• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

11-安全配置指导

目录

03-802.1X配置

本章节下载 03-802.1X配置  (510.25 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S12500/S12500/Configure/Operation_Manual/H3C_S12500_CG-R1828P04-6W182/11/201407/834647_30005_0.htm

03-802.1X配置


1 802.1X

1.1  802.1X简介

最初,IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1X协议。后来,802.1X协议作为局域网的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。

802.1X协议是一种基于端口的网络接入控制协议,即在局域网接入设备的端口上对所接入的用户设备进行认证,以便用户设备控制对网络资源的访问。

1.1.1  802.1X的体系结构

802.1X系统中包括三个实体:客户端(Client)、设备端(Device)和认证服务器(Authentication server),如图1-1所示。

图1-1 802.1X体系结构图

 

·     客户端是请求接入局域网的用户终端设备,它由局域网中的设备端对其进行认证。客户端上必须安装支持802.1X认证的客户端软件。

·     设备端是局域网中控制客户端接入的网络设备,位于客户端和认证服务器之间,为客户端提供接入局域网的端口(物理端口或逻辑端口),并通过与服务器的交互来对所连接的客户端进行认证。

·     认证服务器用于对客户端进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。认证服务器根据设备端发送来的客户端认证信息来验证客户端的合法性,并将验证结果通知给设备端,由设备端决定是否允许客户端接入。在一些规模较小的网络环境中,认证服务器的角色也可以由设备端来代替,即由设备端对客户端进行本地认证、授权和计费。

1.1.2  802.1X对端口的控制

1. 受控/非受控端口

设备端为客户端提供接入局域网的端口被划分为两个逻辑端口:受控端口和非受控端口。任何到达该端口的帧,在受控端口与非受控端口上均可见。

·     非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,保证客户端始终能够发出或接收认证报文。

·     受控端口在授权状态下处于双向连通状态,用于传递业务报文;在非授权状态下禁止从客户端接收任何报文。

2. 授权/非授权状态

设备端利用认证服务器对需要接入局域网的客户端进行认证,并根据认证结果(Accept或Reject)对受控端口的授权状态进行相应地控制。

图1-2显示了受控端口上不同的授权状态对通过该端口报文的影响。图中对比了两个802.1X认证系统的端口状态。系统1的受控端口处于非授权状态,不允许报文通过;系统2的受控端口处于授权状态,允许报文通过。

图1-2 受控端口上授权状态的影响

 

3. 受控方向

在非授权状态下,受控端口可以处于单向受控或双向受控状态。

·     处于双向受控状态时,禁止帧的发送和接收;

·     处于单向受控状态时,禁止从客户端接收帧,但允许向客户端发送帧。

说明

目前,设备上的受控端口只能处于单向受控状态。

 

1.1.3  802.1X认证报文的交互机制

802.1X系统使用EAP(Extensible Authentication Protocol,可扩展认证协议)来实现客户端、设备端和认证服务器之间认证信息的交互。EAP是一种C/S模式的认证框架,它可以支持多种认证方法,例如MD5-Challenge、EAP-TLS、PEAP等。在客户端与设备端之间,EAP报文使用EAPOL(Extensible Authentication Protocol over LAN,局域网上的可扩展认证协议)封装格式承载于数据帧中传递。在设备端与RADIUS服务器之间,EAP报文的交互有以下两种处理机制。

1. EAP中继

设备对收到的EAP报文进行中继,使用EAPOR(EAP over RADIUS)封装格式将其承载于RADIUS报文中发送给RADIUS服务器进行认证。

图1-3 EAP中继原理示意图

 

该处理机制下,EAP认证过程在客户端和RADIUS服务器之间进行,RADIUS服务器作为EAP服务器来处理客户端的EAP认证请求,设备相当于一个代理,仅对EAP报文做中转,因此设备处理简单,并能够支持EAP的各种认证方法,但要求RADIUS服务器支持相应的EAP认证方法。

2. EAP终结

设备对EAP认证过程进行终结,将收到的EAP报文中的客户端认证信息封装在标准的RADIUS报文中,与服务器之间采用PAP(Password Authentication Protocol,密码验证协议)或CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)方法进行认证。

图1-4 EAP终结原理示意图

 

该处理机制下,由于现有的RADIUS服务器基本均可支持PAP认证和CHAP认证,因此对服务器无特殊要求,但设备处理较为复杂,它需要作为EAP服务器来解析与处理客户端的EAP报文,且目前仅能支持MD5-Challenge类型的EAP认证以及iNode 802.1X客户端发起的“用户名+密码”方式的EAP认证。

说明

如果客户端采用了MD5-Challenge类型的EAP认证,则设备端只能采用CHAP认证;如果iNode 802.1X客户端采用了“用户名+密码”方式的EAP认证,设备上可选择使用PAP认证或CHAP认证,从安全性上考虑,通常使用CHAP认证。

 

1.1.4  EAP报文的封装

1. EAPOL数据帧的封装

(1)     EAPOL数据帧的格式

EAPOL是802.1X协议定义的一种承载EAP报文的封装协议,主要用于在局域网中传送客户端和设备端之间的EAP协议报文。EAPOL数据包的格式如图1-5所示。

图1-5 EAPOL数据包格式

 

·     PAE Ethernet Type:表示协议类型。EAPOL的协议类型为0x888E。

·     Protocol Version:表示EAPOL数据帧的发送方所支持的EAPOL协议版本号。

·     Type:表示EAPOL数据帧类型。目前设备上支持的EAPOL数据帧类型见表1-1

表1-1 EAPOL数据帧类型

类型值

数据帧类型

说明

0x00

EAP-Packet

认证信息帧,用于承载客户端和设备端之间的EAP报文。

·     在终结方式下,该帧中的客户端认证信息会被设备端重新封装并承载于RADIUS报文中发送给认证服务器

·     在中继方式下,该帧承载的EAP报文会被设备端直接封装在RADIUS报文的EAP属性中发送给认证服务器

0x01

EAPOL-Start

认证发起帧,用于客户端向设备端发起认证请求

0x02

EAPOL-Logoff

退出请求帧,用于客户端向设备端发起下线请求

 

·     Length:表示数据域的长度,也就是Packet Body字段的长度,单位为字节。当EAPOL数据帧的类型为EAPOL-Start或EAPOL-Logoff时,该字段值为0,表示后面没有Packet Body字段。

·     Packet Body:数据域的内容。

(2)     EAP报文的格式

当EAPOL数据帧的类型为EAP-Packet时,Packet Body字段的内容就是一个EAP报文,格式如图1-6所示。

图1-6 EAP报文格式

 

