目  录

第1章 802.1x功能介绍

1.1 802.1x简介

1.2 产品特性支持情况

1.2.1 全局配置

1.2.2 端口视图下的配置

1.2.3 注意事项

第2章 配置命令介绍

2.1 802.1x相关功能配置命令

第3章 典型企业网络接入认证应用

3.1 网络应用分析

3.2 组网图

3.3 配置步骤

3.3.1 交换机上的配置

3.3.2 RADIUS Server上的配置（以CAMS 1.20标准版为例）

3.3.3 接入用户PC上的操作

3.3.4 验证结果

3.3.5 故障诊断与排错

802.1x典型配置举例

关键词：802.1x，AAA

摘  要：本文主要介绍以太网交换机的802.1x功能在具体组网中的应用配置，对所涉及到的802.1x客户端、交换机、AAA服务器等角色，分别给出了详细的配置步骤。

缩略语：AAA（Authentication，Authorization and Accounting，认证、授权和计费）

第1章  802.1x功能介绍

1.1  802.1x简介

IEEE 802协议定义的局域网不提供接入认证，一般来说，只要用户接入局域网就可以访问网络上的设备或资源。但是对于如电信接入、写字楼、局域网以及移动办公等应用场合，网络管理者希望能对用户设备的接入进行控制和配置，为此产生了基于端口或用户的网络接入控制需求。

802.1x协议是一种基于端口的网络接入控制（Port Based Network Access Control）协议。802.1x作为一种基于端口的用户访问控制机制，由于其低成本、良好的业务连续性和扩充性以及较高的安全性和灵活性，受到了设备制造商、各大网络运营商和最终用户的广泛支持和肯定。

1.2  产品特性支持情况

1.2.1  全局配置

l              开启全局的802.1x特性

l              设置时间参数

l              设置认证请求帧的最大可重复发送次数

l              打开静默定时器功能

l              打开设备重启用户再认证功能

1.2.2  端口视图下的配置

l              开启端口dot1x

l              配置Guest VLAN功能

l              配置端口允许的最大用户数

l              端口接入控制方式(基于端口或基于MAC)

l              端口接入控制模式（强制授权、非强制授权、自动）

l              客户端版本检测

l              代理检测

1.2.3  注意事项

l              只有全局和端口均开启dot1x特性后，dot1x的配置才会生效。

l              在启用dot1x功能前，可以配置设备或以太网端口的dot1x相关参数，但这些配置并不生效；启用dot1x功能后，提前配置的dot1x相关参数才生效。

l              关闭dot1x功能后，交换机上配置的dot1x相关参数仍被保留；当dot1x功能重新启动后，以前所做的这些dot1x相关配置依然生效。

