39-802.1X
本章节下载: 39-802.1X (817.42 KB)
目 录
最初,IEEE 802 LAN/WAN委员会为解决无线局域网的网络安全问题,提出了802.1X协议。后来,802.1X协议作为局域网的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。
802.1X协议是一种基于端口的网络接入控制协议,即在局域网接入设备的端口上对所接入的用户设备进行认证,以便用户设备控制对网络资源的访问。
802.1X系统中包括三个实体:客户端(Client)、设备端(Device)和认证服务器(Authentication server),如图1-1所示。
图1-1 802.1X体系结构图
· 客户端是请求接入局域网的用户终端设备,它由局域网中的设备端对其进行认证。客户端上必须安装支持802.1X认证的客户端软件。
· 设备端是局域网中控制客户端接入的网络设备,位于客户端和认证服务器之间,为客户端提供接入局域网的端口(物理端口或逻辑端口),并通过与服务器的交互来对所连接的客户端进行认证。
· 认证服务器用于对客户端进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。认证服务器根据设备端发送来的客户端认证信息来验证客户端的合法性,并将验证结果通知给设备端,由设备端决定是否允许客户端接入。在一些规模较小的网络环境中,认证服务器的角色也可以由设备端来代替,即由设备端对客户端进行本地认证、授权和计费。
设备端为客户端提供接入局域网的端口被划分为两个逻辑端口:受控端口和非受控端口。任何到达该端口的帧,在受控端口与非受控端口上均可见。
· 非受控端口始终处于双向连通状态,主要用来传递EAPOL(Extensible Authentication Protocol over LAN,局域网上的可扩展认证协议)协议帧,保证客户端始终能够发出或接收认证报文。
· 受控端口在授权状态下处于双向连通状态,用于传递业务报文;在非授权状态下禁止从客户端接收任何报文。
设备端利用认证服务器对需要接入局域网的客户端进行认证,并根据认证结果(Accept或Reject)对受控端口的授权状态进行相应地控制。
图1-2显示了受控端口上不同的授权状态对通过该端口报文的影响。图中对比了两个802.1X认证系统的端口状态。系统1的受控端口处于非授权状态,不允许报文通过;系统2的受控端口处于授权状态,允许报文通过。
在非授权状态下,受控端口可以处于单向受控或双向受控状态。
· 处于双向受控状态时,禁止帧的发送和接收;
· 处于单向受控状态时,禁止从客户端接收帧,但允许向客户端发送帧。
目前,设备上的受控端口只能处于单向受控状态。
802.1X系统使用EAP(Extensible Authentication Protocol,可扩展认证协议)来实现客户端、设备端和认证服务器之间认证信息的交互。EAP是一种C/S模式的认证框架,它可以支持多种认证方法,例如MD5-Challenge、EAP-TLS、PEAP等。在客户端与设备端之间,EAP报文使用EAPOL封装格式承载于数据帧中传递。在设备端与RADIUS服务器之间,EAP报文的交互有以下两种处理机制。
设备对收到的EAP报文进行中继,使用EAPOR(EAP over RADIUS)封装格式将其承载于RADIUS报文中发送给RADIUS服务器进行认证。
图1-3 EAP中继原理示意图
该处理机制下,EAP认证过程在客户端和RADIUS服务器之间进行,RADIUS服务器作为EAP服务器来处理客户端的EAP认证请求,设备相当于一个代理,仅对EAP报文做中转,因此设备处理简单,并能够支持EAP的各种认证方法,但要求RADIUS服务器支持相应的EAP认证方法。
设备对EAP认证过程进行终结,将收到的EAP报文中的客户端认证信息封装在标准的RADIUS报文中,与服务器之间采用PAP(Password Authentication Protocol,密码验证协议)或CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)方法进行认证。
图1-4 EAP终结原理示意图
该处理机制下,由于现有的RADIUS服务器基本均可支持PAP认证和CHAP认证,因此对服务器无特殊要求,但设备处理较为复杂,它需要作为EAP服务器来解析与处理客户端的EAP报文,且目前仅能支持MD5-Challenge类型的EAP认证以及iNode 802.1X客户端发起的“用户名+密码”方式的EAP认证。
如果客户端采用了MD5-Challenge类型的EAP认证,则设备端只能采用CHAP认证;如果iNode 802.1X客户端采用了“用户名+密码”方式的EAP认证,设备上可选择使用PAP认证或CHAP认证,从安全性上考虑,通常使用CHAP认证。
(1) EAPOL数据帧的格式
EAPOL是802.1X协议定义的一种承载EAP报文的封装协议,主要用于在局域网中传送客户端和设备端之间的EAP协议报文。EAPOL数据包的格式如图1-5所示。
图1-5 EAPOL数据包格式
