06-认证
本章节下载: 06-认证 (2.01 MB)
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码。若该用户认证成功,则允许其通过端口访问网络资源,否则该用户的MAC地址就被添加为静默MAC。在静默时间内(可通过静默定时器配置),来自此MAC地址的用户报文到达时,设备直接做丢弃处理,以防止非法MAC短时间内的重复认证。
若配置的静态MAC或者当前认证通过的MAC地址与静默MAC相同,则MAC地址认证失败后的MAC静默功能将会失效。
目前设备支持两种方式的MAC地址认证:
· 通过RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器进行远程认证。
· 在接入设备上进行本地认证。
目前,MAC地址认证支持两种类型的用户名格式:
· MAC地址用户名:使用用户的MAC地址作为认证时的用户名和密码。
· 固定用户名:不论用户的MAC地址为何值,所有用户均使用在设备上预先配置的用户名和密码进行认证。由于同一个端口下可以有多个用户进行认证,因此这种情况下端口上的所有MAC地址认证用户均使用同一个固定用户名进行认证。
当选用RADIUS服务器认证方式进行MAC地址认证时,设备作为RADIUS客户端,与RADIUS服务器配合完成MAC地址认证操作:
· 采用MAC地址用户名时,设备将检测到的用户MAC地址作为用户名和密码发送给RADIUS服务器。
· 采用固定用户名时,设备将已经在本地配置的用户名和密码作为待认证用户的用户名和密码,发送给RADIUS服务器。
RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问网络。
当选用本地认证方式进行MAC地址认证时,直接在设备上完成对用户的认证。需要在设备上配置本地用户名和密码:
· 采用MAC地址用户名时,需要配置的本地用户名和密码为各接入用户的MAC地址。
· 采用固定用户名时,需要配置的本地用户名为自定义的,所有用户对应的用户名和密码与自定义的一致。
MAC地址认证过程受以下定时器的控制:
· 离线检测定时器:用来设置设备用户空闲超时的时间间隔。如果在两个时间间隔之内,没有来自用户的流量通过,设备将切断用户的连接,同时通知RADIUS服务器,停止对该用户的计费。
· 静默定时器:用来设置用户认证失败以后,设备停止对其提供认证服务的时间间隔。在静默期间,设备不对来自该用户的报文进行认证处理,直接丢弃。静默期后,如果设备再次收到该用户的报文,则依然可以对其进行认证处理。
· 认证超时定时器:用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果认证超时定时器超时时设备一直没有收到RADIUS服务器的应答,则设备将在相应的端口上禁止此用户访问网络。
MAC地址认证过程中,设备与RADIUS服务器交互时支持如下两种认证方法,用户可根据组网需求进行灵活选择:
· PAP(Password Authentication Protocol,密码验证协议):通过用户名和口令来对用户进行验证,其特点是在网络上以明文方式传送用户名和口令,仅适用于对网络安全要求相对较低的环境。
· CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议):采用客户端与服务器端交互挑战信息的方式来验证用户身份,其特点是在网络上以明文方式传送用户名,以密文方式传输口令。因此CHAP认证保密性更好,更为安全可靠。
为了将受限的网络资源与未认证用户隔离,通常将受限的网络资源和用户划分到不同的VLAN。MAC地址认证支持认证服务器授权下发VLAN功能,即当用户通过MAC地址认证后,认证服务器支持将指定的受限网络资源所在的VLAN作为授权VLAN下发到用户认证的端口。该端口被加入到授权VLAN中后,用户便可以访问这些受限的网络资源。
从认证服务器下发的ACL被称为授权ACL,它为用户访问网络提供了良好的过滤条件设置功能。MAC地址认证支持认证服务器授权下发ACL功能,即当用户通过MAC地址认证后,如果RADIUS服务器上配置了授权ACL,则设备会根据服务器下发的授权ACL对用户所在端口的数据流进行控制。为使下发的授权ACL生效,需要提前在设备上配置相应的ACL规则。而且在用户访问网络的过程中,可以通过改变服务器的授权ACL设置来改变用户的访问权限。
认证失败VLAN(Auth-Fail VLAN)功能允许用户在认证失败的情况下可以访问某一特定VLAN中的资源,比如获取客户端软件,升级客户端或执行其他一些用户升级程序。这个VLAN称之为认证失败VLAN。需要注意的是,这里的认证失败是认证服务器因某种原因明确拒绝用户认证通过,比如用户密码错误,而不是认证超时或网络连接等原因造成的认证失败。
如果接入用户的端口上配置了认证失败VLAN,则该端口上认证失败的用户会被加入认证失败VLAN,即该用户被授权访问认证失败VLAN里的资源。若认证失败VLAN中的用户再次发起认证未成功,则该用户将仍然处于认证失败VLAN内;若认证成功,则会根据认证服务器是否下发VLAN将用户加入到下发的VLAN中,或回到加入认证失败VLAN之前端口所在的VLAN。
通过使用MAC地址认证,可以对用户的网络访问权限进行控制。
· 关闭全局的端口安全功能。
· 创建并配置ISP域。
· 若采用本地认证方式,需要创建本地用户并设置其密码,且本地用户的服务类型应设置为LAN-Access。
· 若采用远程RADIUS认证方式,需要确保设备与RADIUS服务器之间的路由可达,并添加MAC地址认证用户账号。
创建本地用户或添加远程用户账号时,需要注意这些用户的用户名必须与设备上指定的MAC地址认证用户名格式保持一致。
MAC地址认证配置的推荐步骤如下表所示。
表1-1 MAC地址认证配置步骤
步骤 |
配置任务 |
说明 |
1 |
必选 在全局启用MAC地址认证,设置认证方法并配置高级参数 缺省情况下,全局的MAC地址认证处于关闭状态 |
|
2 |
必选 在指定的端口上启用MAC地址认证 在全局MAC地址认证未启用时,可以启用端口的MAC地址认证,但不起作用;只有在全局MAC地址认证启用后,各端口的MAC地址认证配置才会生效 缺省情况下,端口的MAC地址认证处于关闭状态 |
(1) 在导航栏中选择“认证 > MAC认证”。
(2) 选中“启用MAC地址认证”前的复选框。
(3) 设置认证方法,包括:CHAP和PAP。
(4) 在“MAC地址认证设置”中单击展开“高级设置”前的扩展按钮,页面如下图所示。
图1-1 MAC认证
(5) 在“MAC地址认证设置”中可以显示和配置全局的MAC地址认证信息。配置全局MAC地址认证,详细配置如下表所示。
(6) 单击<确定>按钮完成操作。
表1-2 全局MAC地址认证的详细配置
配置项 |
说明 |
||
启用MAC地址认证 |
设置是否在全局启用MAC地址认证功能 |
||
认证方法 |
设置MAC地址认证的认证方法,包括:CHAP、PAP 缺省情况下,设备采用PAP认证方法进行MAC地址认证 |
||
离线检测时间 |
设置离线检测定时器的值 离线检测定时器用来设置用户空闲超时的时间间隔。如果在两个时间间隔之内,没有来自用户的流量通过,设备将切断用户的连接,同时通知RADIUS服务器,停止对该用户的计费 |
||
静默时间 |
设置静默定时器的值 静默定时器用来设置用户认证失败以后,设备需要等待的时间间隔。在静默期间,设备不处理该用户的认证功能,静默之后设备再重新对用户发起认证 |
||
认证超时时间 |
设置认证超时定时器的值 认证超时定时器用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果服务器超时定时器超,设备将在相应的端口上禁止此用户访问网络 |
||
认证ISP域 |
设置MAC地址认证用户所使用的ISP域 不指定认证ISP域时,MAC地址认证用户使用缺省ISP域 |
||
认证信息格式 |
使用不带连字符MAC |
设置MAC地址认证的用户名和密码 · 使用不带连字符MAC:表示使用用户的源MAC地址做用户名和密码,MAC地址的格式为“xxxxxxxxxxxx” · 使用带连字符MAC:表示使用用户的源MAC地址做用户名和密码,MAC地址的格式为“xx-xx-xx-xx-xx-xx” · 使用固定值:表示采用固定的用户名和密码,此时需要手动指定发送给RADIUS服务器进行认证或者在本地进行认证的用户名和密码 |
