02-802.1X典型配置指导
本章节下载: 02-802.1X典型配置指导 (611.75 KB)
IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1X协议。后来,802.1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。
802.1X协议是一种基于端口的网络接入控制协议(Port Based Network Access Control)。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
用户通过Switch的端口GE1/0/1接入网络。要求通过对接入设备的配置实现用户的802.1X认证,以控制其访问Internet。具体需求:
l 用户采用iNode客户端进行802.1X认证。
l 认证、授权、计费服务器均采用iMC服务器。
l Switch的端口GE1/0/1下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
l 认证时,先进行RADIUS认证,如果RADIUS服务器没有响应再转而进行本地认证;计费时,采用包月计费方式,每月30小时,20元。
图1-1 802.1X接入认证组网示意图
(1) 配置Radius服务器(本例以iMC服务器配置为例)
l 增加接入设备:建立iMC服务器和接入设备Switch之间的联动关系。
l 增加计费策略:建立iMC CAMS的计费策略。
l 增加服务:用户进行认证、授权、计费的各种策略的集合。
l 增加接入用户:包含帐号名、密码等信息。
(2) 配置接入设备Switch
l 创建本地用户,用户名为guest,密码为123456。
l 配置RADIUS方案radius1,指定RADIUS认证/授权/计费服务器IP地址为10.1.1.3;Switch与RADIUS服务器交互报文时的共享密钥为expert。
l 设置交换机在向RADIUS服务器发送报文后5秒种内如果没有得到响应就向其重新发送报文,发送报文的次数总共为5次,设置系统每15分钟就向RADIUS服务器发送一次实时计费报文。
l 创建ISP域test,并在该域下配置所有802.1X用户登录时采用的认证方案为radius1,并采用local作为备选方案。
l 开启全局和端口GE1/0/1下的802.1X功能,802.1X用户的接入控制方式是基于MAC地址的接入控制方式。
(3) 配置iNode客户端
表1-1 配置适用的产品与软硬件版本关系
产品 |
软件版本 |
S7500E系列以太网交换机 |
Release 6100系列,Release 6300系列,Release 6600系列,Release 6610系列 |
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
CE3000-32F以太网交换机 |
Release 1211 |
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5500-EI-D系列以太网交换机 |
Release 2208 |
S5500-SI系列以太网交换机 |
Release 2202 ,Release 2208 |
S5120-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5120-EI-D系列以太网交换机 |
Release 1505 |
S5120-SI系列以太网交换机 |
Release 1101,Release 1505 |
S5120-LI系列以太网交换机 |
Release 1107 |
E552&E528以太网交换机 |
Release 1103 |
S3610&S5510系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309 |
S3500-EA系列以太网交换机 |
Release 5303,Release 5309 |
S3100V2系列以太网交换机 |
Release 5103 |
E126B以太网交换机 |
Release 5103 |
下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102),说明RADIUS server的基本配置。
iMC服务器上的配置主要包含如下四步:
l 增加接入设备:建立iMC服务器和接入设备之间的联动关系。
l 增加计费策略:配置计费方案。
l 增加服务:配置对用户进行认证、授权、计费的各种策略。
l 增加接入用户:添加802.1X用户的帐号名、密码等信息。
具体配置如下:
(1) 增加接入设备。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备配置]菜单项,进入“接入设备配置”页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
l 设置与Switch交互报文时的认证、计费共享密钥为expert;
l 设置认证及计费的端口号分别为1812和1813;
l 选择业务类型为“LAN接入业务”;
l 选择接入设备类型为H3C;
l 选择或手工增加接入设备,添加IP地址为192.168.0.1的接入设备。
图1-2 增加接入设备
(2) 增加计费策略
选择“业务”页签,单击导航树中的[计费策略管理]菜单项,在该页面中单击“增加”按钮,进入增加计费策略页面。
l 配置策略名称“test”;
l 计费策略模板选择“包月类型计费”;
l 包月基本信息:计费方式“按时长”,计费周期类型“月”,周期内固定费用“20”元;