· PAE Ethernet Type:表示协议类型。EAPOL的协议类型为0x888E。
· Protocol Version:表示EAPOL数据帧的发送方所支持的EAPOL协议版本号。
· Type:表示EAPOL数据帧类型。目前设备上支持的EAPOL数据帧类型见表1-1。
表1-1 EAPOL数据帧类型
类型值 |
数据帧类型 |
说明 |
0x00 |
EAP-Packet |
认证信息帧,用于承载客户端和设备端之间的EAP报文。 · 在终结方式下,该帧中的客户端认证信息会被设备端重新封装并承载于RADIUS报文中发送给认证服务器 · 在中继方式下,该帧承载的EAP报文会被设备端直接封装在RADIUS报文的EAP属性中发送给认证服务器 |
0x01 |
EAPOL-Start |
认证发起帧,用于客户端向设备端发起认证请求 |
0x02 |
EAPOL-Logoff |
退出请求帧,用于客户端向设备端发起下线请求 |
· Length:表示数据域的长度,也就是Packet Body字段的长度,单位为字节。当EAPOL数据帧的类型为EAPOL-Start或EAPOL-Logoff时,该字段值为0,表示后面没有Packet Body字段。
· Packet Body:数据域的内容。
(2) EAP报文的格式
当EAPOL数据帧的类型为EAP-Packet时,Packet Body字段的内容就是一个EAP报文,格式如图1-6所示。
图1-6 EAP报文格式
· Code:EAP报文的类型,包括Request(1)、Response(2)、Success(3)和Failure(4)。
· Identifier:用于匹配Request消息和Response消息的标识符。
· Length:EAP报文的长度,包含Code、Identifier、Length和Data域,单位为字节。
· Data:EAP报文的内容,该字段仅在EAP报文的类型为Request和Response时存在,它由类型域和类型数据两部分组成,例如,类型域为1表示Identity类型,类型域为4表示MD5 challenge类型。
RADIUS为支持EAP认证增加了两个属性:EAP-Message(EAP消息)和Message-Authenticator(消息认证码)。在含有EAP-Message属性的数据包中,必须同时包含Message-Authenticator属性。关于RADIUS报文格式的介绍请参见“安全配置指导”中的“AAA”的RADIUS协议简介部分。
(1) EAP-Message
如图1-7所示,EAP-Message属性用来封装EAP报文,Value域最长253字节,如果EAP报文长度大于253字节,可以对其进行分片,依次封装在多个EAP-Message属性中。
图1-7 EAP-Message属性封装
(2) Message-Authenticator
如图1-8所示,Message-Authenticator属性用于在EAP认证过程中验证携带了EAP-Message属性的RADIUS报文的完整性,避免报文被窜改。如果接收端对接收到的RADIUS报文计算出的完整性校验值与报文中携带的Message-Authenticator属性的Value值不一致,该报文会被认为无效而丢弃。
图1-8 Message-Authenticator属性封装
802.1X的认证过程可以由客户端主动发起,也可以由设备端发起。
· 组播触发:客户端主动向设备端发送EAPOL-Start报文来触发认证,该报文目的地址为组播MAC地址01-80-C2-00-00-03。
· 广播触发:客户端主动向设备端发送EAPOL-Start报文来触发认证,该报文的目的地址为广播MAC地址。该方式可解决由于网络中有些设备不支持上述的组播报文,而造成认证设备无法收到客户端认证请求的问题。
目前,iNode的802.1X客户端可支持广播触发方式。
设备端主动触发方式用于支持不能主动发送EAPOL-Start报文的客户端,例如Windows XP自带的802.1X客户端。设备主动触发认证的方式分为以下两种:
· 组播触发:设备每隔N秒(缺省为30秒)主动向客户端组播发送Identity类型的EAP-Request帧来触发认证。
· 单播触发:当设备收到源MAC地址未知的报文时,主动向该MAC地址单播发送Identity类型的EAP-Request帧来触发认证。若设备端在设置的时长内没有收到客户端的响应,则重发该报文。
802.1X系统支持采用EAP中继方式或EAP终结方式与远端RADIUS服务器交互。以下关于两种认证方式的过程描述,都以客户端主动发起认证为例。
这种方式是IEEE 802.1X标准规定的,将EAP承载在其它高层协议中,如EAP over RADIUS,以便扩展认证协议报文穿越复杂的网络到达认证服务器。一般来说,需要RADIUS服务器支持EAP属性:EAP-Message和Message-Authenticator,分别用来封装EAP报文及对携带EAP-Message的RADIUS报文进行保护。
下面以MD5-Challenge认证方法为例介绍基本业务流程,认证过程如图1-9所示。
图1-9 IEEE 802.1X认证系统的EAP中继方式业务流程
