配置了MGV的端口上未认证的用户被授权访问Guest VLAN里的资源。

当端口上处于Guest VLAN中的用户发起认证且失败时:如果端口配置了Auth-Fail VLAN,则认证失败的用户将被加入Auth-Fail VLAN;如果端口未配置Auth-Fail VLAN,则该用户将仍然处于Guest VLAN内。

当端口上处于Guest VLAN中的用户发起认证且成功时,设备会根据认证服务器是否下发VLAN决定将该用户加入到下发的VLAN中,或回到加入Guest VLAN之前端口所在的初始VLAN。

3. Auth-Fail VLAN

Auth-Fail VLAN功能允许用户在认证失败的情况下可以访问某一特定VLAN中的资源,这个VLAN称之为Auth-Fail VLAN。需要注意的是,这里的认证失败是认证服务器因某种原因明确拒绝用户认证通过,比如用户密码错误,而不是认证超时或网络连接等原因造成的认证失败。

与Guest VLAN类似,根据端口的接入控制方式不同,可以将Auth-Fail VLAN划分为基于端口的Auth-Fail VLAN和基于MAC的Auth-Fail VLAN。

(1)        PAFV(Port-based Auth-Fail VLAN)

在接入控制方式为portbased的端口上配置的Auth-Fail VLAN称为PAFV。在配置了PAFV的端口上,若有用户认证失败,则该端口会被加入到Auth-Fail VLAN,所有在该端口接入的用户将被授权访问Auth-Fail VLAN里的资源。端口加入Auth-Fail VLAN的情况与加入授权下发VLAN相同,与端口链路类型有关。

当端口上处于Auth-Fail VLAN中的用户再次发起认证时:如果认证失败,则该端口将会仍然处于Auth-Fail VLAN内;如果认证成功,则该端口会离开Auth-Fail VLAN,之后端口加入VLAN情况与认证服务器是否下发VLAN有关,具体如下:

l              若认证服务器下发VLAN,则端口加入下发的VLAN中。用户下线后,端口会离开下发的VLAN回到初始VLAN中,该初始VLAN为端口加入任何授权VLAN之前所在的VLAN。

l              若认证服务器未下发VLAN,则端口回到初始VLAN中。用户下线后,端口仍在该初始VLAN中。

(2)        MAFV(MAC-based Auth-Fail VLAN)

在接入控制方式为macbased的端口上配置的Auth-Fail VLAN称为MAFV。在配置了MAFV的端口上,认证失败的用户将被授权访问Auth-Fail VLAN里的资源。

当Auth-Fail VLAN中的用户再次发起认证时,如果认证成功,则设备会根据认证服务器是否下发VLAN决定将该用户加入到下发的VLAN中,或回到加入Auth-Fail VLAN之前端口所在的初始VLAN。

4. ACL下发

ACL(Access Control List,访问控制列表)提供了控制用户访问网络资源和限制用户访问权限的功能。当用户上线时,如果RADIUS服务器上配置了授权ACL,则设备会根据服务器下发的授权ACL对用户所在端口的数据流进行控制;在服务器上配置授权ACL之前,需要在设备上配置相应的规则。管理员可以通过改变服务器的授权ACL设置或设备上对应的ACL规则来改变用户的访问权限。

5. 指定端口的强制认证域

指定端口的强制认证域(mandatory domain)为802.1X接入提供了一种安全控制策略。所有从该端口接入的802.1X用户将被强制使用该认证域来进行认证、授权和计费,可以防止用户通过恶意假冒其它域账号来接入网络。

另外,对于采用证书的EAP中继方式的802.1X认证来说,接入用户的客户端证书决定了用户的域名。因此,即使所有端口上客户端的用户证书隶属于同一证书颁发机构,即输入的用户域名相同,管理员也可以通过配置强制认证域对不同端口指定不同的认证域,从而增加了管理员部署802.1X接入策略的灵活性。

1.2  802.1X配置任务简介

表1-2 802.1X配置任务简介

配置任务

说明

详细配置

802.1X基本配置

必选

1.3 

开启在线用户握手功能

可选

1.4 

配置代理检测功能

可选

1.5 

开启组播触发功能

可选

1.6 

配置端口的强制认证域

可选

1.7 

配置静默定时器功能

可选

1.8 

配置重认证功能

可选

1.9 

配置Guest VLAN

可选

1.10 

配置Auth-Fail VLAN

可选

1.11 

 

