10-802.1 X 配置
本章节下载: 10-802.1 X 配置 (158.86 KB)
目 录
IEEE 802.1X是IEEE于2001年6月通过的基于端口访问控制的接入管理协议标准。传统的局域网不提供接入认证,只要用户能接入局域网,用户就可以访问局域网中的设备或资源,这是一个安全隐患。对于移动办公,驻地网运营等应用,设备提供者希望能对用户的接入进行控制和配置。此外还存在计费的需求。
IEEE 802.1X是一种基于端口的网络接入控制技术,在LAN设备的物理接入级对接入设备进行认证和控制,此处的物理接入级指的是LAN Switch(以太网OLT)设备的端口。在认证过程中,OLT扮演的是中间人角色(代理),在客户端和认证服务器之间,从接入OLT的客户端设备得到用户的身份信息,通过认证服务器核实信息。若用户认证通过,则允许该用户访问LAN内的资源;否则拒绝该用户访问。
系统实现了IEEE 802.1X的认证系统部分。要使用IEEE 802.1X认证功能,还要求有如下环境:有RADIUS服务器,且系统可以访问该RADIUS服务器,以使系统可以将用户的认证信息传递给RADIUS服务器进行认证;接入系统的用户设备(如PC机)中需要安装有IEEE 802.1X的认证客户端软件。
在启动802.1X认证功能之前,可以配置系统或以太网端口的相关参数。只有在启动802.1X认证功能后,与之相关的各项配置参数才能生效。802.1X认证功能关闭后,这些配置参数仍然保留。
用户可按下列顺序进行配置:
· 配置RADIUS方案
· 配置域(domain)
· 配置802.1X
在AAA模式下完成802.1X认证时所必需的有关域和RADIUS方案的创建。
在系统视图下,用AAA命令进入AAA视图。
表1-1 进入AAA视图
操作 |
命令 |
说明 |
进入AAA视图 |
AAA |
系统视图 |
在AAA视图下可以对RADIUS操作的特性进行配置,相关配置命令如下:
· accounting-on
· dnrate-value
· h3c-cams
· uprate-value
· radius accounting
· radius server-disconnect drop 1x
· radius 8021p enable
· radius bandwidth-limit enable
· radius vlan enable
· radius mac-address-number enable
· radius attribute client-version
· radius config-attribute
(1)设备重启用户再认证功能
当设备重启后,RADIUS服务器的原来在线用户无法重新认证登录,可以使用accounting-on来开启此功能,此功能开启后,设备重启后在有用户认证时会向RADIUS服务器发送Accounting-On报文,通知RADIUS服务器强制该设备的用户下线。
(2)H3C Cams兼容
当RADIUS服务器为H3C Cams的时候,可以通过h3c-cams此命令开启相关兼容性。
在此特性下可以通过uprate-value / dnrate-value来配置上行带宽/下行带宽在Vendor Specific属性名中的属性号。
在此特性下可以通过radius attribute client-version来配置发送客户端的版本信息到RADIUS服务器。
(3)计费功能
在认证后可以通过radius accounting要求进行相关计费操作,此功能默认为开启。
(4)计费报文无响应切断用户
通过radius server-disconnect drop 1x来开启此功能。此功能默认开启。
(5)自定义属性扩展
RADIUS服务器可以通过RADIUS报文中的属性名扩展进行一些用户特性操作,比如Vendor Specific属性名中的自定义属性号。
(6)端口优先级
可以通过radius 8021p enable来开启,此功能开启后,如果用户认证通过会修改该用户所在的端口的优先级。
此功能默认通过Vendor Specific属性名中的77属性号进行,使用radius config-attribute可以修改属性号。
(7)端口PVID
可以通过radius vlan enable来开启,此功能开启后,如果用户认证通过后会修改该用户所在端口的PVID。
此功能固定通过Tunnel-Pvt-Group-ID属性名进行,要求此属性值为字符串,通过此字符串查找VLAN的名称描述符匹配VLAN值。
(8)端口MAC地址数目限制
可以通过radius mac-address-number enable来开启,此功能开启后,如果用户认证通过后会修改该用户所在的端口的MAC地址学习数目限制。
此功能默认通过Vendor Specific属性名中的50属性号进行,使用radius config-attribute可以修改属性号。
(9)端口带宽控制
可以通过radius bandwidth-limit enable来开启,此功能开启后,如果用户认证通过后会修改该用户所在端口的带宽控制。