(1) 当用户需要访问外部网络时打开802.1X客户端程序,输入已经申请、登记过的用户名和密码,发起连接请求。此时,客户端程序将向设备端发出认证请求帧(EAPOL-Start),开始启动一次认证过程。
(2) 设备端收到认证请求帧后,将发出一个Identity类型的请求帧(EAP-Request/Identity)要求用户的客户端程序发送输入的用户名。
(3) 客户端程序响应设备端发出的请求,将用户名信息通过Identity类型的响应帧(EAP-Response/Identity)发送给设备端。
(4) 设备端将客户端发送的响应帧中的EAP报文封装在RADIUS报文(RADIUS Access-Request)中发送给认证服务器进行处理。
(5) RADIUS服务器收到设备端转发的用户名信息后,将该信息与数据库中的用户名列表中对比,找到该用户名对应的密码信息,用随机生成的一个MD5 Challenge对密码进行加密处理,同时将此MD5 Challenge通过RADIUS Access-Challenge报文发送给设备端。
(6) 设备端将RADIUS服务器发送的MD5 Challenge转发给客户端。
(7) 客户端收到由设备端传来的MD5 Challenge后,用该Challenge对密码部分进行加密处理,生成EAP-Response/MD5 Challenge报文,并发送给设备端。
(8) 设备端将此EAP-Response/MD5 Challenge报文封装在RADIUS报文(RADIUS Access-Request)中发送给RADIUS服务器。
(9) RADIUS服务器将收到的已加密的密码信息和本地经过加密运算后的密码信息进行对比,如果相同,则认为该用户为合法用户,并向设备端发送认证通过报文(RADIUS Access-Accept)。
(10) 设备收到认证通过报文后向客户端发送认证成功帧(EAP-Success),并将端口改为授权状态,允许用户通过端口访问网络。
(11) 用户在线期间,设备端会通过向客户端定期发送握手报文的方法,对用户的在线情况进行监测。
(12) 客户端收到握手报文后,向设备发送应答报文,表示用户仍然在线。缺省情况下,若设备端发送的两次握手请求报文都未得到客户端应答,设备端就会让用户下线,防止用户因为异常原因下线而设备无法感知。
(13) 客户端可以发送EAPOL-Logoff帧给设备端,主动要求下线。
(14) 设备端把端口状态从授权状态改变成未授权状态,并向客户端发送EAP-Failure报文。
EAP中继方式下,需要保证在客户端和RADIUS服务器上选择一致的EAP认证方法,而在设备上,只需要配置802.1X用户的认证方式为EAP即可。
这种方式将EAP报文在设备端终结并映射到RADIUS报文中,利用标准RADIUS协议完成认证、授权和计费。设备端与RADIUS服务器之间可以采用PAP或者CHAP认证方法。下面以CHAP认证方法为例介绍基本业务流程,如图1-10所示。
图1-10 IEEE 802.1X认证系统的EAP终结方式业务流程
EAP终结方式与EAP中继方式的认证流程相比,不同之处在于步骤(4)中用来对用户密码信息进行加密处理的MD5 challenge由设备端生成,之后设备端会把用户名、MD5 challenge和客户端加密后的密码信息一起送给RADIUS服务器,进行相关的认证处理。
设备不仅支持协议所规定的基于端口的接入认证方式(Port-based),还对其进行了扩展、优化,支持基于MAC的接入控制方式(MAC-based)。
· 当采用基于端口的接入控制方式时,只要该端口下的第一个用户认证成功后,其它接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其它用户也会被拒绝使用网络。
· 采用基于MAC的接入控制方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
802.1X用户在服务器上通过认证时,服务器会把授权信息传送给设备端。如果服务器上指定了授权给该用户的下发VLAN,则服务器发送给设备的授权信息中将含有下发的VLAN信息,设备根据用户认证上线的端口连接类型,按以下三种情况将端口加入下发VLAN中。
表1-2 不同类型的端口加入下发的VLAN
接入控制方式 |
Access端口 |
Trunk端口 |
Hybrid端口 |
Port-based |
端口离开用户配置的VLAN,加入下发的VLAN |
端口允许下发的VLAN通过,并且将缺省VLAN修改为下发的VLAN |
端口允许下发的VLAN以不携带Tag的方式通过,并且将缺省VLAN修改为下发的VLAN |
MAC-based |
端口离开用户配置的VLAN,加入第一个通过认证的用户的下发VLAN |
端口允许下发的VLAN通过,并且将缺省VLAN修改为第一个通过认证的用户的下发VLAN |
端口允许下发的VLAN以不携带Tag的方式通过,端口的缺省VLAN ID修改为第一个通过认证的用户的下发VLAN的VLAN ID |
说明:下发给所有用户的VLAN必须相同,否则仅第一个通过认证的用户的可以认证成功。 |