1.3  配置802.1X

1.3.1  配置准备

802.1X提供了一个用户身份认证的实现方案,但是仅仅依靠802.1X是不足以实现该方案的。接入设备的管理者选择使用RADIUS或本地认证方法,以配合802.1X完成用户的身份认证。因此,需要首先完成以下配置任务:

l              配置802.1X用户所属的ISP认证域及及其使用的AAA方案,即本地认证方案或RADIUS方案。

l              如果需要通过RADIUS服务器进行认证,则应该在RADIUS服务器上配置相应的用户名和密码。

l              如果需要本地认证,则应该在设备上手动添加认证的用户名和密码。配置本地认证时,用户使用的服务类型必须设置为lan-access

RADIUS客户端的具体配置请参见“安全分册”中的“AAA配置”。

1.3.2  配置全局802.1X

表1-3 配置全局802.1X

配置步骤

命令

说明

进入系统视图

system-view

-

开启全局的802.1X特性

dot1x

必选

缺省情况下,全局的802.1X特性为关闭状态

设置802.1X用户的认证方法

dot1x authentication-method { chap | eap | pap }

可选

缺省情况下,设备对802.1X用户的认证方法为CHAP认证

设置端口接入控制的模式

dot1x port-control { authorized-force | auto | unauthorized-force } [ interface interface-list ]

可选

缺省情况下,802.1X在端口上进行接入控制的模式为auto

设置端口接入控制方式

dot1x port-method { macbased | portbased } [ interface interface-list ]

可选

缺省情况下,802.1X在端口上进行接入控制方式为macbased

设置端口同时接入用户数量的最大值

dot1x max-user user-number [ interface interface-list ]

可选

参数user-number的缺省值为256

设置设备向接入用户发送认证请求报文的最大次数

dot1x retry max-retry-value

可选

缺省情况下,max-retry-value为2,即设备最多可向接入用户发送2次认证请求报文

配置定时器参数

dot1x timer { handshake-period handshake-period-value | quiet-period quiet-period-value | reauth-period reauth-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value | tx-period tx-period-value }

可选

缺省情况下:

l      握手定时器的值为15秒

l      静默定时器的值为60秒

l      周期性重认证定时器的值为3600秒

l      认证服务器超时定时器的值为100秒

l      客户端认证超时定时器的值为30秒

l      用户名请求超时定时器的值为30秒

 

l    只有同时开启全局和端口的802.1X特性后,802.1X的配置才能在端口上生效。

l    开启指定端口的802.1X特性、设置端口接入控制模式、端口接入控制方式以及端口同时接入用户数量的最大值均可在接口视图下进行,具体配置请参见表1-4表1-5。全局配置与端口的配置并无优先级之分,仅是作用范围不一致,后配置的参数会覆盖已有的参数。

l    一般情况下,用户无需使用dot1x timer命令改变定时器值,除非在一些特殊或恶劣的网络环境下,可以使用该命令调节交互进程。例如,用户网络状况比较差的情况下,可以适当地将客户端认证超时定时器值调大一些;网络处在风险位置,容易受攻击的情况下,可以适当地将静默定时器值调大一些,反之,可以将其调小一些来提高对用户认证请求的响应速度;还可以通过调节认证服务器超时定时器的值来适应不同认证服务器的性能差异。

 

1.3.3  配置端口的802.1X

1. 开启端口802.1X特性

表1-4 开启端口802.1X特性

配置步骤

命令

说明

进入系统视图

system-view

-

开启端口的802.1X特性

在系统视图下

dot1x interface interface-list

二者必选其一

缺省情况下,端口的802.1X特性为关闭状态

在以太网接口视图下

interface interface-type interface-number

dot1x

 

2. 配置端口802.1X参数

表1-5 配置端口802.1X参数

配置步骤

命令

说明

进入系统视图

system-view

-

进入以太网接口视图

interface interface-type interface-number

-

设置端口接入控制的模式

dot1x port-control { authorized-force | auto | unauthorized-force }

可选

缺省情况下,802.1X在端口上进行接入控制的模式为auto

设置端口接入控制方式

dot1x port-method { macbased | portbased }

可选

缺省情况下,802.1X在端口上进行接入控制方式为macbased

设置端口同时接入用户数量的最大值

dot1x max-user user-number

可选

参数user-number的缺省值为256

 

l    对于802.1X用户,如果采用EAP中继认证方式,则设备会把客户端输入的内容直接封装后发给服务器,这种情况下user-name-format命令的设置无效,user-name-format的介绍请参见“安全分册”中的“AAA命令”。

l    如果802.1X客户端配置的用户名携带版本号或者用户名中存在空格,则无法通过用户名来检索和切断用户连接,但是通过其他方式(如IP地址、连接索引号等)仍然可以检索和切断用户的连接。