上行带宽控制默认通过Vendor Specific属性名中的75属性号进行,使用radius config-attribute可以修改属性号。
下行带宽控制默认通过Vendor Specific属性名中的76属性号进行,使用radius config-attribute可以修改属性号。
单位值默认为kbps,可以通过radius config-attribute access-bandwidth unit进行修改。
(10)在AAA模式下可以对默认域名称进行配置,相关配置命令如下:
default domain-name
当认证时用户名不带域名,在没有配置默认域时系统会把报文当成非法报文不予处理;在配置默认域后,系统会在不带域名的用户名后加上@和默认域名参加认证。配置默认域时必须指定一个已存在的域,否则不会成功。
(11)在AAA模式下可以对本地认证用户信息进行配置,相关配置命令如下:
local-user username
本地认证用户信息用来在进行本地认证时使用。
表1-2 RADIUS配置
操作 |
命令 |
说明 |
设备重启再认证 |
accounting-on |
AAA视图 |
下行带宽在Vendor Specific属性名中的属性号 |
dnrate-value |
AAA视图 |
H3C Cams兼容 |
h3c-cams |
AAA视图 |
上行带宽在Vendor Specific属性名中的属性号 |
uprate-value |
AAA视图 |
认证后开启计费,默认开启 |
radius accounting |
AAA视图 |
计费报文无响应切断用户 |
radius server-disconnect drop 1x |
AAA视图 |
认证后用户所在的端口的优先级改变 |
radius 8021p enable |
AAA视图 |
端口带宽控制 |
radius bandwidth-limit enable |
AAA视图 |
端口PVID修改 |
radius vlan enable |
AAA视图 |
端口MAC地址数目限制 |
radius mac-address-number enable |
AAA视图 |
发送客户端的版本信息到RADIUS服务器 |
radius attribute client-version |
AAA视图 |
修改属性号 |
radius config-attribute |
AAA视图 |
RADIUS服务器上保存有合法用户的身份信息等。用户在认证时,系统将用户的身份信息转发到RADIUS服务器,并将RADIUS服务器的验证结果信息转发给用户。
接入系统的用户只有通过了RADIUS服务器的认证才能访问LAN内的资源。
RADIUS服务器主要配置命令如下:
· radius host
· primary-auth-ip
· primary-acct-ip
· second-acct-ip
· second-auth-ip
· auth-secret-key
· acct-secret-key
· nas-ipaddress
· username-format
· realtime-account
· display radius host
可参考按以下顺序进行配置:
(1)在AAA模式下,用radius host命令进入RADIUS服务器视图(若该RADIUS服务器不存在,则先自动创建该RADIUS服务器配置方案),用undo radius命令删除RADIUS服务器配置方案。RADIUS服务器方案名的取值范围是1~32个字符,不区分大小写且不能包含空格。
例如:
# 进入RADIUS服务器green。
[H3C-aaa] radius host green
[H3C-aaa-radius-green]
表1-3 创建或进入RADIUS服务器
操作 |
命令 |
说明 |
创建或进入RADIUS服务器 |
radius host host-name |
AAA视图 |
(2)在RADIUS服务器视图下,用primary-auth-ip/second-auth-ip命令配置主/次认证服务器的IP地址和认证端口,用primary-acct-ip/second-acct-ip为配置主/次计费服务器的IP地址和计费端口(默认的认证端口为1812,计费端口为1813),用相应的undo命令删除相关配置。
表1-4 配置认证端口和配置端口
操作 |
命令 |
说明 |
配置主/次认证服务器的IP地址和认证端口 |
primary-auth-ip/second-auth-ip |
RADIUS视图 |
配置主/次计费服务器的IP地址和计费端口 |
primary-acct-ip/second-acct-ip |
RADIUS视图 |
(3)用auth-secret-key/acct-secret-key设定系统与当前RADIUS认证/计费服务器之间的共享密钥,用相应的undo命令将共享密钥恢复为默认的Switch。
表1-5 设置共享秘钥
操作 |
命令 |
说明 |
设置共享密钥 |
auth-secret-key/acct-secret-key |
RADIUS视图 |
(4)用nas-ipaddress配置发送给RADIUS服务器的NAS_IPAddress值,如果没有配置则使用设备的IP地址。