下发的VLAN并不影响端口的配置。但是,下发的VLAN的优先级高于用户配置的VLAN,即通过认证后起作用的VLAN是下发的VLAN,用户配置的VLAN在用户下线后生效。
对于Hybrid端口,不建议把服务器将要下发或已经下发的VLAN配置为携带Tag的方式加入端口。
Guest VLAN功能允许用户在未认证的情况下,访问某一特定VLAN中的资源。这个特定的VLAN称之为Guest VLAN,该VLAN内通常放置一些用于用户下载客户端软件或其他升级程序的服务器。
需要注意的是,配置Guest VLAN功能的端口接入控制方式只能为Port-based。
在接入控制方式为Port-based的端口上配置Guest VLAN后,若在一定的时间内(默认90秒),该端口上无客户端进行认证,则该端口将被加入Guest VLAN,所有在该端口接入的用户将被授权访问Guest VLAN里的资源。不同链路类型的端口加入Guest VLAN的情况有所不同,具体情况与端口加入服务器下发的VLAN类似,请参见“1. 支持VLAN下发”。
当端口上处于Guest VLAN中的用户发起认证且失败时:如果端口配置了Auth-Fail VLAN,则该端口会被加入Auth-Fail VLAN;如果端口未配置Auth-Fail VLAN,则该端口仍然处于Guest VLAN内。关于Auth-Fail VLAN的具体介绍请参见“3. Auth-Fail VLAN”。
当端口上处于Guest VLAN中的用户发起认证且成功时,端口会离开Guest VLAN,之后端口加入VLAN情况与认证服务器是否下发VLAN有关,具体如下:
· 若认证服务器下发VLAN,则端口加入下发的VLAN中。用户下线后,端口离开下发的VLAN回到初始VLAN中,该初始VLAN为端口加入Guest VLAN之前所在的VLAN。
· 若认证服务器未下发VLAN,则端口回到初始VLAN中。用户下线后,端口仍在该初始VLAN中。
Auth-Fail VLAN功能允许用户在认证失败的情况下访问某一特定VLAN中的资源,这个VLAN称之为Auth-Fail VLAN。需要注意的是,这里的认证失败是认证服务器因某种原因明确拒绝用户认证通过,比如用户密码错误,而不是认证超时或网络连接等原因造成的认证失败。
需要注意的是,配置Auth-Fail VLAN功能的端口接入控制方式只能为Port-based。
在接入控制方式为Port-based的端口上配置Auth-Fail VLAN后,若该端口上有用户认证失败,则该端口会被加入到Auth-Fail VLAN,所有在该端口接入的用户将被授权访问Auth-Fail VLAN里的资源。端口加入Auth-Fail VLAN的情况与加入授权下发VLAN相同,与端口链路类型有关。
当加入Auth-Fail VLAN的端口上有用户发起认证并失败,则该端口将会仍然处于Auth-Fail VLAN内;如果认证成功,则该端口会离开Auth-Fail VLAN,之后端口加入VLAN情况与认证服务器是否下发VLAN有关,具体如下:
· 若认证服务器下发VLAN,则端口加入下发的VLAN中。用户下线后,端口会离开下发的VLAN回到初始VLAN中,该初始VLAN为端口加入Auth-Fail VLAN之前所在的VLAN。
· 若认证服务器未下发VLAN,则端口回到初始VLAN中。用户下线后,端口仍在该初始VLAN中。
802.1X支持ACL(Access Control List,访问控制列表)下发功能提供了对上线用户访问网络资源的过滤与控制功能。当用户上线时,如果RADIUS服务器上指定了要下发给该用户的授权ACL,则设备会根据服务器下发的授权ACL对用户所在端口的数据流进行过滤,仅允许ACL规则中允许的数据流通过该端口。由于服务器上指定的是授权ACL的编号,因此还需要在设备上创建该ACL并配置对应的ACL规则。管理员可以通过改变服务器的授权ACL设置或设备上对应的ACL规则来改变用户的访问权限。
802.1X需要AAA的配合才能实现对用户的身份认证。因此,需要首先完成以下配置任务:
· 配置802.1X用户所属的ISP认证域及其使用的AAA方案,即本地认证方案或RADIUS方案。详细配置请参见“Web配置手册 AAA”和“Web配置手册 RADIUS”。
· 如果需要通过RADIUS服务器进行认证,则应该在RADIUS服务器上配置相应的用户名和密码。
· 如果需要本地认证,则应该在设备上手动添加认证的用户名和密码,且用户使用的服务类型必须为LAN-Access。详细配置请参见“Web配置手册 用户”。
表1-3 802.1X配置步骤
步骤 |
配置任务 |
说明 |
1 |
必选 在全局启用802.1X认证,配置认证方法和高级参数 缺省情况下,全局802.1X认证处于关闭状态 |
|
2 |
必选 在指定的端口上启用802.1X认证,配置端口的802.1X参数 缺省情况下,端口802.1X认证处于关闭状态 |
(1) 在导航栏中选择“认证 > 802.1X”,进入如下图所示页面。在“802.1X认证设置”中可以显示和配置全局的802.1X特性。