·     Code:EAP报文的类型,包括Request(1)、Response(2)、Success(3)和Failure(4)。

·     Identifier:用于匹配Request消息和Response消息的标识符。

·     Length:EAP报文的长度,包含Code、Identifier、Length和Data域,单位为字节。

·     Data:EAP报文的内容,该字段仅在EAP报文的类型为Request和Response时存在,它由类型域和类型数据两部分组成,例如,类型域为1表示Identity类型,类型域为4表示MD5 challenge类型。

2. EAP报文在RADIUS中的封装

RADIUS为支持EAP认证增加了两个属性:EAP-Message(EAP消息)和Message-Authenticator(消息认证码)。在含有EAP-Message属性的数据包中,必须同时包含Message-Authenticator属性。关于RADIUS报文格式的介绍请参见“安全配置指导”中的“AAA”的RADIUS协议简介部分。

(1)     EAP-Message

图1-7所示,EAP-Message属性用来封装EAP报文,Value域最长253字节,如果EAP报文长度大于253字节,可以对其进行分片,依次封装在多个EAP-Message属性中。

图1-7 EAP-Message属性封装

 

(2)     Message-Authenticator

图1-8所示,Message-Authenticator属性用于在EAP认证过程中验证携带了EAP-Message属性的RADIUS报文的完整性,避免报文被窜改。如果接收端对接收到的RADIUS报文计算出的完整性校验值与报文中携带的Message-Authenticator属性的Value值不一致,该报文会被认为无效而丢弃。

图1-8 Message-Authenticator属性封装

 

1.1.5  802.1X的认证触发方式

802.1X的认证过程可以由客户端主动发起,也可以由设备端发起。

1. 客户端主动触发方式

·     组播触发:客户端主动向设备端发送EAPOL-Start报文来触发认证,该报文目的地址为组播MAC地址01-80-C2-00-00-03。

·     广播触发:客户端主动向设备端发送EAPOL-Start报文来触发认证,该报文的目的地址为广播MAC地址。该方式可解决由于网络中有些设备不支持上述的组播报文,而造成认证设备无法收到客户端认证请求的问题。

说明

目前,iNode的802.1X客户端可支持广播触发方式。

 

2. 设备端主动触发方式

设备端主动触发方式用于支持不能主动发送EAPOL-Start报文的客户端,例如Windows XP自带的802.1X客户端。设备主动触发认证的方式分为以下两种:

·     组播触发:设备每隔N秒(缺省为30秒)主动向客户端组播发送Identity类型的EAP-Request帧来触发认证。

·     单播触发:当设备收到源MAC地址未知的报文时,主动向该MAC地址单播发送Identity类型的EAP-Request帧来触发认证。若设备端在设置的时长内没有收到客户端的响应,则重发该报文。

1.1.6  802.1X的认证过程

802.1X系统支持采用EAP中继方式或EAP终结方式与远端RADIUS服务器交互。以下关于两种认证方式的过程描述,都以客户端主动发起认证为例。

1. EAP中继方式

这种方式是IEEE 802.1X标准规定的,将EAP承载在其它高层协议中,如EAP over RADIUS,以便扩展认证协议报文穿越复杂的网络到达认证服务器。一般来说,需要RADIUS服务器支持EAP属性:EAP-Message和Message-Authenticator,分别用来封装EAP报文及对携带EAP-Message的RADIUS报文进行保护。

下面以MD5-Challenge认证方法为例介绍基本业务流程,认证过程如图1-9所示。

图1-9 IEEE 802.1X认证系统的EAP中继方式业务流程

 

(1)     当用户需要访问外部网络时打开802.1X客户端程序,输入已经申请、登记过的用户名和密码,发起连接请求。此时,客户端程序将向设备端发出认证请求帧(EAPOL-Start),开始启动一次认证过程。

(2)     设备端收到认证请求帧后,将发出一个Identity类型的请求帧(EAP-Request/Identity)要求用户的客户端程序发送输入的用户名。

(3)     客户端程序响应设备端发出的请求,将用户名信息通过Identity类型的响应帧(EAP-Response/Identity)发送给设备端。

(4)     设备端将客户端发送的响应帧中的EAP报文封装在RADIUS报文(RADIUS Access-Request)中发送给认证服务器进行处理。

(5)     RADIUS服务器收到设备端转发的用户名信息后,将该信息与数据库中的用户名列表中对比,找到该用户名对应的密码信息,用随机生成的一个MD5 Challenge对密码进行加密处理,同时将此MD5 Challenge通过RADIUS Access-Challenge报文发送给设备端。

(6)     设备端将RADIUS服务器发送的MD5 Challenge转发给客户端。

(7)     客户端收到由设备端传来的MD5 Challenge后,用该Challenge对密码部分进行加密处理,生成EAP-Response/MD5 Challenge报文,并发送给设备端。

(8)     设备端将此EAP-Response/MD5 Challenge报文封装在RADIUS报文(RADIUS Access-Request)中发送给RADIUS服务器。

(9)     RADIUS服务器将收到的已加密的密码信息和本地经过加密运算后的密码信息进行对比,如果相同,则认为该用户为合法用户,并向设备端发送认证通过报文(RADIUS Access-Accept)。

(10)     设备收到认证通过报文后向客户端发送认证成功帧(EAP-Success),并将端口改为授权状态,允许用户通过端口访问网络。

(11)     用户在线期间,设备端会通过向客户端定期发送握手报文的方法,对用户的在线情况进行监测。

(12)     客户端收到握手报文后,向设备发送应答报文,表示用户仍然在线。缺省情况下,若设备端发送的两次握手请求报文都未得到客户端应答,设备端就会让用户下线,防止用户因为异常原因下线而设备无法感知。

(13)     客户端可以发送EAPOL-Logoff帧给设备端,主动要求下线。

(14)     设备端把端口状态从授权状态改变成未授权状态,并向客户端发送EAP-Failure报文。

说明

EAP中继方式下,需要保证在客户端和RADIUS服务器上选择一致的EAP认证方法,而在设备上,只需要通过dot1x authentication-method eap命令启动EAP中继方式即可。

 

2. EAP终结方式

这种方式将EAP报文在设备端终结并映射到RADIUS报文中,利用标准RADIUS协议完成认证、授权和计费。设备端与RADIUS服务器之间可以采用PAP或者CHAP认证方法。下面以CHAP认证方法为例介绍基本业务流程,如图1-10所示。