 

1.4  开启在线用户握手功能

可以通过下面的命令来开启设备的在线用户握手功能。当802.1X用户认证通过以后,设备会定时(该时间间隔由命令dot1x timer handshake-period设置)向认证用户发送握手报文,如果用户在最大重传次数内(该次数由命令dot1x retry设置)没有回应此握手报文,设备会将用户置为下线状态。

表1-6 开启在线用户握手功能

配置步骤

命令

说明

进入系统视图

system-view

-

进入以太网接口视图

interface interface-type interface-number

-

开启在线用户握手功能

dot1x handshake

可选

缺省情况下,在线用户握手功能处于开启状态

 

l    关闭在线用户握手功能之前,必须先关闭代理检测功能。

l    部分802.1X客户端不支持与设备进行握手报文的交互,因此建议在这种情况下,关闭设备的在线用户握手功能,避免该类型的在线用户因没有回应握手报文而被强制下线。

 

1.5  配置代理检测功能

可以通过下面的命令实现设备对通过代理登录设备的用户的检测及接入控制。配置了该功能后,可以防止其他非法用户使用已认证的802.1X客户端作为代理服务器访问网络资源或逃避监控、计费。如果检测结果为用户代理上网,则设备可以给网管发送Trap信息或者通过发送下线消息强制该用户下线,这两种方式也可以同时使用。

该功能依赖于在线用户握手功能。在配置代理检测功能之前,必须先开启在线用户握手功能。在线握手功能的配置请参考“1.4  开启在线用户握手功能”。

表1-7 配置代理检测功能

配置步骤

命令

说明

进入系统视图

system-view

-

开启全局的代理用户检测与控制

dot1x supp-proxy-check { logoff | trap }

必选

缺省情况下,未开启对代理用户的检测及接入控制

开启端口的代理用户检测与控制

在系统视图下

dot1x supp-proxy-check { logoff | trap } interface interface-list

二者必选其一

缺省情况下,未开启对代理用户的检测及接入控制

在以太网接口视图下

interface interface-type interface-number

dot1x supp-proxy-check { logoff | trap }

 

l    该功能的实现需要H3C 802.1X客户端程序的配合。

l    必须同时开启全局和指定端口的代理用户检测与控制,此特性的配置才能在该端口上生效。

 

1.6  开启组播触发功能

可以通过下面的命令来开启设备的组播触发功能。若端口启动了802.1X的组播触发功能,则该端口会定期向客户端发送组播触发报文来启动认证,该功能用于支持不能主动发起认证的客户端。

表1-8 开启组播触发功能

配置步骤

命令

说明

进入系统视图

system-view

-

进入以太网接口视图

interface interface-type interface-number

-

开启组播触发功能

dot1x multicast-trigger

可选

缺省情况下,组播触发功能处于开启状态

 

对于无线局域网来说,可以由客户端主动发起认证,或由无线模块发现用户并触发认证,而不必端口定期发送802.1X的组播报文来触发。同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭该功能。

 

1.7  配置端口的强制认证域

可以下面的命令来配置端口的强制认证域。配置了端口的强制认证域后,所有从该端口接入的802.1X用户将被强制使用该认证域来进行认证、授权和计费。

表1-9 配置端口的强制认证域

配置步骤

命令

说明

进入系统视图

system-view

-

进入以太网接口视图

interface interface-type interface-number

-

配置端口的强制认证域

dot1x mandatory-domain domain-name

必选

缺省情况下,未定义强制认证域

 

1.8  配置静默定时器功能

可以通过下面的命令来打开设备的静默定时器功能。当802.1X用户认证失败以后,设备需要静默一段时间(该时间由dot1x timer quiet-period设置)后再重新发起认证,在静默期间,设备不进行802.1X认证的相关处理。

表1-10 开启静默定时器功能

配置步骤

命令

说明

进入系统视图

system-view

-

开启静默定时器功能

dot1x quiet-period

必选

缺省情况下,静默定时器功能处于关闭状态

 