l 包月使用量限制设置:周期内限制量“30”,周期内限制单位“小时”;
l 其它参数采用缺省值,点击<确定>按钮。
(3) 增加服务。
选择“业务”页签,单击导航树中的[接入业务/服务配置管理]菜单项,进入“服务配置管理”页面,在该页面中单击“增加”按钮,进入增加服务配置页面。
l 输入服务名“service1”(可以任意命名),服务后缀“test”(关于服务后缀的设置规则请参考表1-2);
l 计费策略选择上一步中设置的“test”策略;
l 其它参数采用缺省值;
l 点击<确定>按钮。
(4) 增加接入用户。
选择“用户”页签,单击导航树中的[接入用户视图/所有接入用户]菜单项,进入“所有接入用户”列表页面,在该页面中单击<增加>按钮,进入增加接入用户页面。
l 单击<增加用户>按钮,添加用户信息;
l 选择或增加新用户;
l 输入帐号名“guest”(该帐号为用户接入网络时使用的标识),密码“123456”;
l 在接入服务部分选中“service1”;
l 点击<确定>按钮。
(1) 配置各接口的IP地址。
<Switch> system-view
[Switch] interface vlan-interface 1
[Switch-vlan-interface1] ip address 192.168.0.1 255.255.255.0
[Switch-vlan-interface1] quit
(2) 添加本地接入用户,用户名为guest,密码为123456。
[Switch] local-user guest
[Switch-luser-guest] service-type lan-access
[Switch-luser-guest] password simple 123456
[Switch-luser-guest] quit
(3) 配置RADIUS方案
# 创建RADIUS方案radius1并进入其视图。
[Switch] radius scheme radius1
# 设置主认证/授权/计费RADIUS服务器的IP地址。
[Switch-radius-radius1] primary authentication 10.1.1.3
[Switch-radius-radius1] primary accounting 10.1.1.3
# 设置系统与RADIUS服务器交互报文时的共享密钥。
[Switch-radius-radius1] key authentication expert
[Switch-radius-radius1] key accounting expert
# 设置服务类型为extended.
[Switch-radius-radius1] server-type extended
# 设置系统向RADIUS服务器重发报文的时间间隔与次数。
[Switch-radius-radius1] timer response-timeout 5
[Switch-radius-radius1] retry 5
# 设置系统向RADIUS服务器发送实时计费报文的时间间隔。
[Switch-radius-radius1] timer realtime-accounting 15
# 查看并确认RADIUS方案的配置。
[Switch-radius-radius1] display this
#
radius scheme radius1
server-type extended
primary authentication 10.1.1.3
primary accounting 10.1.1.3
key authentication expert
key accounting expert
timer realtime-accounting 15
timer response-timeout 5
retry 5
[Switch-radius-radius1] quit
(4) 创建并配置域
# 创建域test并进入其视图。
[Switch] domain test
# 指定radius1为该域用户的RADIUS方案,并采用local作为备选方案。
[Switch-isp-test] authentication default radius-scheme radius1 local
[Switch-isp-test] authorization default radius-scheme radius1 local
[Switch-isp-test] accounting default radius-scheme radius1 local
# 设置该域最多可容纳30个用户。
[Switch-isp-test] access-limit enable 30
# 启动闲置切断功能并设置相关参数。
[Switch-isp-test] idle-cut enable 20
# 配置域test为缺省用户域。
[Switch] domain default enable test
(5) 配置802.1X功能
# 开启指定端口GE1/0/1的802.1X功能。
[Switch] interface gigabitthernet 1/0/1
[Switch-GigabitEthernet1/0/1] dot1x
[Switch-GigabitEthernet1/0/1] quit
# 设置接入控制方式(该命令可以不配置,因为端口的接入控制在缺省情况下就是基于MAC地址的)。
[Switch] dot1x port-method macbased interface gigabitethernet 1/0/1