图1-10 IEEE 802.1X认证系统的EAP终结方式业务流程

 

EAP终结方式与EAP中继方式的认证流程相比,不同之处在于步骤(4)中用来对用户密码信息进行加密处理的MD5 challenge由设备端生成,之后设备端会把用户名、MD5 challenge和客户端加密后的密码信息一起送给RADIUS服务器,进行相关的认证处理。

1.1.7  802.1X的接入控制方式

设备不仅支持协议所规定的基于端口的接入认证方式(Port-based),还对其进行了扩展、优化,支持基于MAC的接入控制方式(MAC-based)。

·     当采用基于端口的接入控制方式时,只要该端口下的第一个用户认证成功后,其它接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其它用户也会被拒绝使用网络。

·     采用基于MAC的接入控制方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。

1.2  802.1X扩展功能

1.2.1  支持VLAN下发

802.1X用户在服务器上通过认证时,服务器会把授权信息传送给设备端。如果服务器上指定了授权给该用户的下发VLAN,则服务器发送给设备的授权信息中将含有下发的VLAN信息,设备根据用户认证上线的端口链路类型,按以下三种情况将端口加入下发VLAN中。

表1-2 不同类型的端口加入下发的VLAN

接入控制方式

Access端口

Trunk 端口

Hybrid端口

Port-based

端口离开用户配置的VLAN,加入下发的VLAN

端口允许下发的VLAN通过,并且将缺省VLAN修改为下发的VLAN

端口允许下发的VLAN以不携带Tag的方式通过,并且将缺省VLAN修改为下发的VLAN

MAC-based

端口离开用户配置的VLAN,加入第一个通过认证的用户的下发VLAN

端口允许下发的VLAN通过,并且将缺省VLAN修改为第一个通过认证的用户的下发VLAN

·     若端口上开启了MAC VLAN功能,则根据下发的VLAN动态地创建基于用户MAC的VLAN,而端口的缺省VLAN ID并不改变

·     若当前Hybrid端口上未开启了MAC VLAN功能,则端口的缺省VLAN ID修改为第一个通过认证的用户的下发VLAN的VLAN ID

说明:后续用户的下发VLAN必须与第一个通过认证的用户的下发VLAN相同,否则认证失败

 

下发的VLAN并不影响端口的配置。但是,下发的VLAN的优先级高于用户配置的VLAN,即通过认证后起作用的VLAN是下发的VLAN,用户配置的VLAN在用户下线后生效。

说明

·     对于Hybrid端口,不建议把服务器将要下发或已经下发的VLAN配置为携带Tag的方式加入端口。

·     在启动了802.1X周期性重认证功能的Hybrid端口上,若用户在MAC VLAN功能开启之前上线,则MAC VLAN功能不能对该用户生效,即系统不会根据服务器下发的VLAN生成该用户的MAC VLAN表项,只有该在线用户重认证成功且服务器下发的VLAN发生变化时,MAC VLAN功能才会对它生效。MAC VLAN功能的详细介绍请参考“二层技术-以太网交换配置指导”中的“VLAN”。

 

1.2.2  Guest VLAN

Guest VLAN功能允许用户在未认证的情况下,访问某一特定VLAN中的资源。这个特定的VLAN称之为Guest VLAN,该VLAN内通常放置一些用于用户下载客户端软件或其他升级程序的服务器。

根据端口的接入控制方式不同,Guest VLAN的生效情况有所不同。

(1)     端口的接入控制方式为Port-based

在接入控制方式为Port-based的端口上配置Guest VLAN后,若在一定的时间内(默认90秒),该端口上无客户端进行认证,则该端口将被加入Guest VLAN,所有在该端口接入的用户将被授权访问Guest VLAN里的资源。不同链路类型的端口加入Guest VLAN的情况有所不同,具体情况与端口加入服务器下发的VLAN类似,请参见“1.2.1  支持VLAN下发”。

当端口上处于Guest VLAN中的用户发起认证且失败时:如果端口配置了Auth-Fail VLAN,则该端口会被加入Auth-Fail VLAN;如果端口未配置Auth-Fail VLAN,则该端口仍然处于Guest VLAN内。关于Auth-Fail VLAN的具体介绍请参见“1.2.3  Auth-Fail VLAN”。

当端口上处于Guest VLAN中的用户发起认证且成功时,端口会离开Guest VLAN,之后端口加入VLAN情况与认证服务器是否下发VLAN有关,具体如下:

·     若认证服务器下发VLAN,则端口加入下发的VLAN中。用户下线后,端口离开下发的VLAN回到初始VLAN中,该初始VLAN为端口加入Guest VLAN之前所在的VLAN。

·     若认证服务器未下发VLAN,则端口回到初始VLAN中。用户下线后,端口仍在该初始VLAN中。

(2)     端口的接入控制方式为MAC-based

在接入控制方式为MAC-based的端口上配置Guest VLAN后,端口上未认证的用户被授权访问Guest VLAN里的资源。

当端口上处于Guest VLAN中的用户发起认证且失败时,如果端口配置了Auth-Fail VLAN,则认证失败的用户将被加入Auth-Fail VLAN;如果端口未配置Auth-Fail VLAN,则该用户将仍然处于Guest VLAN内。

当端口上处于Guest VLAN中的用户发起认证且成功时,设备会根据认证服务器是否下发VLAN决定将该用户加入到下发的VLAN中,或回到加入Guest VLAN之前端口所在的初始VLAN。

1.2.3  Auth-Fail VLAN

Auth-Fail VLAN功能允许用户在认证失败的情况下访问某一特定VLAN中的资源,这个VLAN称之为Auth-Fail VLAN。需要注意的是,这里的认证失败是认证服务器因某种原因明确拒绝用户认证通过,比如用户密码错误,而不是认证超时或网络连接等原因造成的认证失败。

根据端口的接入控制方式不同,Auth-Fail VLAN的生效情况有所不同。

(1)     端口的接入控制方式为Port-based

在接入控制方式为Port-based的端口上配置Auth-Fail VLAN后,若该端口上有用户认证失败,则该端口会被加入到Auth-Fail VLAN,所有在该端口接入的用户将被授权访问Auth-Fail VLAN里的资源。端口加入Auth-Fail VLAN的情况与加入授权下发VLAN相同,与端口链路类型有关。

当加入Auth-Fail VLAN的端口上有用户发起认证并失败,则该端口将会仍然处于Auth-Fail VLAN内;如果认证成功,则该端口会离开Auth-Fail VLAN,之后端口加入VLAN情况与认证服务器是否下发VLAN有关,具体如下:

·     若认证服务器下发VLAN,则端口加入下发的VLAN中。用户下线后,端口会离开下发的VLAN回到初始VLAN中,该初始VLAN为端口加入Auth-Fail VLAN之前所在的VLAN。

·     若认证服务器未下发VLAN,则端口回到初始VLAN中。用户下线后,端口仍在该初始VLAN中。

(2)     端口的接入控制方式为MAC-based

在接入控制方式为MAC-based的端口上配置Auth-Fail VLAN后,该端口上认证失败的用户将被授权访问Auth-Fail VLAN里的资源。

当Auth-Fail VLAN中的用户再次发起认证时,如果认证成功,则设备会根据认证服务器是否下发VLAN决定将该用户加入到下发的VLAN中,或回到加入Auth-Fail VLAN之前端口所在的初始VLAN;如果认证失败,则该用户仍然留在该VLAN中。

1.3  802.1X配置任务简介

表1-3 802.1X配置任务简介

配置任务

说明

详细配置

开启802.1X特性

必选

1.4.2 

配置802.1X系统的认证方法

若采用EAP中继模式,则必选

若采用EAP终结模式,则可选

1.4.3 

配置端口的授权状态

可选

1.4.4 

配置端口接入控制方式

可选

1.4.5 

配置端口同时接入用户数的最大值

可选

1.4.6 

配置设备向接入用户发送认证请求报文的最大次数

可选

1.4.7 

配置802.1X认证超时定时器

可选

1.4.8 

配置在线用户握手功能

可选

1.4.9 

开启认证触发功能

可选

1.4.10 

配置端口的强制认证域

可选

1.4.11 

配置静默功能

可选

1.4.12 

配置重认证功能

可选

1.4.13 

配置Guest VLAN

可选

1.4.14 

配置Auth-Fail VLAN

可选

1.4.15 

配置802.1X支持的域名分隔符

可选

1.4.16 

 

1.4  配置802.1X

1.4.1  配置准备

802.1X需要AAA的配合才能实现对用户的身份认证。因此,需要首先完成以下配置任务:

·     配置802.1X用户所属的ISP认证域及其使用的AAA方案,即本地认证方案或RADIUS方案。

·     如果需要通过RADIUS服务器进行认证,则应该在RADIUS服务器上配置相应的用户名和密码。

·     如果需要本地认证,则应该在设备上手动添加认证的用户名和密码。配置本地认证时,用户使用的服务类型必须设置为lan-access。

1.4.2  开启802.1X特性

说明

端口启动802.1X与端口加入聚合组互斥。

 

只有同时开启全局和端口的802.1X特性后,802.1X的配置才能在端口上生效。

表1-4 开启802.1X特性

配置步骤

命令

说明

进入系统视图

system-view

-

开启全局的802.1X特性

dot1x

必选

缺省情况下,全局的802.1X特性为关闭状态

开启端口的802.1X特性

在系统视图下

dot1x interface interface-list

二者必选其一

缺省情况下,端口的802.1X特性为关闭状态

在以太网接口视图下

interface interface-type interface-number

dot1x

 

1.4.3  配置802.1X系统的认证方法

设备上的802.1X系统采用的认证方法与设备对于EAP报文的处理机制有关,具体如下:

·     EAP中继方式下,设备端对客户端发送的EAP报文进行中继处理,设备上需指定authentication-methodeap来启用EAP中继方式,并支持客户端与RADIUS服务器之间所有类型的EAP认证方法。

·     EAP终结方式下,设备端对客户端发送的EAP报文进行本地终结,设备上需指定authentication-methodchappap来启用EAP终结方式,并支持与RADIUS服务器之间采用CHAP或PAP类型的认证方法。

表1-5 配置802.1X系统的认证方法

配置步骤

命令

说明

进入系统视图

system-view

-

配置802.1X系统的认证方法

dot1x authentication-method { chap | eap | pap }

可选

缺省情况下,设备启用EAP终结方式,并采用CHAP认证方法

 

说明

如果采用EAP中继认证方式,则设备会把客户端输入的内容直接封装后发给服务器,这种情况下user-name-format命令的设置无效,user-name-format的介绍请参见“安全命令参考”中的“AAA”。

 

1.4.4  配置端口的授权状态

通过配置端口的授权状态,可以控制端口上接入的用户是否需要经过认证来访问网络资源。端口支持以下三种授权状态:

·     强制授权(authorized-force):表示端口始终处于授权状态,允许用户不经认证即可访问网络资源。

·     强制非授权(unauthorized-force):表示端口始终处于非授权状态,不允许用户进行认证。设备端不为通过该端口接入的客户端提供认证服务。

·     自动识别(auto):表示端口初始状态为非授权状态,仅允许EAPOL报文收发,不允许用户访问网络资源;如果认证通过,则端口切换到授权状态,允许用户访问网络资源。这也是最常见的情况。

在系统视图和接口视图下均可进行端口授权状态的配置,前者可针对多个端口,后者仅针对当前端口。若在不同视图下先后对同一个端口的授权状态进行了配置,则最后执行的配置生效。

表1-6 配置端口的授权状态

配置步骤

命令

说明

进入系统视图

system-view

-

配置端口的授权状态

在系统视图下

dot1x port-control { authorized-force | auto | unauthorized-force } [ interface interface-list ]

二者可选其一

缺省情况下,端口的授权状态为auto

在以太网接口视图下

interface interface-type interface-number

dot1x port-control { authorized-force | auto | unauthorized-force }

 

1.4.5  配置端口接入控制方式

设备支持两种端口接入控制方式:基于端口控制(portbased)和基于MAC控制(macbased)。

在系统视图和接口视图下均可进行端口接入控制方式的配置,前者可针对多个端口,后者仅针对当前端口。若在不同视图下先后对同一个端口的接入控制方式进行了配置,则最后执行的配置生效。

表1-7 配置端口接入控制方式

配置步骤

命令

说明

进入系统视图

system-view

-

配置端口接入控制方式

在系统视图下

dot1x port-method { macbased | portbased } [ interface interface-list ]

二者可选其一

缺省情况下,802.1X在端口上进行接入控制方式为macbased

在以太网接口视图下

interface interface-type interface-number

dot1x port-method { macbased | portbased }

 

说明

若端口上同时启动了802.1X和Portal认证功能,则端口接入控制方式必须为macbased。关于Portal认证的相关介绍,请参考“安全配置指导”中的“Portal”。