1.9  配置重认证功能

可以通过下面的命令来开启设备对802.1X用户主动发起的周期性重认证功能。端口启动了802.1X的周期性重认证功能后,设备会根据周期性重认证定时器设定的时间间隔(该时间间隔由命令dot1x timer reauth-period设置)定期启动对该端口在线802.1X用户的认证,以检测用户连接状态的变化,更新服务器下发的授权属性(例如ACL、VLAN、QoS Profile),确保用户的正常在线。

表1-11 配置重认证功能

配置步骤

命令

说明

进入系统视图

system-view

-

进入以太网接口视图

interface interface-type interface-number

-

开启周期性重认证功能

dot1x re-authenticate

必选

缺省情况下,周期性重认证功能处于关闭状态

 

802.1X用户认证通过后,如果认证服务器(通过session-timeout属性)对该用户下发了重认证周期,则设备上配置的周期性重认证时间无效,服务器下发的重认证周期生效。认证服务器下发重认证时间的具体情况与服务器类型有关,请参考具体的认证服务器实现。

 

1.10  配置Guest VLAN

l    如果用户端设备发出的是携带Tag的数据流,且接入端口上使能了802.1X认证并配置了Guest VLAN,为保证各种功能的正常使用,请为端口的缺省VLAN和802.1X的Guest VLAN分配不同的VLAN ID。

l    基于MAC的Guest VLAN仅在Hybrid类型的端口上支持,请配置基于MAC的Guest VLAN以不携带Tag的方式通过当前Hybrid端口。

 

1.10.1  配置准备

l              已经创建需要配置为Guest VLAN的VLAN。

l              配置Port-based Guest VLAN(简称PGV)需要保证接入控制方式为portbased,且802.1X的组播触发功能处于开启状态。

l              配置MAC-based Guest VLAN(简称MGV)需要保证接入控制方式为macbased,且使能了端口上的MAC VLAN功能。MAC VLAN功能的具体配置请参考“接入分册”中的“VLAN配置”。

1.10.2  配置Guest VLAN

表1-12 配置Guest VLAN

配置步骤

命令

说明

进入系统视图

system-view

-

配置指定端口的Guest VLAN

在系统视图下

dot1x guest-vlan guest-vlan-id [ interface interface-list ]

二者必选其一

缺省情况下,端口没有配置Guest VLAN

在以太网接口视图下

interface interface-type interface-number

dot1x guest-vlan guest-vlan-id

 

l    不同的端口可以配置不同的Guest VLAN,但一个端口最多只能配置一个Guest VLAN。

l    若端口上同时配置了802.1X认证的MGV与MAC地址认证的MGV,则仅802.1X认证的MGV生效。关于MAC地址认证的MGV介绍请参见“安全分册”中的“MAC地址认证配置”。

l    若端口上同时配置了802.1X认证的MAFV与MAC地址认证的MGV,则后生成的MAFV表项会覆盖先生成的MGV表项,但后生成的MGV表项不能覆盖先生成的MAFV表项。

l    端口上生成的MGV表项会覆盖已生成的阻塞MAC表项,但如果端口因检测到非法报文而关闭,则MGV功能无法生效。关于端口入侵检测关闭功能的具体介绍请参见“安全分册”中的“端口安全配置”。

 

1.11  配置Auth-Fail VLAN

如果用户端设备发出的是携带Tag的数据流,且接入端口上使能了802.1X认证并配置了Auth-Fail VLAN,为保证各种功能的正常使用,请为端口的缺省VLAN和802.1X的Auth-Fail VLAN分配不同的VLAN ID。

 

1.11.1  配置准备

l              已经创建需要配置为Auth-Fail VLAN的VLAN。

l              配置Port-based Auth-Fail VLAN(简称PAFV)需要保证端口接入控制方式为portbased,且802.1X的组播触发功能处于开启状态。

l              配置MAC-based Auth-Fail VLAN(简称MAFV)需要保证端口接入控制方式为macbased,且使能了端口上的MAC VLAN功能。MAC VLAN功能的具体配置请参考“接入分册”中的“VLAN配置”。

1.11.2  配置Auth-Fail VLAN

表1-13 配置Auth-Fail VLAN

配置步骤

命令

说明

进入系统视图

system-view

-

进入以太网接口视图

interface interface-type interface-number

-

配置指定端口的Auth-Fail VLAN

dot1x auth-fail vlan authfail-vlan-id

必选

缺省情况下,端口没有配置Auth-Fail VLAN

 

l    不同的端口可以配置不同的Auth-Fail VLAN,但一个端口最多只能配置一个Auth-Fail VLAN。

l    若端口上同时配置了802.1X认证的MAFV与MAC地址认证的MGV,则后生成的MAFV表项会覆盖先生成的MGV表项,但后生成的MGV表项不能覆盖先生成的MAFV表项。

l    端口上生成的MAFV表项会覆盖已生成的阻塞MAC表项,但如果端口因检测到非法报文而关闭,则MAFV功能无法生效。关于端口入侵检测关闭功能的具体介绍请参见“安全分册”中的“端口安全配置”。