表1-6 设置NAS_IPAddress值
操作 |
命令 |
说明 |
发送给RADIUS服务器的NAS_IPAddress值 |
nas-ipaddress |
RADIUS视图 |
(5)用username-format设定系统给当前RADIUS服务器传递报文时用户名是否要带域名。with-domain为带域名,without-domain为不带域名。
表1-7 设置服务器传递报文时带不带域名
操作 |
命令 |
说明 |
设置传递报文时带不带域名 |
username-format { without-domain | with-domain } |
RADIUS视图 |
(6)在RADIUS服务器视图下,用realtime-account命令为RADIUS服务器配置实时计费功能,用undo realtime-account关闭实时计费功能,缺省打开,实时计费报文发送间隔为12分钟。
表1-8 设置服务器发送计费报文的时间间隔
操作 |
命令 |
说明 |
打开实时计费功能 |
realtime-account |
RADIUS视图 |
关闭实时计费功能 |
undo realtime-account |
RADIUS视图 |
(7)用display radius host命令查看配置结果。
表1-9 显示当前RADIUS服务器配置
操作 |
命令 |
说明 |
显示RADIUS服务器配置 |
display radius host host-name |
任意视图 |
客户端在认证时需要提供用户名和密码,用户名中一般包括该用户ISP信息,域和ISP一一对应,域最主要的信息就是该域的用户到哪一个RADIUS服务器认证和计费。
域主要配置命令如下:
· domain
· radius host binding
· access-limit
· state
· scheme
· display domain
可按以下顺序进行配置:
(1) 在AAA视图下,用domain命令进入域视图(若该域不存在则先自动创建该域);用undo domain命令删除域。域名的取值范围是1~24个字符, 不区分大小写且不能包含空格。
例如:
表1-10 创建并进入域视图
操作 |
命令 |
说明 |
创建并进入域视图 |
domain domain-name |
AAA视图 |
(2) 用radius host命令为当前域选择RADIUS服务器。管理员指定一个已存在的RADIUS服务器配置为当前域的RADIUS服务器。
表1-11 为当前域选择RADIUS服务器
操作 |
命令 |
说明 |
为当前域选择RADIUS服务器 |
radius host host-name |
域视图 |
(3) 用access-limit命令配置当前域允许认证通过的最大用户数。
表1-12 限制域允许认证通过的最大用户数
操作 |
命令 |
说明 |
配置域允许认证通过的最大用户数 |
access-limit enable num |
域视图 |
(4) 用state命令激活/禁用当前域。
表1-13 激活和禁用当前域
操作 |
命令 |
说明 |
激活当前域 |
state active |
域视图 |
(5) 用scheme配置使用radius服务器或者本地用户信息进行认证,默认为使用radius服务器进行认证。
表1-14 配置使用radius服务器或者本地用户信息进行认证
操作 |
命令 |
说明 |
使用radius服务器进行认证 |
scheme local |
域视图 |
(6) 用display domain命令查看配置
表1-15 显示当前RADIUS服务器配置
操作 |
命令 |
说明 |
显示当前domain配置信息 |
display domain |
任意视图 |
802.1X配置相关命令如下:
· dot1x method
· dot1x daemon
· dot1x eap-finish
· dot1x eap-transfer
· dot1x re-authenticate
· dot1x re-authentication
· dot1x timeout re-authperiod
· dot1x timeout re-authperiod interface
· dot1x port-control
· dot1x max-user
· dot1x user cut
· dot1x detect
· dot1x quiet-period-value
(1) dot1x method命令用来启动802.1X认证功能。只有在启动该功能后,前面的domain及RADIUS服务器的各项配置才能生效;用undo dot1x命令关闭802.1X认证功能;用display dot1x命令查看802.1X认证功能状态。
启动802.1X认证功能后,接入到系统的用户只有在认证通过以后,才能访问LAN内的资源。缺省情况下802.1X认证功能处于disable状态。
表1-16 启动802.1x认证功能
操作 |
命令 |
说明 |
启动802.1X认证功能,基于端口认证 |
dot1x method portbased |