(2) 选中“启用802.1X认证”前的复选框。
(3) 设置802.1X系统的认证方法,包括:CHAP、PAP、EAP。
802.1X系统采用的认证方法与设备对于EAP报文的处理机制有关,具体如下:
· EAP中继方式下,设备端对客户端发送的EAP报文进行中继处理,设备上需指定认证方法为“EAP”来启用EAP中继方式,并支持客户端与RADIUS服务器之间所有类型的EAP认证方法。
· EAP终结方式下,设备端对客户端发送的EAP报文进行本地终结,设备上需指定认证方法为“CHAP”或“PAP”来启用EAP终结方式,并支持客户端与RADIUS服务器之间采用CHAP或PAP类型的认证方法。
(4) 单击“高级设置”前的扩展按钮,展开高级参数的配置内容,如下图所示。
图1-12 高级设置
(5) 根据需要修改高级参数的配置,详细配置如下表所示。
(6) 单击<确定>按钮完成操作。
表1-4 全局802.1X高级参数的详细配置
配置项 |
说明 |
||
高级设置 |
静默功能 |
设置是否启用静默定时器功能以及静默定时器的值 当802.1X用户认证失败以后,设备需要静默一段时间(通过“静默时长”设定)后再重新发起认证。静默期间,设备不进行802.1X认证的相关处理 |
|
静默时长 |
设置静默定时器的值 |
||
报文重传次数 |
设置设备向接入用户发送认证请求报文的最大次数 在规定的时间里(通过“重传间隔”或者“客户端超时时间”设定)没有收到用户的响应,则设备将根据报文重传次数决定是否再次向用户发送该认证请求报文 报文重传次数设置为1时表示只允许向用户发送一次认证请求报文,如果没有收到响应,不再重复发送;设置为2时表示在首次向用户发送请求又没有收到响应后,将重复发送1次;……依次类推 |
||
重传间隔 |
设置重传定时器的值 重传定时器定义了两个时间间隔: · 其一,当设备端向客户端发送EAP-Request/Identity请求报文后,设备端启动该定时器,若在该定时器设置的时间间隔内,设备端没有收到客户端的响应,则设备端将重发认证请求报文 · 其二,为了兼容不主动发送EAPOL-Start连接请求报文的客户端,设备会定期组播EAP-Request/Identity请求报文来检测客户端。重传间隔定义了该组播报文的发送时间间隔 |
||
用户握手周期 |
设置用户握手定时器的值 当端口上启用了用户握手功能(具体配置请参见“1.2.3 配置端口的802.1X特性”)时,设备端会在用户认证成功后启动用户握手定时器,并以此定时器的值为周期发送握手请求报文,以定期检测用户的在线情况。如果配置报文重传次数为N,则当设备端连续N次没有收到客户端的响应报文,就认为用户已经下线 |
||
重认证周期 |
设置周期性重认证定时器的值 当端口上启用了周期性重认证功能(具体配置请参见“1.2.3 配置端口的802.1X特性”)时,设备端会在用户认证成功后启动周期性重认证定时器,用于周期性的对在线用户发起重认证,以便定时更新服务器对用户的授权信息 |
||
客户端超时时间 |
设置客户端超时定时器的值 当设备端向客户端发送了EAP-Request/MD5 Challenge请求报文后,设备端启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,设备端将重发该报文 |
一般情况下,无需改变客户端超时定时器和服务器超时定时器的值,除非在一些特殊或恶劣的网络环境下,才需要通过命令来调节。例如,用户网络状况比较差的情况下,可以适当地将客户端超时定时器值调大一些;还可以通过调节服务器超时定时器的值来适应不同认证服务器的性能差异 |
|
服务器超时时间 |
设置服务器超时定时器的值 当设备端向认证服务器发送了RADIUS Access-Request请求报文后,设备端启动服务器超时定时器,若在该定时器设置的时长内,设备端没有收到认证服务器的响应,设备端将重发认证请求报文 |
(1) 在导航栏中选择“认证 > 802.1X”,进入图1-11所示页面。
(2) 在“802.1X认证启用端口”中单击<新建>按钮,进入新启用端口802.1X认证的配置页面,如下图所示。
(3) 配置端口802.1X特性,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表1-5 端口802.1X特性的详细配置
配置项 |
说明 |
端口 |
设置要启用802.1X认证的端口,只能选择未启用802.1X认证的端口 只有同时启用全局和端口的802.1X特性后,802.1X的配置才能在端口上生效 · 在用户端设备发送不携带Tag数据流的情况下,若接入端口配置了语音VLAN功能,则端口的802.1X功能不生效 · 端口启动802.1X与端口加入聚合组互斥 |
端口控制方式 |
设置802.1X在端口上进行接入控制的方式,可选的方式及其含义说明如下: · MAC Based:表示采用基于MAC方式的接入控制方式,此时端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络 · Port Based:表示采用基于端口方式的接入控制方式,此时端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其他用户也会被拒绝使用网络 |