# 开启全局802.1 X功能。
[Switch] dot1x
接入用户需要安装H3C 公司iNode客户端,然后进行如下操作:
(1) 启动客户端
图1-3 iNode客户端界面示意图
(2) 新建802.1X连接
点击<新建>按钮,接入新建连接向导对话框,并选择“802.1X协议”。
图1-4 新建802.1X连接示意图
(3) 输入用户名和密码
图1-5 802.1X用户名、密码配置示意图
需要注意:iNode认证连接的用户名,备用于认证的域,以及服务器的后缀三者密切相连,具体的配置关系参加下表。
iNode认证连接的用户名 |
设备用于认证的domian |
设备配置的相关命令 |
iMC中的服务后缀 |
X@Y |
Y |
with-domain |
Y |
without-domain |
无 |
||
X |
Default domain (设备上指定的缺省域) |
with-domain |
Default domain |
without-domain |
无 |
(4) 设置连接属性
图1-6 802.1X连接属性配置示意图
需要注意的是:用户选项中如果选择了“上传客户端版本号”则客户端会对标准的认证协议进行扩展,在上传用户名的报文中添加客户端版本号来与iMC服务器配合进行认证。如果不选此项,则采用标准的EAP报文进行身份认证。
本例的认证方式是RADIUS认证失败转本地认证,由于本地认证不能对客户端上传的版本号进行识别,因此请不要勾选“上传客户端版本号”选项。
(5) 创建新连接
图1-7 完成新建连接示意图
(6) 启动连接
完成新建连接后,点击iNode客户端的<连接>按钮,发起802.1X连接。
图1-8 802.1X启动连接示意图
输入正确的用户名和密码后,客户端认证成功,可以正常使用网络。
图1-9 802.1X连接成功示意图
l 接入设备Switch上的完整配置如下
#
domain default enable test
#
dot1x
#
vlan 1
#
radius scheme radius1
server-type extended
primary authentication 10.1.1.3
primary accounting 10.1.1.3
key authentication name
key accounting money
timer realtime-accounting 15
timer response-timeout 5
retry 5
#
domain test
authentication default radius-scheme radius1 local
authorization default radius-scheme radius1 local
accounting default radius-scheme radius1 local
access-limit enable 30
state active
idle-cut enable 20 10240
self-service-url disable
#
local-user guest
password simple 123456
service-type lan-access
#
interface Vlan-interface1
ip address 192.168.0.1 255.255.255.0
#
interface GigabitEthernet1/0/1
dot1x
#
l 使能全局的802.1X认证功能一般放在最后,因为当相关参数未配置完成时,会造成合法用户无法访问网络。
l 只有同时开启全局和端口的802.1X特性后,802.1X的配置才能在端口上生效。
l 一般情况下,用户无需使用dot1x timer命令改变部分定时器值,除非在一些特殊或恶劣的网络环境下,可以使用该命令调节交互进程。例如,用户网络状况比较差的情况下,可以适当地将客户端认证超时定时器值调大一些;网络处在风险位置,容易受攻击的情况下,可以适当地将静默定时器值调大一些,反之,可以将其调小一些来提高对用户认证请求的响应速度。另外,可以通过调节认证服务器超时定时器的值来适应认证服务器性能的不同情况。
l 对于802.1X用户,如果采用EAP中继认证方式,则设备会把客户端输入的内容直接封装后发给服务器,这种情况下user-name-format命令的设置无效。
用户Host通过Switch的端口GE1/0/1接入网络。为了提高网络的安全性,要求通过对接入设备的配置实现接入用户的802.1X认证,以控制其访问Internet,且用户网络内不希望出现过多的认证触发报文。具体需求:
l 用户采用Windows XP自带的802.1X客户端软件进行认证。
l 认证/授权服务器均采用iMC服务器。
l 802.1X用户的接入控制方式是基于MAC地址的接入控制方式,认证时,采用进行RADIUS认证、授权方式。
l 所有接入用户都属于一个缺省的域:guest,该域最多可容纳30个用户。
图1-10 802.1X接入认证组网示意图二
本例与上例的主要区别在于:
l 客户端采用了Windows XP自带的802.1X客户端进行认证
l 客户端网络不希望收到太多的EAP认证触发报文
由于Windows XP自带的802.1X客户端不能主动发送EAPOL-Start报文,且客户端网络不希望收到太多的EAP认证触发报文,因此建议关闭802.1X的组播触发方式(交换机默认开启),开启802.1X的单播触发方式,在该方式下,当端口GE1/0/1收到一个数据帧,且该数据帧的源MAC地址不在设备当前的MAC地址表中,则认为端口下有新用户接入,此时设备将从该端口发送单播报文来触发802.1X认证。