 

1.4.6  配置端口同时接入用户数的最大值

在系统视图和接口视图下均可进行端口接入用户数最大值的配置,前者可针对多个端口,后者仅针对当前端口。若在不同视图下先后对同一个端口的最大接入用户数进行了配置,则最后执行的配置生效。

表1-8 配置端口同时接入用户数的最大值

配置步骤

命令

说明

进入系统视图

system-view

-

配置端口同时接入用户数的最大值

在系统视图下

dot1x max-user user-number [ interface interface-list ]

二者可选其一

缺省情况下,端口同时接入用户数的最大值为16384

在以太网接口视图下

interface interface-type interface-number

dot1x max-user user-number

 

1.4.7  配置设备向接入用户发送认证请求报文的最大次数

如果设备向用户发送认证请求报文后,在规定的时间里(可通过命令dot1x timer tx-period或者dot1x timer supp-timeout设定)没有收到用户的响应,则设备将向用户重发该认证请求报文,若设备累计发送认证请求报文的次数达到配置的最大值后,仍然没有得到用户响应,则停止发送认证请求。

表1-9 配置设备向接入用户发送认证请求报文的最大次数

配置步骤

命令

说明

进入系统视图

system-view

-

配置设备向接入用户发送认证请求报文的最大次数

dot1x retry max-retry-value

可选

缺省情况下,设备最多可向接入用户发送2次认证请求报文

 

1.4.8  配置802.1X认证超时定时器

802.1X认证过程中会启动多个定时器以控制接入用户、设备以及RADIUS服务器之间进行合理、有序的交互。可配置的802.1X认证定时器包括以下两种:

·     客户端认证超时定时器:当设备端向客户端发送了EAP-Request/MD5 Challenge请求报文后,设备端启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,设备端将重发该报文。

·     认证服务器超时定时器:当设备端向认证服务器发送了RADIUS Access-Request请求报文后,设备端启动该定时器,若在该定时器设置的时长内,设备端没有收到认证服务器的响应,设备端将重发认证请求报文。

表1-10 配置802.1X定时器参数

配置步骤

命令

说明

进入系统视图

system-view

-

配置客户端认证超时定时器

dot1x timer supp-timeout supp-timeout-value

可选

缺省情况下,客户端认证超时定时器的值为30秒

配置认证服务器超时定时器

dot1x timer server-timeout server-timeout-value

可选

缺省情况下,认证服务器超时定时器的值为100秒

 

说明

一般情况下,无需改变认证超时定时器的值,除非在一些特殊或恶劣的网络环境下,才需要通过命令来调节。例如,用户网络状况比较差的情况下,可以适当地将客户端认证超时定时器值调大一些;还可以通过调节认证服务器超时定时器的值来适应不同认证服务器的性能差异。

 

1.4.9  配置在线用户握手功能

开启设备的在线用户握手功能后,设备会定期(时间间隔通过命令dot1x timer handshake-period设置)向通过802.1X认证的在线用户发送握手报文,以定期检测用户的在线情况。如果设备连续多次(通过命令dot1x retry设置)没有收到客户端的响应报文,则会将用户置为下线状态。

在线用户握手功能处于开启状态的前提下,还可以通过开启在线用户握手安全功能,来防止在线的802.1X认证用户使用非法的客户端与设备进行握手报文的交互,而逃过代理检测、双网卡检测等iNode客户端的安全检查功能。开启了在线用户握手安全功能的设备通过检验客户端上传的握手报文中携带的验证信息,来确认用户是否使用iNode客户端进行握手报文的交互。如果握手检验不通过,则会将用户置为下线状态。

需要注意的是:在线用户握手安全功能的实现依赖于在线用户握手功能。为使在线用户握手安全功能生效,请保证在线用户握手功能处于开启状态。

表1-11 配置在线用户握手功能

配置步骤

命令

说明

进入系统视图

system-view

-

配置握手定时器

dot1x timer handshake-period handshake-period-value

可选

缺省情况下,握手定时器的值为15秒

进入以太网接口视图

interface interface-type interface-number

-

开启在线用户握手功能

dot1x handshake

可选

缺省情况下,在线用户握手功能处于开启状态

开启在线用户握手功能的安全功能

dot1x handshake secure

可选

缺省情况下,在线用户握手安全功能处于关闭状态

 

说明

·     部分802.1X客户端不支持与设备进行握手报文的交互,因此建议在这种情况下,关闭设备的在线用户握手功能,避免该类型的在线用户因没有回应握手报文而被强制下线。

·     建议在线用户握手安全功能与iNode客户端以及iMC服务器配合使用,以保证该功能可以正常运行。

 

1.4.10  开启认证触发功能

端口上开启认证触发功能后,设备会主动向该端口上的客户端发送认证请求来触发认证,以支持不能主动发送EAPOL-Start报文来发起认证的客户端。设备提供了以下两种类型的认证触发功能:

·     组播触发功能:启用了该功能的端口会定期(间隔时间通过命令dot1x timer tx-period设置)向客户端组播发送EAP-Request/Identity报文来检测客户端并触发认证。该功能用于支持不能主动发起认证的客户端。

·     单播触发功能:当启用了该功能的端口收到源MAC地址未知的报文时,会主动向该MAC地址单播发送EAP-Request/Identity报文,若端口在指定的时间内(通过命令dot1x timer tx-period设置)没有收到客户端的响应,则重发该报文(重发次数通过命令dot1x retry设置)。该功能适用于客户端不支持主动认证,且仅部分客户端需要进行认证的组网环境,可避免不希望认证或已认证的客户端收到多余的认证触发报文。

表1-12 开启认证触发功能

配置步骤

命令

说明

进入系统视图

system-view

-

配置用户名请求超时定时器

dot1x timer tx-period tx-period-value

可选

缺省情况下,用户名请求超时定时器的值为30秒

进入以太网接口视图

interface interface-type interface-number

-

开启认证触发功能

dot1x { multicast-trigger | unicast-trigger }

可选

缺省情况下,组播触发功能处于开启状态,单播触发功能处于关闭状态

 

说明

建议组播触发功能和开启单播触发功能不要同时开启,以免认证报文重复发送。

 

1.4.11  配置端口的强制认证域

配置端口的强制认证域(mandatory domain)为802.1X接入提供了一种安全控制策略。所有从该端口接入的802.1X用户将被强制使用指定的认证域来进行认证、授权和计费,从而防止用户通过恶意假冒其它域账号从本端口接入网络。另外,管理员也可以通过配置强制认证域对不同端口接入的用户指定不同的认证域,从而增加了管理员部署802.1X接入策略的灵活性。