|
使用带连字符MAC |
|||
使用固定值 |
用户名 |
||
密码 |
(1) 在导航栏中选择“认证 > MAC认证”,页面如图1-1所示。
(2) 在“MAC地址认证启用端口”中显示的是已启用MAC地址认证的端口,单击<新建>按钮,进入如下图所示的页面。
图1-2 启用MAC地址认证
(3) 配置端口MAC地址认证,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表1-3 端口MAC地址认证的详细配置
配置项 |
说明 |
端口 |
设置启用MAC地址认证的端口 |
启用MAC VLAN功能 |
设置是否启用端口的MAC VLAN功能 只有Hybrid口支持此功能 |
认证失败VLAN |
当启用MAC VLAN功能时,设置认证失败的用户被授权访问的VLAN · 若端口上同时配置了802.1X认证的MGV(MAC-based Guest VLAN)与MAC地址认证的认证失败VLAN,则仅802.1X认证的MGV生效。关于802.1X的MGV的具体介绍请参见“802.1X” · MAC地址认证中认证失败VLAN功能的优先级高于静默MAC功能 · MAC地址认证中认证失败VLAN功能的优先级高于端口安全中报文入侵控制的阻塞MAC功能,低于报文入侵控制的关闭端口功能。关于报文入侵控制功能的具体介绍请参见“端口安全” |
如下图所示,某用户的工作站与交换机的端口GigabitEthernet1/0/1相连接。
· 管理者希望在交换机的各端口上对用户接入进行MAC地址认证,以控制其对Internet的访问。
· 要求设备每隔180秒就对用户是否下线进行检测;并且当用户认证失败时,需等待3分钟后才能对用户再次发起认证。
· 所有用户都属于域:example.com,认证时使用本地认证的方式。使用用户的源MAC地址做用户名和密码。
图1-3 MAC地址认证配置组网图
(1) 配置本地接入用户,用户名和密码均为接入用户的MAC地址“00-e0-fc-12-34-56”,服务类型为“lan-access”。(略)
(2) 创建ISP域。
步骤1:在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面。
步骤2:输入域名为“example.com”,如下图所示。
步骤3:单击<应用>按钮完成操作。
图1-4 创建ISP域
(3) 配置ISP域的AAA认证方案。
步骤1:单击“认证”页签,进入AAA认证方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“example.com”。
· 选中“LAN-access认证”前的复选框,选择认证方式为“Local”。
图1-5 配置ISP域的AAA认证方案
步骤3:单击<应用>按钮,弹出配置进度对话框,如下图所示。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图1-6 配置进度对话框
(4) 配置全局的MAC地址认证。
步骤1:在导航栏中选择“认证 > MAC认证”。
步骤2:在“MAC地址认证设置”中进行如下配置,如下图所示。
· 选中“启用MAC地址认证”前的复选框。
· 单击展开“高级设置”前的扩展按钮。
· 选择认证方法为“PAP”。
· 输入离线检测时间为“180”。
· 输入静默时间为“180”。
· 选择认证ISP域为“example.com”。
· 选择认证信息格式为“使用带连字符MAC”。
步骤3:单击<确定>按钮完成操作。
图1-7 配置全局的MAC地址认证
(5) 启用端口GigabitEthernet1/0/1的MAC地址认证。
步骤1:在“MAC认证启用端口”中单击<新建>按钮,进入启用MAC地址认证的配置页面。
步骤2:选择端口为“GigabitEthernet1/0/1”,如下图所示。
步骤3:单击<确定>按钮完成操作。
图1-8 启用端口GigabitEthernet1/0/1的MAC地址认证
如下图所示,主机Host通过MAC地址认证接入网络,认证服务器为RADIUS服务器。Internet网络中有一台FTP服务器,IP地址为10.0.0.1。
· 认证时使用用户的源MAC地址做用户名和密码。
· 在认证服务器上配置授权下发ACL 3000。
· 在Switch的GigabitEthernet1/0/1上开启MAC地址认证,并配置ACL 3000。
· 当用户认证成功上线,认证服务器下发ACL 3000。此时ACL 3000在GigabitEthernet1/0/1上生效,Host可以访问Internet,但不能访问FTP服务器。
图1-9 下发ACL典型配置组网图
· 确保RADIUS服务器与Switch路由可达。
· 由于该例中使用了MAC地址认证的缺省用户名和密码,即使用用户的源MAC地址做用户名与密码,因此还要保证RADIUS服务器上正确添加了接入用户的用户名和密码。
· 指定RADIUS服务器上的授权ACL为设备上配置的ACL 3000。
(1) 配置RADIUS方案system。
步骤1:在导航栏中选择“认证 > RADIUS”,进入RADIUS的配置页面。
步骤2:单击<新建>按钮,进入新建RADIUS方案的配置页面。
步骤3:进行如下配置。
· 输入方案名称为“system”。
· 选择服务类型为“Extended”。
· 选择用户名格式为“不带域名”。
步骤4:在“RADIUS服务器配置”中单击<添加>按钮,弹出添加RADIUS服务器的配置页面。
步骤5:在弹出的页面上进行如下配置,如下图所示。
· 选择服务器类型为“主认证服务器”。
· 输入IP地址为“10.1.1.1”。
· 输入端口为“1812”。
· 输入密钥为“expert”。
· 输入确认密钥为“expert”。
步骤6:单击<确定>按钮,关闭弹出的页面,完成主认证服务器的配置。
图1-10 配置RADIUS认证服务器
步骤7:在“RADIUS服务器配置”中单击<添加>按钮,弹出添加RADIUS服务器的配置页面。
步骤8:在弹出的页面上进行如下配置,如下图所示。
· 选择服务器类型为“主计费服务器”。
· 输入IP地址为“10.1.1.2”。
· 输入端口为“1813”。
· 输入密钥为“expert”。
· 输入确认密钥为“expert”。
步骤9:单击<确定>按钮,关闭弹出的页面,完成主计费服务器的配置。
图1-11 配置RADIUS计费服务器
步骤10:完成上述配置后的新建RADIUS方案的页面如下图所示,单击<确定>按钮完成操作。
图1-12 新建RADIUS方案system
(2) 创建ISP域。
步骤1:在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面。
步骤2:输入域名为“test”,如下图所示。
步骤3:单击<应用>按钮完成操作。
图1-13 创建ISP域
(3) 配置ISP域的AAA认证方案。
步骤1:单击“认证”页签,进入AAA认证方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Default认证”前的复选框,选择认证方式为“RADIUS”。
· 选择认证方案名称为“system”。
图1-14 配置ISP域的AAA认证方案
步骤3:单击<应用>按钮,弹出配置进度对话框,如下图所示。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图1-15 配置进度对话框
(4) 配置ISP域的AAA授权方案。
步骤1:单击“授权”页签,进入AAA授权方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Default授权”前的复选框,选择授权方式为“RADIUS”。
· 选择授权方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图1-16 配置ISP域的AAA授权方案
(5) 配置ISP域的AAA计费方案。
步骤1:单击“计费”页签,进入AAA计费方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Default计费”前的复选框,选择计费方式为“RADIUS”。