设备上的其它配置,同上例类似,这里不再重复描述。
表1-3 配置适用的产品与软硬件版本关系
产品 |
软件版本 |
S7500E系列以太网交换机 |
Release 6600系列,Release 6610系列 |
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
CE3000-32F以太网交换机 |
Release 1211 |
S5500-EI系列以太网交换机 |
Release 2208 |
S5500-EI-D系列以太网交换机 |
Release 2208 |
S5500-SI系列以太网交换机 |
Release 2208 |
S5120-EI系列以太网交换机 |
Release 2208 |
S5120-EI-D系列以太网交换机 |
Release 1505 |
S5120-SI系列以太网交换机 |
Release 1505 |
S3100V2系列以太网交换机 |
Release 5103 |
E126B以太网交换机 |
Release 5103 |
(1) 创建VLAN和VLAN接口,并配置各接口的IP地址。
<Switch> system-view
[Switch] interface vlan-interface 1
[Switch-vlan-interface1] ip address 192.168.0.1 255.255.255.0
[Switch-vlan-interface1] quit
(2) 配置RADIUS方案
# 创建RADIUS方案radius1并进入其视图。
[Switch] radius scheme radius1
# 设置主认证/授权/计费RADIUS服务器的IP地址。
[Switch-radius-radius1] primary authentication 10.1.1.3
[Switch-radius-radius1] primary accounting 10.1.1.3
# 设置备份认证/计费RADIUS服务器的IP地址。
[Switch-radius-radius1] secondary authentication 10.1.1.3
[Switch-radius-radius1] secondary accounting 10.1.1.3
# 设置系统与认证RADIUS服务器交互报文时的共享密钥。
[Switch-radius-radius1] key authentication expert
# 设置系统与计费RADIUS服务器交互报文时的共享密钥。
[Switch-radius-radius1] key accounting expert
# 设置服务类型为extended.
[Switch-radius-radius1] server-type extended
(3) 配置认证域
# 创建域test并进入其视图。
[Switch] domain test
# 指定radius1为该域用户的RADIUS方案。
[Switch-isp-test] authentication default radius-scheme radius1
[Switch-isp-test] authorization default radius-scheme radius1
[Switch-isp-test] accounting default radius-scheme radius1
# 设置该域最多可容纳30个用户。
[Switch-isp-test] access-limit enable 30
# 配置域test为缺省用户域。
[Switch] domain default enable test
(4) 配置802.1X功能
# 关闭端口GE1/0/1的802.1X的组播触发功能。
[Switch] interface gigabitthernet 1/0/1
[Switch-GigabitEthernet1/0/1] undo dot1x multicast-trigger
# 开启端口GE1/0/1的802.1X的单播触发功能。
[Switch-GigabitEthernet 1/0/1] dot1x unicast-trigger
# 开启端口GE1/0/1的802.1X功能。
[Switch-GigabitEthernet1/0/1] dot1x
[Switch-GigabitEthernet1/0/1] quit
# 设置接入控制方式(该命令可以不配置,因为端口的接入控制在缺省情况下就是基于MAC地址的)。
[Switch] dot1x port-method macbased interface gigabitethernet 1/0/1
# 开启全局802.1 X功能。
[Switch] dot1x
接入用户以Windows XP 自带客户端为例进行介绍。
(1) 启动Windows XP的802.1X验证功能
启动802.1X验证功能以后,如果用户需要访问internet,接入设备的端口GE1/0/1会收到源MAC地址不在设备当前的MAC地址表中的数据帧,该端口将发送EAP单播报文来触发802.1X认证。因此,Host的状态栏会收到如下提示,用户输入正确的用户名和密码,方可接入网络。
(2) 输入用户名“guest@test”,密码“123456”后,客户端可以正常访问Internet。
l 接入设备Switch上的完整配置如下
#
domain default enable test
#
dot1x
#
vlan 1
#
radius scheme radius1
server-type extended
primary authentication 10.1.1.3
primary accounting 10.1.1.3
key authentication name
key accounting money
timer realtime-accounting 15
timer response-timeout 5
retry 5
#
domain test
authentication default radius-scheme radius1 local
authorization default radius-scheme radius1 local
accounting default radius-scheme radius1 local
access-limit enable 30
state active
idle-cut enable 20 10240
self-service-url disable
#
local-user guest
password simple 123456
service-type lan-access
#
interface Vlan-interface1
ip address 192.168.0.1 255.255.255.0
#
interface GigabitEthernet1/0/1
undo dot1x multicast-trigger
dot1x
dot1x unicast-trigger
#
开启单播触发功能时,建议关闭组播触发功能,以免认证报文重复发送。