系统视图 |
查看802.1X认证功能状态 |
display dot1x |
任意视图 |
(2) dot1x daemon命令用来配置在一个端口是否发送1x守望报文,如果发送,发送周期多长:
缺省情况下不发送1x守望报文,打开后默认是60秒发送一次。
表1-17 守望报文发送配置
操作 |
命令 |
说明 |
端口守望报文功能打开 |
dot1x daemon |
端口视图 |
端口守望报文周期 |
dot1x daemon time 20 |
端口视图 |
(3) dot1x eap-finish和dot1x eap-transfer命令用来设置系统和RADIUS服务器之间的协议类型:使用dot1x eap-finish命令后,系统将把用户发过来的、用EAP帧封装的802.1X认证报文先转换为标准RADIUS协议封装的数据帧,再转发给RADIUS服务器;而使用dot1x eap-transfer命令后,系统将把用户发过来的、用EAP帧封装的802.1X认证报文,不作任何处理直接转发给RADIUS服务器。缺省情况下,系统用eap-finish方式转发用户的认证报文。
表1-18 系统和RADIUS服务器的协议类型
操作 |
命令 |
说明 |
配置系统和RADIUS服务器的协议类型 |
dot1x eap-finish |
系统视图 |
配置系统和RADIUS服务器的协议类型 |
dot1x eap-transfer |
系统视图 |
(4) dot1x re-authenticate命令设置端口的立即重认证功能。dot1x re-authentication命令打开端口的周期重认证功能。undo dot1x re-authentication命令关闭端口的周期重认证功能。dot1x timeout re-authperiod period命令设置所有端口的重认证周期。关于这几条命令的用法请参见“命令行配置”部分。
表1-19 重认证功能配置
操作 |
命令 |
说明 |
端口的立即重认证功能 |
dot1x re-authentication |
系统视图 |
关闭端口的周期重认证功能 |
undo dot1x re-authentication |
系统视图 |
设置所有端口的重认证周期 |
dot1x timeout re-authperiod period |
系统视图 |
(5) dot1x port-control命令设置OLT端口的控制模式
打开802.1X认证功能后,系统所有端口缺省为需要认证状态,但是上行端口和连接服务器的端口应该不需要认证,使用dot1x port-control可以设置端口是否需要认证,用undo dot1x port-control命令将设置的端口控制模式恢复为需要认证状态;用display dot1x interface命令查看端口802.1X端口控制状态。
OLT端口的控制模式设置命令如下:
dot1x port-control { auto | forceauthorized | forceunauthorized }
表1-20 OLT端口的控制模式配置
操作 |
命令 |
说明 |
端口的立即重认证功能 |
dot1x port-control { auto | forceauthorized | forceunauthorized } |
系统视图/ 端口视图 |
(6) dot1x max-user命令设置端口打开802.1X认证功能后允许通过认证的最大用户数,快速以太网端口最大能通过32个,千兆以太网口最大能通过32个。系统启动时默认快速以太网口为32个,千兆以太网口为32个,系统最多支持480个同时认证;用undo dot1x max-user命令将端口最大用户数设为32个。
OLT端口的最大认证用户数设置命令如下:
dot1x max-user user-num
表1-21 OLT端口的最大认证用户数
操作 |
命令 |
说明 |
OLT端口的最大认证用户数设置 |
dot1x max-user user-num |
系统视图/ 端口视图 |
(7) dot1x user cut命令用来删除指定的在线用户,可以通过指定用户名、MAC地址来删除用户。
表1-22 删除指定的在线用户
操作 |
命令 |
说明 |
删除指定的在线用户 |
dot1x user cut username name |
系统视图 |
(8) dot1x detect命令用来配置是否打开对在线1x用户的心跳检测功能,并配置打开心跳检测功能后的心跳间隔。
表1-23 对在线用户的心跳检测功能
操作 |
命令 |
说明 |
打开和关闭在线用户心跳检测 |
dot1x detect |
系统视图 |
(9) dot1x quiet-period-value用来配置静默功能,开启后,如果用户认证失败,那么在静默时间内将无法再进行认证。
表1-24 用户认证的静默功能配置
操作 |
命令 |
说明 |
配置静默时间 |
dot1x quiet-period-value value |
系统视图 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!