选择区域语言: EN CN HK

11-用户接入与认证配置指导

05-802.1X Client配置

本章节下载  (196.45 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WA/H3C_WA5500/Configure/Operation_Manual/H3C_WA_CG(R2414)-6W100/11/201809/1113864_30005_0.htm

05-802.1X Client配置


1 802.1X Client

1.1  802.1X Client功能简介

802.1X的体系结构包括客户端、设备端和认证服务器。客户端通常有两种表现形式:安装了802.1X客户端软件的终端和网络设备。802.1X Client功能允许网络设备作为客户端。有关802.1X体系的详细介绍请参见“用户接入与认证配置指导”中的“802.1X”。

应用了802.1X Client功能的典型组网图如图1-1所示:

图1-1 802.1X Client组网图

 

1.2  802.1X Client配置限制和指导

关闭802.1X Client功能会导致已在线用户被强制下线,请谨慎操作。

1.3  802.1X Client功能配置任务简介

802.1X Client功能配置任务如下:

(1)     开启802.1X Client功能

(2)     配置802.1X Client认证用户名和密码

(3)     配置802.1X Client采用的EAP认证方法

(4)     (可选)配置802.1X Client匿名认证用户名

(5)     配置802.1X Client引用的SSL客户端策略

当802.1X Client认证采用PEAP-MSCHAPv2、PEAP-GTC、TTLS-MSCHAPv2或TTLS-GTC认证方式时,需要引用SSL客户端策略。

1.4  开启802.1X Client功能

(1)     进入系统视图。

system-view

(2)     进入以太网接口视图。

interface interface-type interface-number

(3)     开启802.1X Client功能。

dot1x supplicant enable

缺省情况下,802.1X Client功能处于关闭状态。

1.5  配置802.1X Client认证用户名和密码

1. 配置限制和指导

为确保认证成功,请将接入设备上配置的用户名和密码与认证服务器上配置的用户名和密码保持一致。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入以太网接口视图。

interface interface-type interface-number

(3)     配置802.1X Client认证用户名。

dot1x supplicant username username

(4)     配置802.1X Client认证密码。

dot1x supplicant password { cipher | simple } string

1.6  配置802.1X Client采用的EAP认证方法

1. 802.1X Client支持的EAP认证方法

802.1X Client支持的EAP认证方法分为MD5-Challenge、PEAP-MSCHAPv2、PEAP-GTC、TTLS-MSCHAPv2和TTLS-GTC。

2. 配置限制和指导

若802.1X Client采用MD5-Challenge认证方法,则设备端(Authenticator)的802.1X认证方法可以配置为PAP、CHAP或EAP.。

若802.1X Client采用其它认证方法,则设备端的认证方法必须配置为EAP。

有关设备端认证方法的详细介绍,请参见“用户接入与认证配置指导”中的“802.1X”。

配置的802.1X Client认证方法必须和认证服务器端支持的EAP认证方法保持一致。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入以太网接口视图。

interface interface-type interface-number

(3)     配置802.1X Client认证方法。

dot1x supplicant eap-method { md5 | peap-gtc | peap-mschapv2 | ttls-gtc | ttls-mschapv2 }

缺省情况下,802.1X Client采用的EAP认证方法为MD5-Challenge。

1.7  配置802.1X Client匿名认证用户名

1. 功能简介

仅在采用PEAP-MSCHAPv2、PEAP-GTC、TTLS-MSCHAPv2和TTLS-GTC认证方法时,才需要配置匿名认证用户名。802.1X Client在第一阶段的认证过程中,优先发送匿名认证用户名,而在第二阶段将在被加密的报文中发送配置的认证用户名。配置了802.1X Client匿名认证用户名可有效保护认证用户名不在第一阶段的认证过程中被泄露。如果设备上没有配置匿名认证用户名,则两个认证阶段均使用配置的认证用户名进行认证。

当802.1X Client认证采用的认证方法为MD5-Challenge时,被认证设备不会使用配置的匿名认证用户名认证,而是使用配置的认证用户名进行认证。

2. 配置限制和指导

如果认证服务器厂商不支持匿名认证用户名,则不要配置匿名认证用户名。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入以太网接口视图。

interface interface-type interface-number

(3)     配置802.1X Client匿名认证用户名。

dot1x supplicant anonymous identify identifier

1.8  配置802.1X Client引用的SSL客户端策略

1. 功能简介

当802.1X Client认证采用PEAP-MSCHAPv2、PEAP-GTC、TTLS-MSCHAPv2或TTLS-GTC时,被认证设备作为SSL客户端会在802.1X Client第一阶段认证过程中,与对端SSL服务器进行SSL协商。在第二阶段被认证设备使用SSL协商出来的结果对交互的认证报文进行加密传输。

在SSL协商过程中,802.1X Client作为SSL客户端连接SSL服务器时,需要使用本命令来引用SSL客户端策略。SSL客户端策略中配置了SSL客户端启动时使用的SSL参数,包括使用的PKI域、支持的加密套件和使用的SSL协议版本。有关SSL客户端策略的详细配置请参见“安全配置指导”中的“SSL”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入以太网接口视图。

interface interface-type interface-number

(3)     配置802.1X Client引用的SSL客户端策略。

dot1x supplicant ssl-client-policy policy-name

缺省情况下,802.1X Client引用系统缺省的SSL客户端策略。

1.9  802.1X Client功能显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后802.1X Client功能的运行情况,通过查看显示信息验证配置的效果。