 

1.12  802.1X显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后802.1X的运行情况,通过查看显示信息验证配置的效果。

在用户视图下,执行reset命令可以清除802.1X的统计信息。

表1-14 802.1X配置的显示和维护

操作

命令

清除802.1X的统计信息

reset dot1x statistics [ interface interface-list ]

 

1.13  802.1X典型配置举例

1.13.1  WPA+802.1X无线认证和IAS配合应用

1. 组网需求

通过配置AP实现RADIUS服务器对登录AP的用户进行认证和计费:

l              一台RADIUS服务器(担当认证、计费服务器的职责)通过Swtich与AP相连,服务器IP地址为8.20.1.2/8。

l              AP与认证、计费RADIUS服务器交互报文时的共享密钥均为h3c,发送给RADIUS服务器的用户名中不带域名。

l              在RADIUS服务器上设置与AP交互报文时的共享密钥为h3c。

l              AP每隔3分钟就向RADIUS服务器发送一次实时计费报文。

l              AP取消缓存没有得到响应的停止计费请求报文。

l              使能accounting-on功能,即要求AP重启后,发送accounting-on报文通知RADIUS server AP已经重启,要求RADIUS server强制该AP的用户下线。

2. 组网图

图1-10 WPA+802.1X无线认证和IAS配合应用组网图

 

3. 配置步骤

(1)        配置AP

# 启用端口安全,并配置802.1X的认证方式为EAP。

[AP] port-security enable

[AP] dot1x authentication-method eap

# 配置RADIUS方案。

[AP] radius scheme ias

[AP-radius-ias] server-type extended

[AP-radius-ias] primary authentication 8.20.1.2

[AP-radius-ias] primary accounting 8.20.1.2

[AP-radius-ias] key authentication h3c

[AP-radius-ias] key accounting h3c

[AP-radius-ias] user-name-format without-domain

[AP-radius-ias] timer realtime-accounting 3

[AP-radius-ias] undo stop-accounting-buffer enable

[AP-radius-ias] accounting-on enable

# 配置认证域的AAA方案。在该应用配置中,因为接入用户对认证和计费两个过程都需要,所以需要在域中对认证和计费方案全部配置。

[AP-radius-ias] domain ias

[AP-isp-ias] authentication lan-access radius-scheme ias

[AP-isp-ias] authorization lan-access radius-scheme ias

[AP-isp- ias] accounting lan-access radius-scheme ias

# 把配置的认证域ias设置为系统缺省域。

[AP-isp-ias] domain default enable ias

# 配置无线接口,802.1X的认证方式为EAP(对应的端口安全认证方式为userlogin-secure-ext)。

[AP] interface WLAN-BSS 2

[AP-WLAN-BSS2] port-security port-mode userlogin-secure-ext

[AP-WLAN-BSS2] port-security tx-key-type 11key

# 配置无线服务模板。

[AP-wlan-rp-rp] wlan service-template 2 crypto

[AP-wlan-st-2] ssid h3c-dot1x

[AP-wlan-st-2] authentication-method open-system

[AP-wlan-st-2] cipher-suite tkip

[AP-wlan-st-2] security-ie wpa

[AP-wlan-st-2] service-template enable

# 在射频口绑定无线服务模板和无线口。

[AP] interface WLAN-Radio 1/0/1

[AP-WLAN-Radio1/0/1] service-template 2 interface WLAN-BSS 2

[AP-WLAN-Radio1/0/1] quit

# 配置VLAN虚接口。

[AP] interface Vlan-interface1

[AP-Vlan-interface1] ip address 192.168.1.50 255.255.255.0

# 配置缺省路由。

[AP-Vlan-interface1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1

(2)        配置RADIUS服务器

# 配置RADIUS客户端。

图1-11 配置RADIUS客户端

 

# 配置远程访问策略。

图1-12 配置访问策略

 

# 编辑拨入配置文件:

图1-13 编辑拨入配置文件

 

RADIUS服务器的相关配置(如采用证书认证时需要的证书、AD中的用户等)这里不再赘述,具体请参考Windows的相关帮助文档。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们