用户Host(已安装iNode 802.1X客户端软件)通过交换机的端口GE1/0/1接入网络。Update Server是用于客户端软件下载和升级的服务器;RADIUS为认证、授权服务器,且支持动态VLAN下发功能。具体应用需求如下:
l Host初始状态属于VLAN 1。
l 如果Host一段时间未发起802.1X认证或认证失败,端口将被加入Guest VLAN10 中,此时Host可以访问VLAN10内的Update Server,通过Update Server进行下载或升级802.1X客户端等操作。
l 如果Host成功通过802.1X认证,则RADIUS服务器下发VLAN 5,用户可以正常访问Internet。
l Host正常下线后,重新回到VLAN 1。
图1-11 Guest Vlan、动态下发VLAN典型组网图
分析组网需求可以发现,用户Host存在三种状态:初始状态(也可以看作是用户正常下线状态)、用户未进行认证或认证失败状态和用户认证成功状态;不同状态下用户的权限不同。通过设置802.1X的Guest VLAN功能,和RADIUS服务器的动态VLAN下发功能,可以满足此需求。
在GE1/0/1上开启802.1X功能,设置VLAN 10为端口的Guest VLAN,当设备从端口发送触发认证报文(EAP-Request/Identity)超过设定的最大次数而没有收到任何回应报文后,GE1/0/1被加入Guest VLAN中,此时Host只能访问Update Server(升级服务器可用于下载802.1X客户端),如下图所示。
图1-12 端口加入Guest VLAN
当端口上处于Guest VLAN中的用户发起认证且失败时,该端口仍然处于Guest VLAN内。
当用户认证成功,RADIUS服务器下发VLAN 5。此时Host在VLAN 5内,可以访问Internet。
表1-4 配置适用的产品与软硬件版本关系
产品 |
软件版本 |
S7500E系列以太网交换机 |
Release 6100系列,Release 6300系列,Release 6600系列,Release 6610系列 |
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
CE3000-32F以太网交换机 |
Release 1211 |
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5500-EI-D系列以太网交换机 |
Release 2208 |
S5500-SI系列以太网交换机 |
Release 2202 ,Release 2208 |
S5120-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5120-EI-D系列以太网交换机 |
Release 1505 |
S5120-SI系列以太网交换机 |
Release 1101,Release 1505 |
S5120-LI系列以太网交换机 |
Release 1107 |
E552&E528以太网交换机 |
Release 1103 |
S3610&S5510系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309 |
S3500-EA系列以太网交换机 |
Release 5303,Release 5309 |
S3100V2系列以太网交换机 |
Release 5103 |
E126B以太网交换机 |
Release 5103 |
iMC服务器上的配置主要包含如下三步:
l 增加接入设备:建立iMC服务器和接入设备之间的联动关系。
l 增加服务:配置对用户进行认证、授权的各种策略。
l 增加接入用户:添加802.1X用户的帐号名、密码等信息。
具体配置和“802.1X用户RADIUS认证/授权/计费典型配置指导”中的RADIUS服务器配置相似,仅需要在“增加服务”时,配置相应的下发VLAN。如图1-14。
(1) 创建VLAN并将端口加入对应VLAN。
<Switch> system-view
[Switch] vlan 2
[Switch-vlan2] port gigabitethernet 1/0/3
[Switch-vlan2] quit
[Switch] vlan 5
[Switch-vlan5] port gigabitethernet 1/0/2
[Switch-vlan5] quit
[Switch] vlan 10
[Switch-vlan10] port gigabitethernet 1/0/4
[Switch-vlan10] quit
(2) 配置RADIUS方案
# 创建RADIUS方案2000。
[Switch] radius scheme 2000
[Switch-radius-2000] primary authentication 10.11.1.1 1812
[Switch-radius-2000] primary accounting 10.11.1.1 1813
[Switch-radius-2000] key authentication expert
[Switch-radius-2000] key accounting expert
[Switch-radius-2000] server-type extended
[Switch-radius-2000] quit
(3) 配置认证域
配置认证域,该域使用RADIUS方案2000。
[Switch] domain system
[Switch-isp-system] authentication default radius-scheme 2000
[Switch-isp-system] authorization default radius-scheme 2000
[Switch-isp-system] accounting default radius-scheme 2000
[Switch-isp-system] quit
(4) 配置802.1X功能
# 开启端口GE1/0/1的802.1X功能。
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] dot1x
# 配置端口上进行接入控制的方式为portbased。
[Switch-GigabitEthernet1/0/1] dot1x port-method portbased
# 配置端口上进行接入控制的模式为auto。
[Switch-GigabitEthernet1/0/1] dot1x port-control auto
[Switch-GigabitEthernet1/0/1] quit
# 配置指定端口的Guest VLAN。
[Switch] dot1x guest-vlan 10 interface gigabitethernet 1/0/1
# 开启全局802.1X特性。
[Switch] dot1x