控制模式 |
设置802.1X在端口上进行接入控制的模式,可选的模式及其含义说明如下: · Auto:自动识别模式。指示端口初始状态为非授权状态,仅允许EAPOL报文收发,不允许用户访问网络资源;如果认证通过,则端口切换到授权状态,允许用户访问网络资源。这也是最常见的情况 · Force-Authorized:强制授权模式。表示端口始终处于授权状态,允许用户不经认证即可访问网络资源 · Force-Unauthorized:强制非授权模式。表示端口始终处于非授权状态,不允许用户进行认证,设备端不为通过该端口接入的客户端提供认证服务 |
最大用户数 |
设置802.1X在端口上可容纳接入用户数量的最大值 |
启用用户握手功能 |
设置是否在端口上启用用户握手功能 启用用户握手功能后,设备会定期(用户握手周期)向通过802.1X认证的在线用户发送握手报文,以定期检测用户的在线情况。如果设备连续多次(报文重传次数)没有收到客户端的响应报文,则会将用户置为下线状态。用户握手周期和报文重传次数的具体配置请参见“1.2.2 配置全局的802.1X特性” 部分802.1X客户端不支持与设备进行握手报文的交互,因此建议在这种情况下,关闭设备的用户握手功能,避免该类型的在线用户因没有回应握手报文而被强制下线 |
启用周期性重认证 |
设置是否在端口上启用周期性重认证功能 启用周期性重认证功能后,设备会根据指定的重认证周期(具体配置请参见“1.2.2 配置全局的802.1X特性”)定期向该端口在线802.1X用户发起重认证,以检测用户连接状态的变化、确保用户的正常在线,并及时更新服务器下发的授权属性(例如:ACL、VLAN) · 认证服务器可以通过下发RADIUS属性(session-timeout)来指定用户的重认证周期,且该功能不需要设备上开启周期性重认证功能来配合,属性下发成功即可生效。802.1X用户认证通过后,如果认证服务器对该用户下发了重认证周期,则设备上配置的周期性重认证时间无效,服务器下发的重认证周期生效。认证服务器下发重认证时间的具体配置以及是否可以下发重认证周期的情况与服务器类型有关,请参考具体的认证服务器实现 · 在用户名不改变的情况下,端口允许重认证前后服务器向该用户下发不同内容的VLAN;但是,若重认证前端口下发了VLAN,而重认证后未下发VLAN,则重认证失败,用户下线,反之同样处理 |
Guest VLAN |
设置端口的Guest VLAN。配置Guest VLAN之前,需要进行以下配置准备: · 创建需要配置为Guest VLAN的VLAN · 在接入控制方式为Port Based的端口上,保证802.1X的组播触发功能处于开启状态(缺省情况下,此功能处于开启状态) · 对于Hybrid端口,不建议将指定的Guest VLAN修改为携带Tag的方式 · 如果用户端设备发出的是携带Tag的数据流,且接入端口上启用了802.1X认证并配置了Guest VLAN,为保证各种功能的正常使用,请为语音VLAN、端口的缺省VLAN和802.1X的Guest VLAN分配不同的VLAN ID |
Auth-Fail VLAN |
设置认证失败的用户被授权访问的VLAN。配置Auth-Fail VLAN之前,需要进行以下配置准备: · 创建需要配置为Auth-Fail VLAN的VLAN · 在接入控制方式为Port Based的端口上,保证802.1X的组播触发功能处于开启状态(缺省情况下,此功能处于开启状态) · 对于Hybrid端口,不建议将指定的Auth-Fail VLAN修改为携带Tag的方式 · 如果用户端设备发出的是携带Tag的数据流,且接入端口上启用了802.1X认证并配置了Auth-Fail VLAN,为保证各种功能的正常使用,请为语音VLAN、端口的缺省VLAN和802.1X的Auth-Fail VLAN分配不同的VLAN ID |
· 要求在端口GigabitEthernet1/0/1上对接入用户进行认证,以控制其访问Internet;接入控制方式要求是基于MAC地址的接入控制;对在线用户启用周期性重认证,以便定时更新服务器对用户的授权信息。
· 所有接入用户都属于一个缺省的域:test。认证时,采用RADIUS认证方式;计费时,如果RADIUS计费失败则切断用户连接使其下线。RADIUS服务器使用CAMS/iMC服务器。
· 由两台RADIUS服务器组成的服务器组与Switch相连,其IP地址分别为10.1.1.1和10.1.1.2,使用前者作为主认证/备份计费服务器,使用后者作为备份认证/主计费服务器。
· 设置系统与认证RADIUS服务器交互报文时的共享密钥为name、与计费RADIUS服务器交互报文时的共享密钥为money。
· 设置系统在向RADIUS服务器发送报文后5秒种内如果没有得到响应就向其重新发送报文,发送报文的次数总共为5次;设置系统每15分钟就向RADIUS服务器发送一次实时计费报文。
· 设置系统从用户名中去除用户域名后再将之传给RADIUS服务器。
图1-14 802.1X配置组网图