· 选择计费方案名称为“system”。
步骤3:单击<应用>按钮弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图1-17 配置ISP域的AAA计费方案
(6) 新建ACL 3000。
步骤1:在导航栏中选择“QoS > ACL IPv4”。
步骤2:单击“新建”页签,进入新建ACL的配置页面。
步骤3:输入访问控制列表ID为“3000”,如下图所示。
步骤4:单击<应用>按钮完成操作。
图1-18 新建ACL 3000
(7) 配置ACL规则拒绝目的IP地址为10.0.0.1的报文通过。
步骤1:单击“高级配置”页签,进入ACL的高级配置页面。
步骤2:进行如下配置,如下图所示。
· 选择访问控制列表为“3000”。
· 选中“规则ID”前的复选框,输入规则ID为“0”。
· 选择操作为“禁止”。
· 选中“目的IP地址”前的复选框,输入目的IP地址为“10.0.0.1”。
· 输入目的地址通配符为“0.0.0.0”。
步骤3:单击<新建>按钮完成操作。
图1-19 配置ACL规则拒绝目的IP地址为10.0.0.1的报文通过
(8) 配置全局的MAC地址认证。
步骤1:在导航栏中选择“认证 > MAC认证”。
步骤2:在“MAC地址认证设置”中进行如下配置,如下图所示。
· 选中“启用MAC地址认证”前的复选框。
· 选择认证方法为“PAP”。
· 单击展开“高级设置”前的扩展按钮。
· 选择认证ISP域为“test”。
· 选择认证信息格式为“使用不带连字符MAC”。
步骤3:单击<确定>按钮完成操作。
图1-20 配置全局的MAC地址认证
(9) 启用端口GigabitEthernet1/0/1的MAC地址认证。
步骤1:在“MAC认证启用端口”中单击<新建>按钮,进入启用MAC地址认证的配置页面。
步骤2:选择端口为“GigabitEthernet1/0/1”,如下图所示。
步骤3:单击<确定>按钮完成操作。
图1-21 启用端口GigabitEthernet1/0/1的MAC地址认证
用户Host认证成功后,通过ping FTP服务器,可以验证认证服务器下发的ACL 3000是否生效。
C:\>ping 10.0.0.1
Pinging 10.0.0.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 10.0.0.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
本章节主要描述了802.1X的相关概念及配置步骤。由于通过配置端口安全特性也可以为用户提供802.1X认证服务,且还可以提供802.1X和MAC地址认证的扩展和组合应用,因此在需要灵活使用以上两种认证方式的组网环境下,推荐使用端口安全特性。无特殊组网要求的情况下,无线环境中通常使用端口安全特性。而在仅需要802.1X特性来完成接入控制的组网环境下,推荐单独使用802.1X特性。关于端口安全特性的详细介绍和具体配置请参见“端口安全”。
最初,IEEE 802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1X协议。后来,802.1X协议作为局域网的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。
802.1X协议是一种基于端口的网络接入控制协议,即在局域网接入设备的端口上对所接入的用户设备进行认证,以便用户设备控制对网络资源的访问。
802.1X系统中包括三个实体:客户端(Client)、设备端(Device)和认证服务器(Authentication server),如下图所示。
图2-1 802.1X体系结构图
· 客户端是请求接入局域网的用户终端设备,它由局域网中的设备端对其进行认证。客户端上必须安装支持802.1X认证的客户端软件。
· 设备端是局域网中控制客户端接入的网络设备,位于客户端和认证服务器之间,为客户端提供接入局域网的端口(物理端口或逻辑端口),并通过与服务器的交互来对所连接的客户端进行认证。
· 认证服务器用于对客户端进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。认证服务器根据设备端发送来的客户端认证信息来验证客户端的合法性,并将验证结果通知给设备端,由设备端决定是否允许客户端接入。在一些规模较小的网络环境中,认证服务器的角色也可以由设备端来代替,即由设备端对客户端进行本地认证、授权和计费。
设备端为客户端提供接入局域网的端口被划分为两个逻辑端口:受控端口和非受控端口。任何到达该端口的帧,在受控端口与非受控端口上均可见。
· 非受控端口始终处于双向连通状态,主要用来传递EAPOL(Extensible Authentication Protocol over LAN,局域网上的可扩展认证协议)协议帧,保证客户端始终能够发出或接收认证报文。
· 受控端口在授权状态下处于双向连通状态,用于传递业务报文;在非授权状态下禁止从客户端接收任何报文。
设备端利用认证服务器对需要接入局域网的客户端执行认证,并根据认证结果(Accept或Reject)对受控端口的授权状态进行相应地控制。
下图显示了受控端口上不同的授权状态对通过该端口报文的影响。图中对比了两个802.1X认证系统的端口状态。系统1的受控端口处于非授权状态,不允许报文通过;系统2的受控端口处于授权状态,允许报文通过。
在非授权状态下,受控端口可以被设置成单向受控和双向受控。
· 处于双向受控状态时,禁止帧的发送和接收;
· 处于单向受控状态时,禁止从客户端接收帧,但允许向客户端发送帧。
目前,设备上的受控端口只能处于单向受控状态。
802.1X系统使用EAP(Extensible Authentication Protocol,可扩展认证协议)来实现客户端、设备端和认证服务器之间认证信息的交互。EAP是一种C/S模式的认证框架,它可以支持多种认证方法,例如MD5-Challenge、EAP-TLS、PEAP等。在客户端与设备端之间,EAP报文使用EAPOL封装格式承载于数据帧中传递。在设备端与RADIUS服务器之间,EAP报文的交互有以下两种处理机制。
设备对收到的EAP报文进行中继,使用EAPOR(EAP over RADIUS)封装格式将其承载于RADIUS报文中发送给RADIUS服务器进行认证。
图2-3 EAP中继原理示意图
该处理机制下,EAP认证过程在客户端和RADIUS服务器之间进行,RADIUS服务器作为EAP服务器来处理客户端的EAP认证请求,设备相当于一个代理,仅对EAP报文做中转,因此设备处理简单,并能够支持EAP的各种认证方法,但要求RADIUS服务器支持相应的EAP认证方法。
设备对EAP认证过程进行终结,将收到的EAP报文中的客户端认证信息封装在标准的RADIUS报文中,与服务器之间采用PAP(Password Authentication Protocol,密码验证协议)或CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)方法进行认证。
图2-4 EAP终结原理示意图
该处理机制下,由于现有的RADIUS服务器基本均可支持PAP认证和CHAP认证,因此对服务器无特殊要求,但设备处理较为复杂,它需要作为EAP服务器来解析与处理客户端的EAP报文,且目前仅能支持MD5-Challenge类型的EAP认证以及iNode 802.1X客户端发起的“用户名+密码”方式的EAP认证。
如果客户端采用了MD5-Challenge类型的EAP认证,则设备端只能采用CHAP认证;如果iNode 802.1X客户端采用了“用户名+密码”方式的EAP认证,设备上可选择使用PAP认证或CHAP认证,从安全性上考虑,通常使用CHAP认证。
(1) EAPOL数据帧的格式
EAPOL是802.1X协议定义的一种承载EAP报文的封装格式,主要用于在局域网中传送客户端和设备端之间的EAP协议报文。EAPOL数据包的格式如下图所示。
图2-5 EAPOL数据包格式
· PAE Ethernet Type:表示协议类型。EAPOL的协议类型为0x888E。