具体配置和“802.1X用户RADIUS认证/授权/计费典型配置指导”中的iNode客户端配置相似,仅需要在设置“连接属性”时,选则“连接断开后自动更新IP地址”,如图1-15所示。
图1-15 802.1X连接属性配置示意图
通过命令display dot1x interface GigabitEthernet 1/0/1可以查看端口下802.1X的相关配置。
<Switch> display dot1x interface gigabitethernet1/0/1
Equipment 802.1X protocol is enabled
CHAP authentication is enabled
EAD quick deploy is disabled
Configuration: Transmit Period 30 s, Handshake Period 15 s
Quiet Period 60 s, Quiet Period Timer is disabled
Supp Timeout 30 s, Server Timeout 100 s
Reauth Period 3600 s
The maximal retransmitting times 2
EAD quick deploy configuration:
EAD timeout: 30 m
The maximum 802.1X user resource number is 2048 per slot
Total current used 802.1X resource number is 0
GigabitEthernet1/0/1 is link-up
802.1X protocol is enabled
Handshake is enabled
Periodic reauthentication is disabled
The port is an authenticator
Authentication Mode is Auto
Port Control Type is Port-based
802.1X Multicast-trigger is enabled
Mandatory authentication domain: NOT configured
Guest VLAN: 10
Max number of on-line users is 2048
<略>
初始状态下,端口GE1/0/1属于VLAN 1。通过display brief interface gigabitethernet1/0/1可以查看:
<Switch> display brief interface gigabitethernet1/0/1
The brief information of interface(s) under bridge mode:
Interface Link Speed Duplex Link-type PVID
GE1/0/1 UP 1G(a) full(a) access 1
用户输入正确的802.1X用户名和密码后,成功上线,端口GE1/0/1被加入到服务器下发的VLAN 5中,此时用户可以正常访问Internet。
<Switch> display brief interface gigabitethernet1/0/1
The brief information of interface(s) under bridge mode:
Interface Link Speed Duplex Link-type PVID
GE1/0/1 UP 1G(a) full(a) access 5
用户下线(或一段时间该端口没有用户上线,或用户认证失败等情况下)发送触发认证报文(EAP-Request/Identity)超过设定的最大次数时,端口GE1/0/1被加入到Guest VLAN内,此时:
<Switch> display brief interface gigabitethernet1/0/1
The brief information of interface(s) under bridge mode:
Interface Link Speed Duplex Link-type PVID
GE1/0/1 UP 1G(a) full(a) access 10
此时,通过命令display vlan 10也可以查看到端口被添加到Guest VLAN 10中。
<Switch>display vlan 10
VLAN ID: 10
VLAN Type: static
Route Interface: not configured
Description: VLAN 0010
Name: VLAN 0010
Tagged Ports: none
Untagged Ports:
GigabitEthernet1/0/1 GigabitEthernet1/0/2
#
domain default enable system
#
dot1x
#
vlan 1
#
vlan 2
#
vlan 5
#
vlan 10
#
radius scheme 2000
server-type extended
primary authentication 10.1.1.1
primary accounting 10.1.1.1
key authentication expert
key accounting expert
#
domain system
authentication default radius-scheme 2000
authorization default radius-scheme 2000
accounting default radius-scheme 2000
access-limit disable
state active
idle-cut disable
self-service-url disable
#
interface GigabitEthernet1/0/1
dot1x guest-vlan 10
dot1x port-method portbased
dot1x port-control auto
dot1x
#
interface GigabitEthernet1/0/2
port access vlan 5
#
interface GigabitEthernet1/0/3
port access vlan 2
#
interface GigabitEthernet1/0/4
port access vlan 10
#
l Guest VLAN与EAD快速部署的Free IP配置在端口上互斥。
l 如果用户端设备发出的是携带Tag的数据流,且接入端口上使能了802.1X认证并配置了Guest VLAN,为保证各种功能的正常使用,请为Voice VLAN、端口的缺省VLAN和802.1X的Guest VLAN分配不同的VLAN ID。
l 如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的Guest VLAN;同样,如果某个VLAN被指定为某个端口的Guest VLAN,则该VLAN不能被指定为Super VLAN。