下述各配置步骤包含了很多RADIUS客户端的配置,请参见“RADIUS”。RADIUS服务器上的配置略。
(1) 配置各接口的IP地址。(略)
(2) 配置全局的802.1X特性。
步骤1:在导航栏中选择“认证 > 802.1X”,进入802.1X的配置页面。
步骤2:进行如下配置,如下图所示。
· 选中“启用802.1X认证”前的复选框。
· 选择认证方法“CHAP”。
步骤3:单击<确定>按钮完成操作。
(3) 配置端口GigabitEthernet1/0/1的802.1X特性。
步骤1:在“802.1X认证启用端口”中单击<新建>按钮,进入新启用802.1X认证的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择端口为“GigabitEthernet1/0/1”。
· 选中“启用周期性重认证”前的复选框。
步骤3:单击<确定>按钮完成操作。
图1-16 配置端口GigabitEthernet1/0/1的802.1X特性
(4) 配置RADIUS方案system。
步骤1:在导航栏中选择“认证 > RADIUS”,默认进入“RADIUS服务器配置”页签的页面。
步骤2:进行如下配置,如下图所示。
· 选择服务类型为“认证服务器”。
· 输入主服务器IP地址为“10.1.1.1”。
· 选择主服务器状态为“active”。
· 输入备份服务器IP地址为“10.1.1.2”。
· 选择备份服务器状态为“active”。
步骤3:单击<确定>按钮完成操作。
图1-17 配置RADIUS认证服务器的信息
步骤4:单击“RADIUS参数设置”页签,进行如下配置,如下图所示。
· 选择服务器类型为“extended”。
· 选中“认证服务器共享密钥”前的复选框,输入认证密钥为“name”。
· 输入确认认证密钥为“name”。
· 选中“计费服务器共享密钥”前的复选框,输入计费密钥为“money”。
· 输入确认计费密钥为“money”。
· 输入超时时间为“5”。
· 输入超时重发次数为“5”。
· 输入实时计费间隔为“15”。
步骤5:单击<确定>按钮完成操作。
图1-18 配置与RADIUS服务器交互的方案
(5) 创建ISP域。
步骤1:在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面。
步骤2:进行如下配置,如下图所示。
· 输入域名为“test”。
· 选择缺省域为“Enable”。
步骤3:单击<应用>按钮完成操作。
(6) 配置ISP域的AAA认证方案。
步骤1:单击“认证”页签,进入AAA认证方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Default认证”前的复选框,选择认证方式为“RADIUS”。
· 选择认证方案名称为“system”。
图1-20 配置ISP域的AAA认证方案
步骤3:单击<应用>按钮,弹出配置进度对话框,如下图所示。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(7) 配置ISP域的AAA授权方案。
步骤1:单击“授权”页签,进入AAA授权方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Default授权”前的复选框,选择授权方式为“RADIUS”。
· 选择授权方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图1-22 配置ISP域的AAA授权方案
(8) 配置ISP域的AAA计费方案。
步骤1:单击“计费”页签,进入AAA计费方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Default计费”前的复选框,选择计费方式为“RADIUS”。
· 选择计费方案名称为“system”。
步骤3:单击<应用>按钮完成操作,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图1-23 配置ISP域的AAA计费方案
如下图所示,主机Host通过802.1X认证接入网络,认证服务器为RADIUS服务器(使用CAMS/iMC服务器)。Internet网络中有一台FTP服务器,IP地址为10.0.0.1。
· 在认证服务器上配置授权下发ACL 3000。
· 在Switch的GigabitEthernet1/0/1上开启802.1X认证,并配置ACL 3000。
当用户认证成功上线,认证服务器下发ACL 3000。此时ACL 3000在GigabitEthernet1/0/1上生效,Host可以访问Internet,但不能访问FTP服务器。
图1-24 下发ACL配置组网图
(1) 配置各接口的IP地址。(略)
(2) 配置RADIUS方案system。
步骤1:在导航栏中选择“认证 > RADIUS”,默认进入“RADIUS服务器配置”页签的页面。
步骤2:进行RADIUS认证服务器配置,如下图所示。
· 输入主服务器IP地址为“10.1.1.1”。