· Protocol Version:表示EAPOL数据帧的发送方所支持的EAPOL协议版本号。
· Type:表示EAPOL数据帧类型。目前设备上支持的EAPOL数据帧类型如下表所示。
表2-1 EAPOL数据帧类型
类型值 |
数据帧类型 |
说明 |
0x00 |
EAP-Packet |
认证信息帧,用于承载客户端和设备端之间的EAP报文 · 在终结方式下,该帧中的客户端认证信息会被设备端重新封装并承载于RADIUS报文中发送给认证服务器 · 在中继方式下,该帧承载的EAP报文会被设备端直接封装在RADIUS报文的EAP属性中发送给认证服务器 |
0x01 |
EAPOL-Start |
认证发起帧,用于客户端向设备端发起认证请求 |
0x02 |
EAPOL-Logoff |
退出请求帧,用于客户端向设备端发起下线请求 |
· Length:表示数据域的长度,也就是Packet Body字段的长度,单位为字节。当EAPOL数据帧的类型为EAPOL-Start或EAPOL-Logoff时,该字段值为0,表示后面没有Packet Body字段。
· Packet Body:数据域的内容。
(2) EAP报文的格式
当EAPOL数据帧的类型为EAP-Packet时,Packet Body字段的内容就是一个EAP报文,格式如下图所示。
图2-6 EAP报文格式
· Code:EAP报文的类型,包括Request(1)、Response(2)、Success(3)和Failure(4)。
· Identifier:用于匹配Request消息和Response消息的标识符。
· Length:EAP报文的长度,包含Code、Identifier、Length和Data域,单位为字节。
· Data:EAP报文的内容,该字段仅在EAP报文的类型为Request和Response时存在,它由类型域和类型数据两部分组成,例如,类型域为1表示Identity类型,类型域为4表示MD5 Challenge类型。
RADIUS为支持EAP认证增加了两个属性:EAP-Message(EAP消息)和Message-Authenticator(消息认证码)。在含有EAP-Message属性的数据包中,必须同时包含Message-Authenticator属性。关于RADIUS报文格式的介绍请参见“RADIUS”。
(1) EAP-Message
如下图所示,EAP-Message属性用来封装EAP报文,Value域最长253字节,如果EAP报文长度大于253字节,可以对其进行分片,依次封装在多个EAP-Message属性中。
图2-7 EAP-Message属性封装
(2) Message-Authenticator
如下图所示,Message-Authenticator属性用于在EAP认证过程中验证携带了EAP-Message属性的RADIUS报文的完整性,避免报文被窜改。如果接收端对接收到的RADIUS报文计算出的完整性校验值与报文中携带的Message-Authenticator属性的Value值不一致,该报文会被认为无效而丢弃。
图2-8 Message-Authenticator属性封装
802.1X的认证过程可以由客户端主动发起,也可以由设备端发起。
· 组播触发:客户端主动向设备端发送EAPOL-Start报文来触发认证,该报文目的地址为组播MAC地址01-80-C2-00-00-03。
· 广播触发:客户端主动向设备端发送EAPOL-Start报文来触发认证,该报文的目的地址为广播MAC地址。该方式可解决由于网络中有些设备不支持上述的组播报文,而造成认证设备无法收到客户端认证请求的问题。
目前,iNode的802.1X客户端可支持广播触发方式。
设备端主动触发方式用于支持不能主动发送EAPOL-Start报文的客户端,例如Windows XP自带的802.1X客户端。设备主动触发认证的方式分为以下两种:
· 组播触发:设备每隔N秒(缺省为30秒)主动向客户端组播发送Identity类型的EAP-Request帧来触发认证。
· 单播触发:当设备收到源MAC地址未知的报文时,主动向该MAC地址单播发送Identity类型的EAP-Request帧来触发认证。若设备端在设置的时长内没有收到客户端的响应,则重发该报文。
802.1X系统支持采用EAP中继方式和EAP终结方式与远端RADIUS服务器交互。以下关于两种认证方式的过程描述,都以客户端主动发起认证为例。
这种方式是IEEE 802.1X标准规定的,将EAP承载在其它高层协议中,如EAP over RADIUS,以便扩展认证协议报文穿越复杂的网络到达认证服务器。一般来说,需要RADIUS服务器支持EAP属性:EAP-Message和Message-Authenticator,分别用来封装EAP报文及对携带EAP-Message的RADIUS报文进行保护。
下面以MD5-Challenge认证方法为例介绍基本业务流程,认证过程如下图所示。
图2-9 IEEE 802.1X认证系统的EAP中继方式业务流程
(1) 当用户需要访问外部网络时打开802.1X客户端程序,输入已经申请、登记过的用户名和密码,发起连接请求。此时,客户端程序将向设备端发出认证请求帧(EAPOL-Start),开始启动一次认证过程。
(2) 设备端收到认证请求帧后,将发出一个Identity类型的请求帧(EAP-Request/Identity)要求用户的客户端程序发送输入的用户名。
(3) 客户端程序响应设备端发出的请求,将用户名信息通过Identity类型的响应帧(EAP-Response/Identity)发送给设备端。
(4) 设备端将客户端发送的响应帧中的EAP报文封装在RADIUS报文(RADIUS Access-Request)中发送给认证服务器进行处理。
(5) RADIUS服务器收到设备端转发的用户名信息后,将该信息与数据库中的用户名列表中对比,找到该用户名对应的密码信息,用随机生成的一个MD5 Challenge对密码进行加密处理,同时将此MD5 Challenge通过RADIUS Access-Challenge报文发送给设备端。
(6) 设备端将RADIUS服务器发送的MD5 Challenge转发给客户端。
(7) 客户端收到由设备端传来的MD5 Challenge后,用该Challenge对密码部分进行加密处理,生成EAP-Response/MD5 Challenge报文,并发送给设备端。
(8) 设备端将此EAP-Response/MD5 Challenge报文封装在RADIUS报文(RADIUS Access-Request)中发送给RADIUS认证服务器。
(9) RADIUS服务器将收到的已加密的密码信息和本地经过加密运算后的密码信息进行对比,如果相同,则认为该用户为合法用户,并向设备端发送认证通过报文(RADIUS Access-Accept)。
(10) 设备收到认证通过报文后向客户端发送认证成功帧(EAP-Success),并将端口改为授权状态,允许用户通过端口访问网络。
(11) 用户在线期间,设备端会通过向客户端定期发送握手报文的方法,对用户的在线情况进行监测。
(12) 客户端收到握手报文后,向设备发送应答报文,表示用户仍然在线。缺省情况下,若设备端发送的两次握手请求报文都未得到客户端应答,设备端就会让用户下线,防止用户因为异常原因下线而设备无法感知。
(13) 客户端可以发送EAPOL-Logoff帧给设备端,主动要求下线。
(14) 设备端把端口状态从授权状态改变成未授权状态,并向客户端发送EAP-Failure报文。
EAP中继方式下,需要保证在客户端和RADIUS服务器上选择一致的EAP认证方法,而在设备上,只需要配置802.1X用户的认证方式为EAP即可。
这种方式将EAP报文在设备端终结并映射到RADIUS报文中,利用标准RADIUS协议完成认证、授权和计费。设备端与RADIUS服务器之间可以采用PAP或者CHAP认证方法。下面以CHAP认证方法为例介绍基本业务流程,如下图所示。
图2-10 IEEE 802.1X认证系统的EAP终结方式业务流程
EAP终结方式与EAP中继方式的认证流程相比,不同之处在于步骤(4)中用来对用户密码信息进行加密处理的MD5 Challenge由设备端生成,之后设备端会把用户名、MD5 Challenge和客户端加密后的密码信息一起送给RADIUS服务器,进行相关的认证处理。