l 支持802.1X的Auth-Fail VLAN功能的交换机,可以通过该功能进一步区分未认证用户和认证失败用户的不同权限。当端口上处于Guest VLAN中的用户发起认证且失败时:如果端口配置了Auth-Fail VLAN,则该端口会被加入Auth-Fail VLAN;如果端口未配置Auth-Fail VLAN,则该端口仍然处于Guest VLAN内。
如图1-16所示,用户Host通过802.1X认证接入网络,采用RADIUS认证/授权方案,RADIUS服务器的IP地址为10.1.1.3;Internet网络中有一台FTP服务器,IP地址为10.0.0.1。要求用户802.1X认证成功后,可以访问Internet,但不能访问FTP服务器;同时,为保证授权属性的更新,需要用户定期进行重认证,时间间隔为30分钟。
图1-16 下发ACL和802.1X重认证典型组网图
(1) 用户Host需要安装802.1X客户端
(2) 接入设备Switch的端口GE1/0/1需要配置ACL规则,拒绝目的IP地址为10.0.0.1的报文通过;同时端口GE1/0/1启动802.1X的周期性重认证功能,每隔30分钟启动对该端口在线802.1X用户的重认证,以检测用户连接状态的变化,更新服务器下发的授权属性,确保用户的正常在线。
(3) RADIUS服务器(以iMC为例),除认证/授权基本配置之外,还需要配置授权下发ACL功能。
表1-5 配置适用的产品与软硬件版本关系
产品 |
软件版本 |
S7500E系列以太网交换机 |
Release 6100系列,Release 6300系列,Release 6600系列,Release 6610系列 |
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
CE3000-32F以太网交换机 |
Release 1211 |
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5500-EI-D系列以太网交换机 |
Release 2208 |
S5500-SI系列以太网交换机 |
Release 2202 ,Release 2208 |
S5120-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5120-EI-D系列以太网交换机 |
Release 1505 |
S5120-SI系列以太网交换机 |
Release 1101,Release 1505 |
S5120-LI系列以太网交换机 |
Release 1107 |
E552&E528以太网交换机 |
Release 1103 |
S3100V2系列以太网交换机 |
Release 5103 |
E126B以太网交换机 |
Release 5103 |
RADIUS服务器的基本配置请参考1.2.4 1. RADIUS服务器上的配置(以iMC服务器为例)。
# 授权ACL的配置如下:
选择“业务”页签,单击导航树中的[接入业务/服务配置管理]菜单项,进入“服务配置管理”页面,在该页面中单击“增加”按钮,进入增加服务配置页面。
在“授权信息”部分选择“下发ACL”,并输入ACL编号(以接入设备上的ACL编号为3000为例),如下图所示。
(1) 配置各接口的IP地址(略)
(2) 配置RADIUS方案
<Switch> system-view
[Switch] radius scheme 2000
[Switch-radius-2000] primary authentication 10.1.1.3 1812
[Switch-radius-2000] primary accounting 10.1.1.3 1813
[Switch-radius-2000] key authentication abc
[Switch-radius-2000] key accounting abc
[Switch-radius-2000] user-name-format without-domain
[Switch-radius-2000] quit
(3) 配置ISP域的AAA方案
[Switch] domain 2000
[Switch-isp-2000] authentication default radius-scheme 2000
[Switch-isp-2000] authorization default radius-scheme 2000
[Switch-isp-2000] accounting default radius-scheme 2000
[Switch-isp-2000] quit
(4) 配置ACL 3000,拒绝目的IP地址为10.0.0.1的报文通过。
[Switch] acl number 3000
[Switch-acl-adv-3000] rule 0 deny ip destination 10.0.0.1 0
[Switch-acl-adv-3000] quit
(5) 配置802.1X功能。
# 配置802.1X周期性重认证定时器的值为1800。
[Switch] dot1x timer reauth-period 1800
# 配置端口GE1/0/1的802.1X重认证功能。
[Switch] interface GigabitEthernet 1/0/1
[Switch-GigabitEthernet1/0/1] dot1x timer reauth-period 1800
# 开启指定端口GE1/0/1的802.1X功能。
[Switch-GigabitEthernet1/0/1] dot1x
[Switch-GigabitEthernet1/0/1] quit
# 开启全局802.1X功能。
[Switch] dot1x
(6) 验证配置结果
当用户认证成功上线后,通过ping FTP服务器,可以验证认证服务器下发的ACL 3000是否生效。
C:\>ping 10.0.0.1
Pinging 10.0.0.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 10.0.0.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
#
dot1x
#
dot1x timer reauth-period 1800
#
radius scheme 2000
primary authentication 10.1.1.3
primary accounting 10.1.1.3
key authentication abc
key accounting abc
user-name-format without-domain
#
domain 2000
authentication default radius-scheme 2000
authorization default radius-scheme 2000
accounting default radius-scheme 2000
#
acl number 3000
rule 0 deny ip destination 10.0.0.1 0