表1-1 802.1X Client功能显示和维护

操作

命令

显示802.1X Client功能的配置信息、运行情况和统计信息

display dot1x supplicant [ interface interface-type interface-number ]

 

1.10  802.1X Client功能典型配置举例

1.10.1  802.1X Client功能基本组网配置举例

1. 组网需求

AP通过交换机Switch的接口GigabitEthernet1/0/1接入网络,两台RADIUS服务器组成的服务器组与Switch相连,具体需求如下:

·     AP作为被认证设备,需要通过Switch上的802.1X认证才能接入网络。

·     主、备RADIUS服务器进行认证、授权,其IP地址分别为10.1.1.1/24和10.1.1.2/24。

·     Switch作为Authenticator采用EAP中继认证方式与RADIUS服务器交互。

·     Switch开启802.1X认证。

·     AP属于ISP域bbb。

·     Switch与RADIUS认证服务器交互报文时的共享密钥为name。

·     802.1X Client认证用户名为aaa,密码为明文123456。

·     802.1X Client采用的EAP认证方法为PEAP-MSCHAPv2。

·     对AP进行基于端口的802.1X认证。

2. 组网图

图1-2 802.1X Client配置举例

 

3. 配置AP

(1)     配置各接口的IP地址(略)

(2)     配置802.1X Client功能

# 配置802.1X Client认证方法为PEAP-MSCHAPv2。

<AP> system-view

[AP] interface gigabitethernet 1/0/1

[AP-GigabitEthernet1/0/1] undo shutdown

[AP-GigabitEthernet1/0/1] dot1x supplicant eap-method peap-mschapv2

# 配置802.1X Client认证用户名为aaa,认证密码为明文123456。

[AP-GigabitEthernet1/0/1] dot1x supplicant username aaa

[AP-GigabitEthernet1/0/1] dot1x supplicant password simple 123456

# 配置802.1X Client匿名认证用户名为bbb。

[AP-GigabitEthernet1/0/1] dot1x supplicant anonymous identify bbb

# 开启802.1X Client功能。

[AP-GigabitEthernet1/0/1] dot1x supplicant enable

[AP-GigabitEthernet1/0/1] quit

4. 配置Switch

说明

·     下述配置步骤中包含了若干RADIUS协议的配置命令,关于这些命令的详细介绍请参见“用户接入与认证命令参考”中的“AAA”。

·     完成RADIUS服务器的配置,添加用户帐户,保证用户的认证/授权功能正常运行。

 

(1)     配置各接口的IP地址(略)

(2)     配置RADIUS方案

# 创建RADIUS方案radius1并进入其视图。

<Switch> system-view

[Switch] radius scheme radius1

# 配置主认证RADIUS服务器的IP地址。

[Switch-radius-radius1] primary authentication 10.1.1.1

# 配置备份认证RADIUS服务器的IP地址。

[Switch-radius-radius1] secondary authentication 10.1.1.2

# 配置Switch与认证RADIUS服务器交互报文时的共享密钥。

[Switch-radius-radius1] key authentication simple name

[Switch-radius-radius1] quit

说明

发送给服务器的用户名是否携带域名与服务器端是否接受携带域名的用户名以及服务器端的配置有关:

·     若服务器端不接受携带域名的用户名,或者服务器上配置的用户认证所使用的服务不携带域名后缀,则Switch上指定不携带用户名(without-domain);

·     若服务器端可接受携带域名的用户名,且服务器上配置的用户认证所使用的服务携带域名后缀,则Switch上指定携带用户名(with-domain)。

 

(3)     配置ISP域

# 创建域bbb并进入其视图。

[Switch] domain bbb

# 配置802.1X用户使用RADIUS方案radius1进行认证、授权。

[Switch-isp-bbb] authentication lan-access radius-scheme radius1

[Switch-isp-bbb] authorization lan-access radius-scheme radius1

[Switch-isp-bbb] accounting lan-access none

[Switch-isp-bbb] quit

(4)     配置802.1X

# 配置802.1X系统的认证方法为EAP。

[Switch] dot1x authentication-method eap

# 配置对AP进行基于端口的802.1X认证。

[Switch] interface gigabitethernet 1/0/1

[Switch-GigabitEthernet1/0/1] dot1x port-method portbased

# 指定接口上接入的802.1X用户使用强制认证域bbb。

[Switch-GigabitEthernet1/0/1] dot1x mandatory-domain bbb

# 开启接口GigabitEthernet1/0/1的802.1X。

[Switch-GigabitEthernet1/0/1] dot1x

[Switch-GigabitEthernet1/0/1] quit

# 开启全局802.1X。

[Switch] dot1x

5. 验证配置

上述配置完成后,可通过Switch上输入display dot1x connection命令看到成功上线用户的信息。

[Switch] display dot1x connection

Total connections: 1

 

User MAC address: 70f9-6dd7-d1e0

Access interface: GigabitEthernet1/0/1

Username: aaa

Authentication domain: bbb

Authentication method: EAP

Initial VLAN: 1

Authorization untagged VLAN: N/A

Authorization tagged VLAN list: N/A

Authorization ACL ID: N/A

Authorization user profile: N/A

Termination action: N/A

Session timeout period: N/A

Online from: 2017/06/17 20:31:43

Online duration: 0h 1m 5s

 

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!