设备不仅支持协议所规定的基于端口的接入认证方式(Port Based),还对其进行了扩展、优化,支持基于MAC的接入控制方式(MAC Based)。
· 当采用基于端口的接入控制方式时,只要该端口下的第一个用户认证成功后,其它接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其它用户也会被拒绝使用网络。
· 采用基于MAC的接入控制方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
802.1X用户在服务器上通过认证时,服务器会把授权信息传送给设备端。如果服务器上指定了授权给该用户的下发VLAN,则服务器发送给设备的授权信息中将含有下发的VLAN信息,设备根据用户认证上线的端口连接类型,按以下三种情况将端口加入下发VLAN中。
表2-2 不同类型的端口加入下发的VLAN
接入控制方式 |
Access端口 |
Trunk端口 |
Hybrid端口 |
Port Based |
端口离开用户配置的VLAN,加入下发的VLAN |
端口允许下发的VLAN通过,并且将缺省VLAN修改为下发的VLAN |
端口允许下发的VLAN以不携带Tag的方式通过,并且将缺省VLAN修改为下发的VLAN |
MAC Based |
端口离开用户配置的VLAN,加入第一个通过认证的用户的下发VLAN |
端口允许下发的VLAN通过,并且将缺省VLAN修改为第一个通过认证的用户的下发VLAN |
端口允许下发的VLAN以不携带Tag的方式通过 · 若端口上启用了MAC VLAN功能,则根据下发的VLAN动态地创建基于用户MAC的VLAN,而端口的缺省VLAN ID并不改变 · 若端口上未启用MAC VLAN功能,则端口的缺省VLAN ID修改为第一个通过认证的用户的下发VLAN的VLAN ID |
说明:只有启用了MAC VLAN功能的端口上才允许给不同的用户MAC下发不同的VLAN。其它情况下,下发给所有用户的VLAN必须相同,否则仅第一个通过认证的用户的可以认证成功。 |
下发的VLAN并不影响端口的配置。但是,下发的VLAN的优先级高于用户配置的VLAN,即通过认证后起作用的VLAN是下发的VLAN,用户配置的VLAN在用户下线后生效。
· 对于Hybrid端口,不建议把服务器将要下发或已经下发的VLAN配置为携带Tag的方式加入端口。
· 在启动了802.1X周期性重认证功能的Hybrid端口上,若用户在MAC VLAN功能开启之前上线,则MAC VLAN功能不能对该用户生效,即系统不会根据服务器下发的VLAN生成该用户的MAC VLAN表项,只有该在线用户重认证成功且服务器下发的VLAN发生变化时,MAC VLAN功能才会对它生效。
Guest VLAN功能允许用户在未认证的情况下,访问某一特定VLAN中的资源。这个特定的VLAN称之为Guest VLAN,该VLAN内通常放置一些用于用户下载客户端软件或其他升级程序的服务器。
根据端口的接入控制方式不同,Guest VLAN的生效情况有所不同。
(1) 端口的接入控制方式为Port Based
在接入控制方式为Port Based的端口上配置Guest VLAN后,若在一定的时间内(默认90秒),该端口上无客户端进行认证,则该端口将被加入Guest VLAN,所有在该端口接入的用户将被授权访问Guest VLAN里的资源。不同链路类型的端口加入Guest VLAN的情况有所不同,具体情况与端口加入服务器下发的VLAN类似,请参见“1. 支持VLAN下发”。
当端口上处于Guest VLAN中的用户发起认证且失败时:如果端口配置了认证失败VLAN,则该端口会被加入认证失败VLAN;如果端口未配置认证失败VLAN,则该端口仍然处于Guest VLAN内。关于认证失败VLAN的具体介绍请参见“3. 认证失败VLAN”。
当端口上处于Guest VLAN中的用户发起认证且成功时,端口会离开Guest VLAN,之后端口加入VLAN情况与认证服务器是否下发VLAN有关,具体如下:
· 若认证服务器下发VLAN,则端口加入下发的VLAN中。用户下线后,端口离开下发的VLAN回到初始VLAN中,该初始VLAN为端口加入Guest VLAN之前所在的VLAN。
· 若认证服务器不下发VLAN,则端口回到初始VLAN中。用户下线后,端口仍在该初始VLAN中。
(2) 端口的接入控制方式为MAC Based
在接入控制方式为MAC Based的端口上配置Guest VLAN后,端口上未认证的用户被授权访问Guest VLAN里的资源。
当端口上处于Guest VLAN中的用户发起认证且失败时,如果端口配置了认证失败VLAN,则认证失败的用户将被加入认证失败VLAN;如果端口未配置认证失败VLAN,则该用户将仍然处于Guest VLAN内。
当端口上处于Guest VLAN中的用户发起认证且成功时,设备会根据认证服务器是否下发VLAN决定将该用户加入到下发的VLAN中,或回到加入Guest VLAN之前端口所在的初始VLAN。
认证失败VLAN(Auth-Fail VLAN)功能允许用户在认证失败的情况下访问某一特定VLAN中的资源,这个VLAN称之为认证失败VLAN。需要注意的是,这里的认证失败是认证服务器因某种原因明确拒绝用户认证通过,比如用户密码错误,而不是认证超时或网络连接等原因造成的认证失败。
根据端口的接入控制方式不同,认证失败VLAN的生效情况有所不同。
(1) 端口的接入控制方式为Port Based
在接入控制方式为Port Based的端口上配置认证失败VLAN后,若该端口上有用户认证失败,则该端口会被加入到认证失败VLAN,所有在该端口接入的用户将被授权访问认证失败VLAN里的资源。端口加入认证失败VLAN的情况与加入授权下发VLAN相同,与端口链路类型有关。
当加入认证失败VLAN的端口上有用户发起认证并失败,则该端口将会仍然处于认证失败VLAN内;如果认证成功,则该端口会离开认证失败VLAN,之后端口加入VLAN情况与认证服务器是否下发VLAN有关,具体如下:
· 若认证服务器下发VLAN,则端口加入下发的VLAN中。用户下线后,端口会离开下发的VLAN回到初始VLAN中,该初始VLAN为端口加入认证失败VLAN之前所在的VLAN。
· 若认证服务器未下发VLAN,则端口回到初始VLAN中。用户下线后,端口仍在该初始VLAN中。
(2) 端口的接入控制方式为MAC Based
在接入控制方式为MAC Based的端口上配置认证失败VLAN后,该端口上认证失败的用户将被授权访问认证失败VLAN里的资源。
当认证失败VLAN中的用户再次发起认证时,如果认证成功,则设备会根据认证服务器是否下发VLAN决定将该用户加入到下发的VLAN中,或回到加入认证失败VLAN之前端口所在的初始VLAN;如果认证失败,则该用户仍然留在该VLAN中。
802.1X支持ACL(Access Control List,访问控制列表)下发功能提供了对上线用户访问网络资源的过滤与控制功能。当用户上线时,如果RADIUS服务器上指定了要下发给该用户的授权ACL,则设备会根据服务器下发的授权ACL对用户所在端口的数据流进行过滤,仅允许ACL规则中允许的数据流通过该端口。由于服务器上指定的是授权ACL的编号,因此还需要在设备上创建该ACL并配置对应的ACL规则。管理员可以通过改变服务器的授权ACL设置或设备上对应的ACL规则来改变用户的访问权限。
802.1X需要AAA的配合才能实现对用户的身份认证。因此,需要首先完成以下配置任务:
· 配置802.1X用户所属的ISP认证域及其使用的AAA方案,即本地认证方案或RADIUS方案。详细配置请参见“AAA”和“RADIUS”。
· 如果需要本地认证,则应该在设备上手动添加认证的用户名和密码,且用户使用的服务类型必须为LAN-Access。详细配置请参见“用户”。
· 如果需要通过RADIUS服务器进行认证,则应该在RADIUS服务器上配置相应的用户名和密码。
表2-3 802.1X配置步骤
步骤 |
配置任务 |
说明 |
1 |
必选 在全局启用802.1X认证,配置认证方法和高级参数 缺省情况下,全局802.1X认证处于关闭状态 |
|
2 |
必选 在指定的端口上启用802.1X认证,配置端口的802.1X参数 缺省情况下,端口802.1X认证处于关闭状态 |