#
interface GigabitEthernet1/0/1
dot1x
#
l 在服务器上配置授权ACL之前,需要在设备上配置相应的规则。
l 管理员可以通过改变服务器的授权ACL设置或设备上对应的ACL规则来改变用户的访问权限。
某公司的用户主机通过接入设备Switch连接网络,目前为部署EAD解决方案,需要用户安装802.1X客户端,由于网络中的用户主机数量较大,为减小网络管理员安装客户端的工作量,在192.168.2.0/24网段布署一台DHCP服务器为客户端动态分配IP地址,一台WEB服务器(IP地址为192.168.2.3)提供客户端软件下载;要求:
l 未进行802.1X认证或认证失败的用户,只能访问192.168.2.0/24地址段;可以通过DHCP服务器动态获取192.168.0.0/24网段的IP地址。
l 未进行802.1X认证或认证失败的用户使用浏览器访问网络时,Switch会将用户访问的URL重定向管理员预设的WEB服务器界面,提示用户进行802.1X客户端下载。
l 802.1X认证成功的用户,可以正常访问Internet。
图1-17 802.1X客户端快速部署典型配置组网图
(1) 配置WEB服务器(略)
用户在使用802.1X客户端快速部署功能之前首先必须配置好WEB服务器,即用户用于下载802.1X客户端的服务器。
(2) 配置DHCP服务器(略)
(3) 配置Switch
l 配置802.1X认证的Free IP网段
l 配置IE访问的重定向URL
l 配置DHCP Relay功能
产品 |
软件版本 |
S7500E系列以太网交换机 |
Release 6100系列,Release 6300系列,Release 6600系列,Release 6610系列 |
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
CE3000-32F以太网交换机 |
Release 1211 |
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5500-EI-D系列以太网交换机 |
Release 2208 |
S5500-SI系列以太网交换机 |
Release 2202 ,Release 2208 |
S5120-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5120-EI-D系列以太网交换机 |
Release 1505 |
S5120-SI系列以太网交换机 |
Release 1505 |
S3610&S5510系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309 |
S3500-EA系列以太网交换机 |
Release 5303,Release 5309 |
S3100V2系列以太网交换机 |
Release 5103 |
E126B以太网交换机 |
Release 5103 |
# 配置各接口的IP地址(略)。
# 使能DHCP服务。
<Switch> system-view
[Switch] dhcp enable
# 配置DHCP服务器的地址。
[Switch] dhcp relay server-group 1 ip 192.168.2.1
# 配置VLAN接口1工作在DHCP中继模式。
[Switch] interface vlan-interface 1
[Switch-Vlan-interface1] ip address 192.168.0.1 24
[Switch-Vlan-interface1] dhcp select relay
# 配置VLAN接口1对应DHCP服务器组1。
[Switch-Vlan-interface1] dhcp relay server-select 1
[Switch-Vlan-interface1] quit
# 配置Free IP。
[Switch] dot1x free-ip 192.168.2.0 24
# 配置IE访问的重定向URL。
[Switch] dot1x url http://192.168.2.3
# 开启指定端口的802.1X特性。
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] dot1x
[Switch-GigabitEthernet1/0/1] quit
# 开启全局802.1X特性。
[Switch] dot1x
(2) 验证配置结果
用户可以自动获取192.168.0.0/24网段的IP地址。
在用户主机上执行ping Free IP网段中的地址,验证用户在802.1X认证成功之前可以访问免认证网段。
C:\>ping 192.168.2.3
Pinging 192.168.2.3 with 32 bytes of data:
Reply from 192.168.2.3: bytes=32 time<1ms TTL=128
Reply from 192.168.2.3: bytes=32 time<1ms TTL=128
Reply from 192.168.2.3: bytes=32 time<1ms TTL=128
Reply from 192.168.2.3: bytes=32 time<1ms TTL=128
Ping statistics for 192.168.2.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
而且,用户在802.1X认证成功之前,通过浏览器访问任何外部网站都会被重定向到WEB server页面,此页面提供客户端的下载服务。
#
dhcp relay server-group 1 ip 192.168.2.1
#
dot1x
dot1x url http://192.168.2.3
dot1x free-ip 192.168.2.0 255.255.255.0
#
interface Vlan-interface1
ip address 192.168.0.1 255.255.255.0
dhcp select relay
dhcp relay server-select 1
#
interface GigabitEthernet1/0/1
dot1x
#
l 目前,MAC地址认证和端口安全特性不支持EAD的快速部署功能,全局使能MAC认证或端口安全功能将会使EAD快速部署功能失效。
l MAC地址认证和802.1X特性的Guest VLAN功能与Free IP配置互斥。
l 未通过802.1X认证的用户在没有配置Free IP的情况下,不能通过DHCP服务器动态获得IP地址,但是若配置了Free IP,并且与DHCP服务器在同一个网段时,用户便可以动态获得IP地址。
l 地址栏内输入的地址应该为X.X.X.X(点分十进制格式)的非免认证IP网段地址才会被重定向到WEB server页面。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!