表1-13 配置端口的强制认证域

配置步骤

命令

说明

进入系统视图

system-view

-

进入以太网接口视图

interface interface-type interface-number

-

配置端口的强制认证域

dot1x mandatory-domain domain-name

必选

缺省情况下,未定义强制认证域

 

1.4.12  配置静默功能

当802.1X用户认证失败以后,设备需要静默一段时间(通过命令dot1x timer quiet-period设置)后再重新发起认证,在静默期间,设备不进行802.1X认证的相关处理。

表1-14 开启静默定时器功能

配置步骤

命令

说明

进入系统视图

system-view

-

配置静默定时器

dot1x timer quiet-period quiet-period-value

可选

缺省情况下,静默定时器的值为60秒

开启静默定时器功能

dot1x quiet-period

必选

缺省情况下,静默定时器功能处于关闭状态

 

说明

在网络处在风险位置,容易受攻击的情况下,可以适当地将静默定时器值调大一些,反之,可以将其调小一些来提高对用户认证请求的响应速度。

 

1.4.13  配置重认证功能

端口启动了802.1X的周期性重认证功能后,设备会根据周期性重认证定时器设定的时间间隔(由命令dot1x timer reauth-period设置)定期向该端口在线802.1X用户发起重认证,以检测用户连接状态的变化、确保用户的正常在线,并及时更新服务器下发的授权属性(例如VLAN、User Profile)。

表1-15 配置重认证功能

配置步骤

命令

说明

进入系统视图

system-view

-

配置周期性重认证定时器

dot1x timer reauth-period reauth-period-value

可选

缺省情况下,周期性重认证定时器的值为3600秒

进入以太网接口视图

interface interface-type interface-number

-

开启周期性重认证功能

dot1x re-authenticate

必选

缺省情况下,周期性重认证功能处于关闭状态

 

说明

·     认证服务器可以通过下发RADIUS属性(session-timeout)来指定用户的重认证周期,且该功能不需要设备上开启周期性重认证功能来配合,属性下发成功即可生效。802.1X用户认证通过后,如果认证服务器对该用户下发了重认证周期,则设备上配置的周期性重认证时间无效,服务器下发的重认证周期生效。认证服务器下发重认证时间的具体配置以及是否可以下发重认证周期的情况与服务器类型有关,请参考具体的认证服务器实现。

·     在用户名不改变的情况下,端口允许重认证前后服务器向该用户下发不同内容的VLAN;但是,若重认证前端口下发了VLAN,而重认证后未下发VLAN,则重认证失败,用户下线,反之同样处理。

 

1.4.14  配置Guest VLAN

注意

·     如果用户端设备发出的是携带Tag的数据流,且接入端口上使能了802.1X认证并配置了Guest VLAN,为保证各种功能的正常使用,请为端口的缺省VLAN和802.1X的Guest VLAN分配不同的VLAN ID。

·     如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的Guest VLAN;同样,如果某个VLAN被指定为某个端口的Guest VLAN,则该VLAN不能被指定为Super VLAN。关于Super VLAN的详细内容请参见“二层技术-以太网交换配置指导”中的“Super VLAN”。

·     基于MAC的Guest VLAN仅在Hybrid类型的端口上支持,请配置基于MAC的Guest VLAN以不携带Tag的方式通过当前Hybrid端口。

 

配置Guest VLAN之前,需要进行以下配置准备:

·     创建需要配置为Guest VLAN的VLAN。

·     在接入控制方式为Port-based的端口上,保证802.1X的组播触发功能处于开启状态。

·     在接入控制方式为MAC-based的端口上,保证端口类型为Hybrid,端口上的MAC VLAN功能处于使能状态,且不建议将指定的Guest VLAN修改为携带Tag的方式。MAC VLAN功能的具体配置请参考“二层技术-以太网交换配置指导”中的“VLAN”。

表1-16 配置Guest VLAN

配置步骤

命令

说明

进入系统视图

system-view

-

配置指定端口的Guest VLAN

在系统视图下

dot1x guest-vlan guest-vlan-id [ interface interface-list ]

二者必选其一

缺省情况下,端口没有配置Guest VLAN

不同的端口可以配置不同的Guest VLAN,但一个端口最多只能配置一个Guest VLAN

在以太网接口视图下

interface interface-type interface-number

dot1x guest-vlan guest-vlan-id

 

说明

在接入控制方式为MAC-based的端口上同时配置了802.1X认证的Guest VLAN与MAC地址认证的Guest VLAN时,则仅802.1X认证的Guest VLAN有效,即用户触发MAC地址认证且失败后,不会加入MAC地址认证的Guest VLAN,若之后未触发或者未成功通过802.1X认证,则会加入802.1X认证的Guest VLAN中(若端口上还配置了802.1X认证的Auth-Fail VLAN,则用户认证失败后加入Auth-Fail VLAN)。关于MAC地址认证Guest VLAN的介绍请参见“安全配置指导”中的“MAC地址认证”。

 

1.4.15  配置Auth-Fail VLAN

注意

·     如果用户端设备发出的是携带Tag的数据流,且接入端口上使能了802.1X认证并配置了Auth-Fail VLAN,为保证各种功能的正常使用,请为端口的缺省VLAN和802.1X的Auth-Fail VLAN分配不同的VLAN ID。

·     如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的Auth-Fail VLAN;同样,如果某个VLAN被指定为某个端口的Auth-Fail VLAN,则该VLAN不能被指定为Super VLAN。关于Super VLAN的详细内容请参见“二层技术-以太网交换配置指导”中的“Super VLAN”。

 

配置Auth-Fail VLAN之前,需要进行以下配置准备:

·     创建需要配置为Auth-Fail VLAN的VLAN。

·     在接入控制方式为Port-based的端口上,保证802.1X的组播触发功能处于开启状态。

·     在接入控制方式为MAC-based的端口上,保证端口类型为Hybrid,端口上的MAC VLAN功能处于使能状态,且不建议将指定的Auth-Fail VLAN修改为携带Tag的方式。MAC VLAN功能的具体配置请参考“二层技术-以太网交换配置指导”中的“VLAN”。

表1-17 配置Auth-Fail VLAN

配置步骤

命令

说明

进入系统视图

system-view

-

进入以太网接口视图

interface interface-type interface-number

-

配置指定端口的Auth-Fail VLAN

dot1x auth-fail vlan authfail-vlan-id

必选

缺省情况下,端口没有配置Auth-Fail VLAN

不同的端口可以配置不同的Auth-Fail VLAN,但一个端口最多只能配置一个Auth-Fail VLAN

 