(1) 在导航栏中选择“认证 > 802.1X”,进入如下图所示页面。在“802.1X认证设置”中可以显示和配置全局的802.1X特性。
(2) 选中“启用802.1X认证”前的复选框。
(3) 设置802.1X系统的认证方法,包括:CHAP、PAP、EAP。
802.1X系统采用的认证方法与设备对于EAP报文的处理机制有关,具体如下:
· EAP中继方式下,设备端对客户端发送的EAP报文进行中继处理,设备上需指定认证方法为“EAP”来启用EAP中继方式,并支持客户端与RADIUS服务器之间所有类型的EAP认证方法。
· EAP终结方式下,设备端对客户端发送的EAP报文进行本地终结,设备上需指定认证方法为“CHAP”或“PAP”来启用EAP终结方式,并支持客户端与RADIUS服务器之间采用CHAP或PAP类型的认证方法。
(4) 单击“高级设置”前的扩展按钮,展开高级参数的配置内容,如下图所示。
图2-12 高级设置
(5) 根据需要修改高级参数的配置,详细配置如下表所示。
(6) 单击<确定>按钮完成操作。
表2-4 全局802.1X高级参数的详细配置
配置项 |
说明 |
|
静默功能 |
设置是否启用静默定时器功能以及静默定时器的值 当802.1X用户认证失败以后,设备需要静默一段时间(通过“静默时长”设定)后再重新发起认证。在静默期间,设备不进行802.1X认证的相关处理 |
|
静默时长 |
||
报文重传次数 |
设置设备向接入用户发送认证请求报文的最大次数 在规定的时间里(通过“重传间隔”或者“客户端超时时间”设定)没有收到用户的响应,则设备将根据报文重传次数决定是否再次向用户发送该认证请求报文 报文重传次数设置为1时表示只允许向用户发送一次认证请求报文,如果没有收到响应,不再重复发送;设置为2时表示在首次向用户发送请求又没有收到响应后,将重复发送1次;……依次类推 |
|
重传间隔 |
设置重传定时器的值 重传定时器定义了两个时间间隔: · 其一,当设备端向客户端发送EAP-Request/Identity请求报文后,设备端启动该定时器,若在该定时器设置的时间间隔内,设备端没有收到客户端的响应,则设备端将重发认证请求报文 · 其二,为了兼容不主动发送EAPOL-Start连接请求报文的客户端,设备会定期组播EAP-Request/Identity请求报文来检测客户端。重传间隔定义了该组播报文的发送时间间隔 |
|
用户握手周期 |
设置用户握手定时器的值 当端口上启用了用户握手功能(具体配置请参见“2.4 配置端口的802.1X特性”)时,设备端会在用户认证成功后启动用户握手定时器,并以此定时器的值为周期发送握手请求报文,以定期检测用户的在线情况。如果配置报文重传次数为N,则当设备端连续N次没有收到客户端的响应报文,就认为用户已经下线 |
|
重认证周期 |
设置周期性重认证定时器的值 当端口上启用了周期性重认证功能(具体配置请参见“2.4 配置端口的802.1X特性”)时,设备端会在用户认证成功后启动周期性重认证定时器,用于周期性的对在线用户发起重认证,以便定时更新服务器对用户的授权信息 |
|
客户端超时时间 |
设置客户端超时定时器的值 当设备端向客户端发送了EAP-Request/MD5 Challenge请求报文后,设备端启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,设备端将重发该报文 |
一般情况下,无需改变客户端超时定时器和服务器超时定时器的值,除非在一些特殊或恶劣的网络环境下,才需要通过命令来调节。例如,用户网络状况比较差的情况下,可以适当地将客户端超时定时器值调大一些;还可以通过调节服务器超时定时器的值来适应不同认证服务器的性能差异 |
服务器超时时间 |
设置服务器超时定时器的值 当设备端向认证服务器发送了RADIUS Access-Request请求报文后,设备端启动服务器超时定时器,若在该定时器设置的时长内,设备端没有收到认证服务器的响应,设备端将重发认证请求报文 |
(1) 在导航栏中选择“认证 > 802.1X”,进入如图2-11所示页面。
(2) 在“802.1X认证启用端口”中单击<新建>按钮,进入新启用端口802.1X认证的配置页面,如下图所示。
(3) 配置端口802.1X特性,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表2-5 端口802.1X特性的详细配置
配置项 |
说明 |
端口 |
设置要启用802.1X认证的端口,只能选择未启用802.1X认证的端口 只有同时启用全局和端口的802.1X特性后,802.1X的配置才能在端口上生效 |
端口控制方式 |
设置802.1X在端口上进行接入控制的方式,可选的方式及其含义说明如下: · MAC Based:表示采用基于MAC的接入控制方式,此时端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络 · Port Based:表示采用基于端口的接入控制方式,此时端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其他用户也会被拒绝使用网络 |
控制模式 |
设置802.1X在端口上进行接入控制的模式,可选的模式及其含义说明如下: · Auto:自动识别模式。指示端口初始状态为非授权状态,仅允许EAPOL报文收发,不允许用户访问网络资源;如果认证通过,则端口切换到授权状态,允许用户访问网络资源。这也是最常见的情况 · Force-Authorized:强制授权模式。表示端口始终处于授权状态,允许用户不经认证即可访问网络资源 · Force-Unauthorized:强制非授权模式。表示端口始终处于非授权状态,不允许用户进行认证,设备端不为通过该端口接入的客户端提供认证服务 |
最大用户数 |
设置802.1X在端口上可容纳接入用户数量的最大值 |
启用用户握手功能 |
设置是否在端口上启用用户握手功能 启用用户握手功能后,设备会定期(用户握手周期)向通过802.1X认证的在线用户发送握手报文,以定期检测用户的在线情况。如果设备连续多次(报文重传次数)没有收到客户端的响应报文,则会将用户置为下线状态。用户握手周期和报文重传次数的具体配置请参见“2.3 配置全局的802.1X特性” 部分802.1X客户端不支持与设备进行握手报文的交互,因此建议在这种情况下,关闭设备的用户握手功能,避免该类型的在线用户因没有回应握手报文而被强制下线 |
启用周期性重认证 |
设置是否在端口上启用周期性重认证功能 启用周期性重认证功能后,设备会根据指定的重认证周期(具体配置请参见“2.3 配置全局的802.1X特性”)定期向该端口在线802.1X用户发起重认证,以检测用户连接状态的变化、确保用户的正常在线,并及时更新服务器下发的授权属性(例如:ACL、VLAN) · 认证服务器可以通过下发RADIUS属性(session-timeout)来指定用户的重认证周期,且该功能不需要设备上开启周期性重认证功能来配合,属性下发成功即可生效。802.1X用户认证通过后,如果认证服务器对该用户下发了重认证周期,则设备上配置的周期性重认证时间无效,服务器下发的重认证周期生效。认证服务器下发重认证时间的具体配置以及是否可以下发重认证周期的情况与服务器类型有关,请参考具体的认证服务器实现 · 在用户名不改变的情况下,端口允许重认证前后服务器向该用户下发不同内容的VLAN;但是,若重认证前端口下发了VLAN,而重认证后未下发VLAN,则重认证失败,用户下线,反之同样处理 |
Guest VLAN |
设置端口的Guest VLAN。配置Guest VLAN之前,需要进行以下配置准备: · 创建需要配置为Guest VLAN的VLAN · 在接入控制方式为MAC Based的端口上,保证端口类型为Hybrid,且端口上必须启用MAC VLAN功能 · 对于Hybrid端口,不建议将指定的Guest VLAN修改为携带Tag的方式 · 如果用户端设备发出的是携带Tag的数据流,且接入端口上启用了802.1X认证并配置了Guest VLAN,为保证各种功能的正常使用,请为端口的缺省VLAN和802.1X的Guest VLAN分配不同的VLAN ID · 在接入控制方式为MAC Based的端口上同时配置了802.1X认证的Guest VLAN与MAC地址认证的Guest VLAN时,则仅802.1X认证的Guest VLAN有效,即用户触发MAC地址认证且失败后,不会加入MAC地址认证的Guest VLAN,若之后未触发或者未成功通过802.1X认证,则会加入802.1X认证的Guest VLAN中(若端口上还配置了802.1X认证的认证失败VLAN,则用户认证失败后加入认证失败VLAN) · 在接入控制方式为MAC Based的端口上生成的Guest VLAN表项会覆盖已生成的阻塞MAC表项,但如果端口因检测到非法报文而关闭,则802.1X的Guest VLAN功能无法生效 |