第2章  配置命令介绍

2.1  802.1x相关功能配置命令

要实现802.1x功能，需要对接入用户、交换机、认证/授权服务器三个部分进行正确配置。

l              接入用户端：保证用户PC使用正确的客户端。

l              交换机：需要进行802.1x配置和AAA相关配置。

l              认证/授权服务器：需要进行正确的配置。

下面仅介绍交换机上所需的802.1x相关配置命令，其他配置请参见相关设备手册。

表2-1 802.1x相关功能配置命令

第3章  典型企业网络接入认证应用

3.1  网络应用分析

某企业网的管理者希望在交换机各端口上对用户接入进行认证，以控制用户对相应资源的访问，详细网络应用需求分析如表3-1所示。

表3-1 网络应用分析

3.2  组网图

图3-1 典型企业网应用组网图

3.3  配置步骤

3.3.1  交换机上的配置

# 设置RADIUS方案cams，设置主备服务器。

<H3C> system-view

[H3C] radius scheme cams

[H3C-radius-cams] primary authentication 192.168.1.19

[H3C-radius-cams] primary accounting 192.168.1.19

[H3C-radius-cams] secondary authentication 192.168.1.20

[H3C-radius-cams] secondary accounting 192.168.1.20

# 设置系统与认证Radius服务器交互报文时加密密码为expert，与计费Radius服务器交互报文的加密密码为expert。

[H3C-radius-cams] key authentication expert

[H3C-radius-cams] key accounting expert

# 设置用户名为带域名格式。

[H3C-radius-cams] user-name-format with-domain

# 服务类型为extended。

[H3C-radius-cams] server-type extended

# 配置设备重启用户再认证功能。

[H3C-radius-cams] accounting-on enable

# 定义ISP域abc，并配置认证采用RADIUS方案cams。

[H3C] domain abc

[H3C-isp-abc] radius-scheme cams

# 配置动态VLAN下发模式。

[H3C-isp-abc] vlan-assignment-mode integer

[H3C-isp-abc] quit

# 将ISP域abc设置为缺省ISP域。

[H3C] domain default enable abc

# 用户接入端口启用Guest VLAN功能

[H3C] vlan 10

[H3C-Ethernet3/0/3] dot1x port-method portbased

[H3C-Ehternet3/0/3] dot1x guest-vlan 10

# 全局启用802.1x

[H3C] dot1x

# 端口启用dot1x

[H3C] dot1x interface Ethernet3/0/3

# 使用display命令可以查看关于802.1x，AAA相关参数配置。

[H3C] display dot1x interface ethernet3/0/3

 Equipment 802.1x protocol is enabled

 CHAP authentication is enabled

 DHCP-launch is disabled

 Proxy trap checker is disabled

 Proxy logoff checker is disabled

 Guest Vlan is enabled           

Configuration: Transmit Period     30 s,  Handshake Period       15 s

                ReAuth Period   003600 s

                Quiet Period        60 s,  Quiet Period Timer is disabled

                Supp Timeout        30 s,  Server Timeout         100 s

                Interval between version requests is 30s

                maximal request times for version information is 3

                The maximal retransmitting times          2

 Total maximum 802.1x user resource number is 4096

 Total current used 802.1x resource number is 0              

 Ethernet3/0/3  is link-up

   802.1x protocol is enabled

   Proxy trap checker is disabled

   Proxy logoff checker is disabled

   Guest Vlan: 10                   

   Version-Check is disabled

   The port is a(n) authenticator

   Authentication Mode is Auto

   Port Control Type is Port-based

   ReAuthenticate is disabled

   Max on-line user number is 1024

   Authentication Success: 0, Failed: 0

   EAPOL Packets: Tx 0, Rx 0

   Sent EAP Request/Identity Packets : 0

        EAP Request/Challenge Packets: 0

   Received EAPOL Start Packets : 0

            EAPOL LogOff Packets: 0

            EAP Response/Identity Packets : 0

            EAP Response/Challenge Packets: 0

            Error Packets: 0

   Controlled User(s) amount to 0    

[H3C] display radius cams

SchemeName  =cams                             Index=1    Type=extended

Primary Auth IP  =192.168.1.19     Port=1812

Primary Acct IP  =192.168.1.19     Port=1813

Second  Auth IP  =192.168.1.20     Port=1812

Second  Acct IP  =192.168.1.20     Port=1813

Auth Server Encryption Key= expert

Acct Server Encryption Key= expert

Accounting method = required

Accounting-On packet enable, send times = 40 , interval = 3s

TimeOutValue(in second)=3 RetryTimes=3 RealtimeACCT(in minute)=12

Permitted send realtime PKT failed counts       =5

Retry sending times of noresponse acct-stop-PKT =500

Quiet-interval(min)                             =5

Username format                                 =with-domain

Data flow unit                                  =Byte

Packet unit                                     =1

[H3C] display domain abc

The contents of Domain abc:

   State = Active

   RADIUS Scheme = cams

   Access-limit = Disable

   Vlan-assignment-mode = Integer

   accounting-mode = time        

   Domain User Template:

   Idle-cut = Disable

   Self-service = Disable

   Messenger Time = Disable  

3.3.2  RADIUS Server上的配置（以CAMS 1.20标准版为例）

CAMS认证/授权、计费服务器的配置，主要由以下四个部分组成：创建计费策略、创建服务类型、添加用户信息、接入网段及协议配置。

本文所述CAMS综合访问服务器的版本为V1.20（标准版）。

1. 登录CAMS服务器

(1)        在登录页面输入正确的用户名、密码登录CAMS服务器

图3-2 CAMS登录页面

(2)        登录成功后页面如图所示：

图3-3 CAMS首页面

2. 创建计费策略

(1)        进入计费策略页面

登录CAMS服务器配置平台，点击左侧的“资费管理”下的“计费策略”，进入“计费策略管理”界面，如图所示。

图3-4 计费策略管理页面

从列表中可以看到已有的计费策略，可以选择对已有计费策略进行“查询”、“修改”或“复制”。

(2)        创建计费策略

点击“计费策略管理”界面上方的“增加”按钮：新建“包月计费”的计费策略。

图3-5 计费策略基本信息页面

(3)        点击下一步：选择“按时长计费”，计费周期“月为周期”，周期内固定费用“50元每月”。

图3-6 计费属性设置页面

点击完成，成功添加新的计费策略“包月计费”。

3. 创建服务类型

(1)        进入服务配置界面

登录CAMS服务器配置平台，点击左侧的“服务管理”下的“服务配置”，进入“服务配置”界面，如图所示。

图3-7 服务配置页面

从列表中可以看到已有的服务类型，可以选择对已有服务类型进行“查询”、“修改”或“删除”。

(2)        创建服务类型

点击“服务配置”界面上方的“增加”按钮：新建服务名为“abc”的服务类型，服务后缀名为“abc”。计费策略为“包月计费”，上下行速率限制为2M（2048Kbps），认证成功后下发VLAN 100。认证绑定选择绑定用户IP和绑定用户MAC地址。

图3-8 增加服务页面

点击确定，成功添加服务类型。

4. 添加帐户用户

(1)        进入用户帐户界面

登录CAMS服务器配置平台，点击左侧的“用户管理”的“帐号用户”，进入“帐户管理”界面。

图3-9 用户帐户界面

从列表中可以看到已有的帐户用户，可以选择对已有帐户用户进行维护。

(2)        创建用户帐户

选择页面上方“增加”：用户为info，密码为info，用户姓名为Bruce，预付费用户，预付金额 100 元。并添加 绑定的用户IP地址、网卡MAC地址，在线数量限制为1，最大闲置时长 20分钟。

在“服务信息”一栏，选择服务名称abc。

图3-10 用户开户页面

点击确定完成帐户用户添加。

5. 接入设备配置

(1)        进入系统配置页面

登录CAMS服务器配置平台，点击左侧的“系统管理”的“系统配置”，进入“系统配置”界面。

图3-11 系统配置页面

(2)        选择修改“接入设备配置”，修改接入设备的地址、密钥及认证、计费处理端口等信息。

图3-12 接入设备配置列表页面

6. 接入设备配置

(1)        点击页面下方的“增加”按钮，增加配置项。

图3-13 增加配置项页面

(2)        点击确定后，可以看到如下提示：

图3-14 操作成功提示

(3)        此时需要返回“系统配置”页面，点击“立即生效”。

图3-15 系统配置页面的立即生效按钮

3.3.3  接入用户PC上的操作

PC上需要安装802.1x客户端。客户端可是选择H3C公司802.1X客户端产品，也可以是XP自带客户端，或者其他第三方标准客户端。以下以H3C公司iNode客户端为例进行介绍。

1. 启动客户端

图3-16 客户端页面

2. 新建连接

点击页面左上方“创建一个新的连接”，点击“下一步”，进入<选择认证协议>页面，选择“802.1x协议”。点击“下一步”，进入<选择连接类型>页面，选择“普通连接”。进入<帐户信息>页面，填写相关信息。

图3-17 新建802.1x连接

3. 设置连接属性

点击下一步，设置相应连接属性：

图3-18 设置连接属性

点击“完成”，选择“创建”，完成连接建立。

4. 启动连接

双击info连接图标，点击“连接”：

图3-19 连接中

连接成功：

图3-20 认证通过页面

3.3.4  验证结果

可以看到，在用户没有发起认证或认证失败的情形下，可以访问VLAN10范围内的网络，证明Guest VLAN生效。

当用户使用正确的客户端认证通过时，可以访问VLAN 100的网络，证明动态下发的VLAN生效，同时与CAMS配合完成计费、实时监控。当设备无预警重启时，用户可以重新认证并上线。当用户使用的IP/MAC与CAMS上设置的不一致时，用户无法上线。

3.3.5  故障诊断与排错

1. 故障现象：客户端无法验证通过

l              使用display dot1x命令确认全局和端口上都启用了802.1x。

l              确认客户端拨号程序设置正确的用户名和验证密码。

l              确认链路是否正常。

l              若上面检查没有问题，可以打开802.1x调试开关debugging dot1x packet查看交换机收到和发送的EAP、EAPoL报文是否正常。

2. 故障现象：用户无需进行802.1X验证就能使用网络资源

l              使用display dot1x确认全局和端口上都启用了802.1x。

l              使用display interface确认端口是否有入包统计；802.1x只针对入包进行认证限制，而对于出包来说，并不需要经过认证。即禁止从客户端接收帧，但允许向客户端发送帧。