说明

在接入控制方式为MAC-based的端口上同时配置了802.1X认证Auth-Fail VLAN与MAC地址认证的Guest VLAN时,若用户首先进行MAC地址认证且失败,则加入MAC地址认证的Guest VLAN中,之后若该用户再进行802.1X认证且失败,则会离开MAC地址认证的Guest VLAN而加入802.1X认证的Auth-Fail VLAN中;若用户首先进行802.1X认证且失败,之后除非成功通过MAC地址认证或者802.1X认证,否则会一直位于802.1X认证的Auth-Fail VLAN中。

 

1.4.16  配置802.1X支持的域名分隔符

设备对用户的管理是基于ISP域的,每个接入用户都属于一个ISP域。用户所属的ISP域是由用户登录时提供的用户名决定的,若用户名中携带域名,则设备使用该域中的AAA配置对用户进行认证、授权和计费,否则使用系统中的缺省域;若设备指定了802.1X的强制认证域,则无论用户名中是否携带域名,设备均使用指定的强制认证域。因此,设备能够准确解析用户名中的纯用户名和域名对于为用户提供认证服务非常重要。由于不同的802.1X客户端所支持的用户名域名分隔符不同,为了更好地管理和控制不同用户名格式的802.1X用户接入,需要在设备上指定802.1X可支持的域名分隔符。

目前,802.1X支持的域名分隔符包括@、\和/,对应的用户名格式分别为username@domain-name domain-name\usernameusername/domain-name,其中username为纯用户名、domain-name为域名。如果用户名中包含有多个域名分隔符字符,则设备仅将第一个出现的域名分隔符识别为实际使用的域名分隔符,其它字符都被认为是域名中的一部分,例如,用户输入的用户名为123/22\@abc,则认为纯用户名为123,域名分隔符为/,域名为22\@abc。

如果用户输入的用户名中不包含任何802.1X可支持的域名分隔符,则设备会认为该用户名并未携带域名,则使用系统中的缺省域对该用户进行认证。

表1-18 指定802.1X支持的域名分隔符

配置步骤

命令

说明

进入系统视图

system-view

-

指定802.1X支持的域名分隔符

dot1x domain-delimiter string

可选

缺省情况下,仅支持域名分隔符@

 

说明

若设备上指定发送给认证服务器的用户名携带域名(user-name-format with-domain),则发送给认证服务器的用户名中携带该用户使用的认证域的域名,并采用设备上指定的802.1X支持的域名分隔符,若设备上指定了多个域名分隔符,则选择的优先级由高到低依次为@、/、\。另外,为保证用户信息可在认证服务器上被准确匹配到,设备上指定的802.1X支持的域名分隔符必须与认证服务器支持的域名分隔符保持一致,否则可能会因为服务器匹配用户失败而导致用户认证失败。相关命令的具体介绍请参考“安全命令参考”中的“AAA”。

 

1.5  802.1X显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后802.1X的运行情况,通过查看显示信息验证配置的效果。

在用户视图下,执行reset命令可以清除802.1X的统计信息。

表1-19 802.1X显示和维护

操作

命令

显示802.1X的会话连接信息、相关统计信息或配置信息

display dot1x [ sessions | statistics ] [ interface interface-list ] [ | { begin | exclude | include } regular-expression ]

清除802.1X的统计信息

reset dot1x statistics [ interface interface-list ]

 

1.6  802.1X典型配置举例

说明

缺省情况下,以太网接口、VLAN接口及聚合接口处于DOWN状态。如果要对这些接口进行配置,请先使用undo shutdown命令使接口状态处于UP。

1.6.1  802.1X认证配置举例

1. 组网需求

用户通过Device的端口GigabitEthernet3/0/1接入网络,设备对该端口接入的用户进行802.1X认证以控制其访问Internet,具体要求如下:

·     由两台RADIUS服务器组成的服务器组与Device相连,其IP地址分别为10.1.1.1/24和10.1.1.2/24,使用前者作为主认证/计费服务器,使用后者作为备份认证/计费服务器。

·     端口GigabitEthernet3/0/1下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。

·     认证时,首先进行RADIUS认证,如果RADIUS服务器没有响应则进行本地认证;计费时,如果RADIUS计费失败则切断用户连接使其下线。

·     所有接入用户都属于同一个ISP域example.com,该域中最多可容纳30个用户。

·     Device与RADIUS认证服务器交互报文时的共享密钥为name、与RADIUS计费服务器交互报文时的共享密钥为money。

2. 组网图

图1-11 802.1X认证组网图

 

3. 配置步骤

说明

·     下述配置步骤中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍请参见“安全命令参考”中的“AAA”。

·     完成802.1X客户端的配置。若使用H3C iNode 802.1X客户端,为保证备选的本地认证可成功进行,请确认802.1X连接属性中的“上传客户端版本号”选项未被选中。

·     完成RADIUS服务器的配置,添加用户帐户,保证用户的认证/授权/计费功能正常运行。

 

(1)     配置各接口的IP地址(略)

(2)     配置本地用户

# 添加本地用户,用户名为localuser,密码为明文输入的localpass。(此处添加的本地用户的用户名和密码需要与服务器端配置的用户名和密码保持一致,本例中的localuser仅为示例,请根据实际情况配置)

<Device> system-view

[Device] local-user localuser

[Device-luser-localuser] service-type lan-access

[Device-luser-localuser] password simple localpass

# 启动闲置切断功能,并指定正常连接时用户空闲时间超过20分钟,则切断其连接。

[Device-luser-localuser] authorization-attribute idle-cut 20

[Device-luser-localuser] quit

(3)     配置RADIUS方案

# 创建RADIUS方案radius1并进入其视图。

[Device] radius scheme radius1

# 配置主认证/计费RADIUS服务器的IP地址。

[Device-radius-radius1] primary authentication 10.1.1.1

[Device-radius-radius1] primary accounting 10.1.1.1

# 配置备份认证/计费RADIUS服务器的IP地址。

[Device-radius-radius1] secondary authentication 10.1.1.2

[Device-radius-radius1] secondary accounting 10.1.1.2

# 配置Device与认证/计费RADIUS服务器交互报文时的共享密钥。

[Device-radius-radius1] key authentication name

[Device-radius-radius1] key accounting money

# 配置发送给RADIUS服务器的用户名不携带域名。

[Device-radius-radius1] user-name-format without-domain

[Device-radius-radius1] quit

说明

发送给服务器的用户名是否携带域名与服务器端是否接受携带域名的用户名以及服务器端的配置有关:

·     若服务器端不接受携带域名的用户名,或者服务器上配置的用户认证所使用的服务不携带域名后缀,则Device上指定不携带用户名(without-domain);

·     若服务器端可接受携带域名的用户名,且服务器上配置的用户认证所使用的服务携带域名后缀,则Device上指定携带用户名(with-domain)。

 

(4)     配置ISP域

# 创建域example.com并进入其视图。

[Device] domain example.com

# 配置802.1X用户使用RADIUS方案radius1进行认证、授权、计费,并采用local作为备选方法。

[Device-isp-example.com] authentication lan-access radius-scheme radius1 local

[Device-isp-example.com] authorization lan-access radius-scheme radius1 local

[Device-isp-example.com] accounting lan-access radius-scheme radius1 local

# 配置该域最多可容纳30个用户。

[Device-isp-example.com] access-limit enable 30

# 启动闲置切断功能,并指定正常连接时用户空闲时间超过20分钟,则切断其连接。

[Device-isp-example.com] idle-cut enable 20

[Device-isp-example.com] quit

# 指定域example.com为缺省的ISP域。如果用户在登录时没有提供ISP域名,系统将把它归于该缺省的ISP域。

[Device] domain default enable example.com

(5)     配置802.1X

# 开启全局802.1X特性。

[Device] dot1x

# 开启指定端口GigabitEthernet3/0/1的802.1X特性。

[Device] interface GigabitEthernet 3/0/1

[Device-GigabitEthernet3/0/1] dot1x

[Device-GigabitEthernet3/0/1] quit

# 配置基于MAC地址的接入控制方式(该配置可选,因为端口的接入控制在缺省情况下就是基于MAC地址的)。

[Device] dot1x port-method macbased interface GigabitEthernet 3/0/1

4. 验证配置结果

使用命令display dot1x interface GigabitEthernet 3/0/1可以查看802.1X的配置情况。当802.1X用户输入正确的用户名和密码成功通过RADIUS认证上线后,可使用命令display connetion查看到上线用户的连接情况。若RADIUS服务器无响应,则进行本地认证。

1.6.2  802.1X认证配合Guest VLAN、VLAN下发配置举例

1. 组网需求

图1-12所示,一台主机通过802.1X认证接入网络,认证服务器为RADIUS服务器。Host接入Device的端口GigabitEthernet3/0/2在VLAN 1内;认证服务器在VLAN 2内;Update Server是用于客户端软件下载和升级的服务器,在VLAN 10内;Device连接Internet网络的端口GigabitEthernet3/0/3在VLAN 5内。现有如下组网需求:

·     若一定的时间内端口上无客户端进行认证,则将该端口GigabitEthernet3/0/2加入Guest VLAN(VLAN 10)中,此时Host和Update Server都在VLAN 10内,Host可以访问Update Server并下载802.1X客户端。

·     用户认证成功上线后,认证服务器下发VLAN 5,此时Host和连接Internet网络的端口GigabitEthernet3/0/3都在VLAN 5内,Host可以访问Internet。

2. 组网图

图1-12 Guest VLAN及VLAN下发组网图

 

3. 配置步骤

说明

·     下述配置步骤中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍请参见“安全命令参考”中的“AAA”。

·     保证接入端口加入Guest VLAN或授权VLAN之后,802.1X客户端能够及时更新IP地址,以实现与相应网络资源的互通。

·     完成RADIUS服务器的配置,添加用户帐户,指定要授权下发的VLAN(本例中为VLAN 5),并保证用户的认证/授权/计费功能正常运行。

 

(1)     创建VLAN并将端口加入对应VLAN

<Device> system-view

[Device] vlan 1

[Device-vlan1] port GigabitEthernet 3/0/2

[Device-vlan1] quit

[Device] vlan 10

[Device-vlan10] port GigabitEthernet 3/0/1

[Device-vlan10] quit

[Device] vlan 2

[Device-vlan2] port GigabitEthernet 3/0/4

[Device-vlan2] quit

[Device] vlan 5

[Device-vlan5] port GigabitEthernet 3/0/3

[Device-vlan5] quit

(2)     配置RADIUS方案

# 创建RADIUS方案2000并进入其视图。

[Device] radius scheme 2000

# 配置主认证/计费RADIUS服务器及其共享密钥。

[Device-radius-2000] primary authentication 10.11.1.1 1812

[Device-radius-2000] primary accouting 10.11.1.1 1813

[Device-radius-2000] key authentication abc

[Device-radius-2000] key accouting abc

# 配置发送给RADIUS服务器的用户名不携带域名。

[Device-radius-2000] user-name-format without-domain

[Device-radius-2000] quit

(3)     配置ISP域

# 创建域bbb并进入其视图。

[Device] domaim bbb

# 配置802.1X用户使用RADIUS方案2000进行认证、授权、计费。

[Device-isp-bbb] authentication lan-access radius-scheme 2000

[Device-isp-bbb] authorization  lan-access radius-scheme 2000

[Device-isp-bbb] accounting lan-access radius-scheme 2000

[Device-isp-bbb] quit

(4)     配置802.1X

# 开启全局802.1X特性。

[Device] dot1x

# 开启指定端口的802.1X特性。

[Device] interface GigabitEthernet 3/0/2

[Device-GigabitEthernet3/0/2] dot1x

# 配置端口上进行接入控制的方式为portbased

[Device-GigabitEthernet3/0/2] dot1x port-method portbased

# 配置端口的授权状态为auto。(此配置可选,端口的授权状态缺省为auto

[Device-GigabitEthernet3/0/2] dot1x port-control auto

[Device-GigabitEthernet3/0/2] quit

# 配置指定端口的Guest VLAN

[Device] dot1x guest-vlan 10 interface GigabitEthernet 3/0/2

4. 验证配置结果

通过命令display dot1x interface GigabitEthernet 3/0/2可以查看端口GigabitEthernet3/0/2上Guest VLAN的配置情况。

若在指定的时间之内无客户端进行认证或者无客户端认证成功,则通过命令display vlan 10可以查看到端口GigabitEthernet3/0/2加入了配置的Guest VLAN。

在用户认证成功之后,通过display interface GigabitEthernet 3/0/2可以看到用户接入的端口GigabitEthernet3/0/2加入了认证服务器下发的VLAN 5中。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们