启用MAC VLAN功能 |
设置是否启用端口的MAC VLAN功能 当要在接入控制方式为MAC Based的端口上配置Guest VLAN时,必须启用端口的MAC VLAN功能 只有Hybrid口支持此功能 |
认证失败VLAN |
设置认证失败的用户被授权访问的VLAN。配置认证失败VLAN之前,需要进行以下配置准备: · 创建需要配置为认证失败VLAN的VLAN · 在接入控制方式为MAC Based的端口上,保证端口类型为Hybrid,且端口上必须启用MAC VLAN功能 · 对于Hybrid端口,不建议将指定的认证失败VLAN修改为携带Tag的方式 · 如果用户端设备发出的是携带Tag的数据流,且接入端口上启用了802.1X认证并配置了认证失败VLAN,为保证各种功能的正常使用,请为端口的缺省VLAN和802.1X的认证失败VLAN分配不同的VLAN ID · 在接入控制方式为MAC Based的端口上同时配置了802.1X认证的认证失败VLAN与MAC地址认证的Guest VLAN时,若用户首先进行MAC地址认证且失败,则加入MAC地址认证的Guest VLAN中,之后若该用户再进行802.1X认证且失败,则会离开MAC地址认证的Guest VLAN而加入802.1X认证的认证失败VLAN中;若用户首先进行802.1X认证且失败,之后除非成功通过MAC地址认证或者802.1X认证,否则会一直位于802.1X认证的认证失败VLAN中 · 在接入控制方式为MAC Based的端口上生成的认证失败VLAN表项会覆盖已生成的阻塞MAC表项,但如果端口因检测到非法报文而关闭,则802.1X的认证失败VLAN功能无法生效 |
· 要求在端口GigabitEthernet1/0/1上对接入用户进行认证,以控制其访问Internet;接入控制方式要求是基于MAC地址的接入控制;对在线用户启用周期性重认证,以便定时更新服务器对用户的授权信息。
· 所有接入用户都属于一个缺省的域:test。认证时,采用RADIUS认证方式;计费时,如果RADIUS计费失败则切断用户连接使其下线。RADIUS服务器使用CAMS/iMC服务器。
· 由两台RADIUS服务器组成的服务器组与Switch相连,其IP地址分别为10.1.1.1和10.1.1.2,使用前者作为主认证/备份计费服务器,使用后者作为备份认证/主计费服务器。
· 设置系统与认证RADIUS服务器交互报文时的共享密钥为name、与计费RADIUS服务器交互报文时的共享密钥为money。
· 设置系统在向RADIUS服务器发送报文后5秒种内如果没有得到响应就向其重新发送报文,发送报文的次数总共为5次;设置系统每15分钟就向RADIUS服务器发送一次实时计费报文。
· 设置系统从用户名中去除用户域名后再将之传给RADIUS服务器。
图2-14 802.1X配置组网图
下述各配置步骤包含了很多RADIUS客户端的配置,请参见“RADIUS”。RADIUS服务器上的配置略。
(1) 配置各接口的IP地址。(略)
(2) 配置全局的802.1X特性。
步骤1:在导航栏中选择“认证 > 802.1X”,进入802.1X的配置页面。
步骤2:进行如下配置,如下图所示。
· 选中“启用802.1X认证”前的复选框。
· 选择认证方法“CHAP”。
步骤3:单击<确定>按钮完成操作。
图2-15 配置全局的802.1X特性
(3) 配置端口GigabitEthernet1/0/1的802.1X特性。
步骤1:在“802.1X认证启用端口”中单击<新建>按钮,进入新启用802.1X认证的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择端口为“GigabitEthernet1/0/1”。
· 选中“启用周期性重认证”前的复选框。
步骤3:单击<确定>按钮完成操作。
图2-16 配置端口GigabitEthernet1/0/1的802.1X特性
(4) 配置RADIUS方案system。
步骤1:在导航栏中选择“认证 > RADIUS”,进入RADIUS的配置页面。
步骤2:单击<新建>按钮,进入新建RADIUS方案的配置页面。
步骤3:进行如下配置,如下图上方所示。
· 输入方案名称为“system”。
· 选择服务类型为“Extended”。
· 选择用户名格式为“不带域名”。
· 单击“高级”前的扩展按钮。
· 输入认证服务器共享密钥和确认认证服务器共享密钥为“name”。
· 输入计费服务器共享密钥和确认计费服务器共享密钥为“money”。
· 输入服务器应答超时时间为“5”秒。
· 输入RADIUS报文最大尝试发送次数为“5”。
· 输入实时计费间隔为“15”分钟。
步骤4:在“RADIUS服务器配置”中单击<添加>按钮,弹出添加RADIUS服务器的配置页面。
步骤5:在弹出的页面上进行如下配置。
· 选择服务器类型为“主认证服务器”。
· 输入IP地址为“10.1.1.1”。
· 输入端口为“1812”。
步骤6:单击<确定>按钮,关闭弹出的页面,完成主认证服务器的配置。
步骤7:在“RADIUS服务器配置”中单击<添加>按钮,弹出添加RADIUS服务器的配置页面。
步骤8:在弹出的页面上进行如下配置。
· 选择服务器类型为“备份认证服务器”。
· 输入IP地址为“10.1.1.2”。
· 输入端口为“1812”。
步骤9:单击<确定>按钮,关闭弹出的页面,完成备份认证服务器的配置。
步骤10:在“RADIUS服务器配置”中单击<添加>按钮,弹出添加RADIUS服务器的配置页面。
步骤11:在弹出的页面上进行如下配置。
· 选择服务器类型为“主计费服务器”。
· 输入IP地址为“10.1.1.2”。
· 输入端口为“1813”。
步骤12:单击<确定>按钮,关闭弹出的页面,完成主计费服务器的配置。
步骤13:在“RADIUS服务器配置”中单击<添加>按钮,弹出添加RADIUS服务器的配置页面。
步骤14:在弹出的页面上进行如下配置。
· 选择服务器类型为“备份计费服务器”。
· 输入IP地址为“10.1.1.1”。
· 输入端口为“1813”。
步骤15:单击<确定>按钮,关闭弹出的页面,完成备份计费服务器的配置。
在“RADIUS服务器配置”中可以看到新添加的服务器信息,如下图下方所示。
步骤16:单击<确定>按钮完成操作。
图2-17 配置RADIUS方案system
(5) 创建ISP域。
步骤1:在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面。
步骤2:进行如下配置,如下图所示。
· 输入域名为“test”。
· 选择缺省域为“Enable”。
步骤3:单击<应用>按钮完成操作。
图2-18 创建ISP域
(6) 配置ISP域的AAA认证方案。
步骤1:单击“认证”页签,进入AAA认证方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Default认证”前的复选框,选择认证方式为“RADIUS”。
· 选择认证方案名称为“system”。
图2-19 配置ISP域的AAA认证方案
步骤3:单击<应用>按钮,弹出配置进度对话框,如下图所示。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图2-20 配置进度对话框
(7) 配置ISP域的AAA授权方案。
步骤1:单击“授权”页签,进入AAA授权方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Default授权”前的复选框,选择授权方式为“RADIUS”。