· 输入主UDP端口为“1812”。
· 选择主服务器状态为“active”。
步骤3:单击<确定>按钮完成操作。
图1-25 配置RADIUS认证服务器
步骤4:进行RADIUS计费服务器配置,如下图所示。
图1-26 配置RADIUS计费服务器
· 选择服务类型为“计费服务器”。
· 输入主服务器IP地址为“10.1.1.2”。
· 输入主UDP端口为“1813”。
· 选择主服务器状态为“active”。
步骤5:单击<确定>按钮完成操作。
步骤6:单击“RADIUS参数设置”页签,进行如下配置,如下图所示。
· 选择服务器类型为“extended”。
· 选中“认证服务器共享密钥”前的复选框,输入认证密钥为“abc”。
· 输入确认认证密钥为“abc”。
· 选中“计费服务器共享密钥”前的复选框,输入计费密钥为“abc”。
· 输入确认计费密钥为“abc”。
· 选择用户名格式为“without-domain”。
步骤7:单击<确定>按钮完成操作。
图1-27 配置设备与RADIUS服务器交互的方案
(3) 创建ISP域。
步骤1:在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面。
步骤2:进行如下配置,如下图所示。
· 输入域名为“test”。
· 选择缺省域为“Enable”。
步骤3:单击<应用>按钮完成操作。
(4) 配置ISP域的AAA认证方案。
步骤1:单击“认证”页签,进入AAA认证方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Default认证”前的复选框,选择认证方式为“RADIUS”。
· 选择认证方案名称为“system”。
图1-29 配置ISP域的AAA认证方案
步骤3:单击<应用>按钮,弹出配置进度对话框,如下图所示。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(5) 配置ISP域的AAA授权方案。
步骤1:单击“授权”页签,进入AAA授权方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Default授权”前的复选框,选择授权方式为“RADIUS”。
· 选择授权方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图1-31 配置ISP域的AAA授权方案
(6) 配置ISP域的AAA计费方案,并配置用户计费可选。
步骤1:单击“计费”页签,进入AAA计费方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“计费可选开关”前的复选框,选择“Enable”。
· 选中“Default计费”前的复选框,选择计费方式为“RADIUS”。
· 选择计费方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图1-32 配置ISP域的AAA计费方案
(7) 新建ACL 3000。
步骤1:在导航栏中选择“QoS > ACL IPv4”。
步骤2:单击“创建”页签,进入新建ACL的配置页面。
步骤3:输入访问控制列表ID为“3000”,如下图所示。
步骤4:单击<应用>按钮完成操作。
(8) 配置ACL规则,拒绝目的IP地址为10.0.0.1的报文通过。
步骤1:单击“高级配置”页签,进入ACL的高级配置页面。
步骤2:进行如下配置,如下图所示。
· 选择访问控制列表为“3000”。
· 选中“规则ID”前的复选框,输入规则ID为“0”。
· 选择操作为“禁止”。
· 选中“目的IP地址”前的复选框,输入目的IP地址为“10.0.0.1”。
· 输入目的地址通配符为“0.0.0.0”。
步骤3:单击<添加>按钮完成操作。
(9) 配置全局的802.1X特性。
步骤1:在导航栏中选择“认证 > 802.1X”,进入802.1X的配置页面。
步骤2:进行如下配置,如下图所示。
· 选中“启用802.1X认证”前的复选框。
· 选择认证方法“CHAP”。
步骤3:单击<确定>按钮完成操作。
(10) 开启端口 GigabitEthernet1/0/1的802.1X特性。
步骤1:在“802.1X认证启用端口”中单击<新建>按钮,进入新启用802.1X认证的配置页面。
步骤2:选择端口为“GigabitEthernet1/0/1”,如下图所示。
步骤3:单击<确定>按钮完成操作。
图1-36 配置端口GigabitEthernet1/0/1的802.1X特性
当用户认证成功上线后,通过Ping操作可以验证认证服务器下发的ACL 3000是否生效。
步骤1:在导航栏中选择“网络 > 诊断工具”,默认进入“Ping”页签的页面。
步骤2:输入目的IP地址为“10.0.0.1”。
步骤3:单击<开始>按钮,执行Ping操作。
在概要信息栏中看到如下图所示的信息。
图1-37 Ping操作结果
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!