· 选择授权方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图2-21 配置ISP域的AAA授权方案
(8) 配置ISP域的AAA计费方案。
步骤1:单击“计费”页签,进入AAA计费方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Default计费”前的复选框,选择计费方式为“RADIUS”。
· 选择计费方案名称为“system”。
步骤3:单击<应用>按钮完成操作,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图2-22 配置ISP域的AAA计费方案
如下图所示,主机Host通过802.1X认证接入网络,认证服务器为RADIUS服务器(使用CAMS/iMC服务器)。Internet网络中有一台FTP服务器,IP地址为10.0.0.1。
· 在认证服务器上配置授权下发ACL 3000。
· 在Switch的GigabitEthernet1/0/1上开启802.1X认证,并配置ACL 3000。
当用户认证成功上线,认证服务器下发ACL 3000。此时ACL 3000在GigabitEthernet1/0/1上生效,Host可以访问Internet,但不能访问FTP服务器。
图2-23 下发ACL配置组网图
(1) 配置各接口的IP地址。(略)
(2) 配置RADIUS方案system。
步骤1:在导航栏中选择“认证 > RADIUS”,进入RADIUS的配置页面。
步骤2:单击<新建>按钮,进入新建RADIUS方案的配置页面。
步骤3:进行如下配置,如下图所示。
· 输入方案名称为“system”。
· 选择服务类型为“Extended”。
· 选择用户名格式为“不带域名”。
步骤4:在“RADIUS服务器配置”中单击<添加>按钮,弹出添加RADIUS服务器的配置页面。
步骤5:在弹出的页面上进行如下配置,如下图所示。
· 选择服务器类型为“主认证服务器”。
· 输入IP地址为“10.1.1.1”。
· 输入端口为“1812”。
· 输入密钥为“expert”。
· 输入确认密钥为“expert”。
步骤6:单击<确定>按钮,关闭弹出的页面,完成主认证服务器的配置。
图2-24 配置RADIUS认证服务器
步骤7:在“RADIUS服务器配置”中单击<添加>按钮,弹出添加RADIUS服务器的配置页面。
步骤8:在弹出的页面上进行如下配置,如下图所示。
· 选择服务器类型为“主计费服务器”。
· 输入IP地址为“10.1.1.2”。
· 输入端口为“1813”。
· 输入密钥为“expert”。
· 输入确认密钥为“expert”。
步骤9:单击<确定>按钮,关闭弹出的页面,完成主计费服务器的配置。
图2-25 配置RADIUS计费服务器
步骤10:完成上述配置后,新建RADIUS方案的配置页面如下图所示,单击<确定>按钮完成操作。
图2-26 新建RADIUS方案system
(3) 创建ISP域。
步骤1:在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面。
步骤2:进行如下配置,如下图所示。
· 输入域名为“test”。
· 选择缺省域为“Enable”。
步骤3:单击<应用>按钮完成操作。
图2-27 创建ISP域
(4) 配置ISP域的AAA认证方案。
步骤1:单击“认证”页签,进入AAA认证方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Default认证”前的复选框,选择认证方式为“RADIUS”。
· 选择认证方案名称为“system”。
图2-28 配置ISP域的AAA认证方案
步骤3:单击<应用>按钮,弹出配置进度对话框,如下图所示。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图2-29 配置进度对话框
(5) 配置ISP域的AAA授权方案。
步骤1:单击“授权”页签,进入AAA授权方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Default授权”前的复选框,选择授权方式为“RADIUS”。
· 选择授权方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图2-30 配置ISP域的AAA授权方案
(6) 配置ISP域的AAA计费方案,并配置用户计费可选。
步骤1:单击“计费”页签,进入AAA计费方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“计费可选开关”前的复选框,选择“Enable”。
· 选中“Default计费”前的复选框,选择计费方式为“RADIUS”。
· 选择计费方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图2-31 配置ISP域的AAA计费方案
(7) 新建ACL 3000。
步骤1:在导航栏中选择“QoS > ACL IPv4”。
步骤2:单击“新建”页签,进入新建ACL的配置页面。
步骤3:输入访问控制列表ID为“3000”,如下图所示。
步骤4:单击<应用>按钮完成操作。
图2-32 新建ACL 3000
(8) 配置ACL规则,拒绝目的IP地址为10.0.0.1的报文通过。
步骤1:单击“高级配置”页签,进入ACL的高级配置页面。
步骤2:进行如下配置,如下图所示。
· 选择访问控制列表为“3000”。
· 选中“规则ID”前的复选框,输入规则ID为“0”。
· 选择操作为“禁止”。
· 选中“目的IP地址”前的复选框,输入目的IP地址为“10.0.0.1”。
· 输入目的地址通配符为“0.0.0.0”。
步骤3:单击<新建>按钮完成操作。
图2-33 配置ACL规则
(9) 配置全局的802.1X特性。
步骤1:在导航栏中选择“认证 > 802.1X”,进入802.1X的配置页面。
步骤2:进行如下配置,如下图所示。
· 选中“启用802.1X认证”前的复选框。
· 选择认证方法“CHAP”。
步骤3:单击<确定>按钮完成操作。
图2-34 配置全局的802.1x特性
(10) 开启端口GigabitEthernet1/0/1的802.1X特性。
步骤1:在“802.1X认证启用端口”中单击<新建>按钮,进入新启用802.1X认证的配置页面。
步骤2:选择端口为“GigabitEthernet1/0/1”,如下图所示。
步骤3:单击<确定>按钮完成操作。
图2-35 配置端口GigabitEthernet1/0/1的802.1X特性
当用户认证成功上线后,通过Ping操作可以验证认证服务器下发的ACL 3000是否生效。
步骤1:在导航栏中选择“网络 > 诊断工具”,默认进入“Ping”页签的页面。
步骤2:输入目的IP地址为“10.0.0.1”。
步骤3:单击<开始>按钮,执行Ping操作。
在概要信息栏中看到如下图所示的信息。
图2-36 Ping操作结果
端口安全是一种基于MAC地址对网络接入进行控制的安全机制,是对已有的802.1X认证和MAC地址认证的扩充。这种机制通过检测端口收到的数据帧中的源MAC地址来控制非授权设备对网络的访问,通过检测从端口发出的数据帧中的目的MAC地址来控制对非授权设备的访问。
端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源MAC地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时,系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高了系统的安全性。这里的非法报文是指:
· 禁止MAC地址学习时,收到的源MAC地址为未知MAC的报文。
· 端口学习到的MAC地址达到端口所允许的最大MAC地址数后,收到的源MAC地址为未知MAC的报文。
· 未通过认证的用户发送的报文。
由于端口安全特性通过多种安全模式提供了802.1X和MAC地址认证的扩展和组合应用,因此在需要灵活使用以上两种认证方式的组网环境下,推荐使用端口安全特性,而在仅需要802.1X、MAC地址认证特性来完成接入控制的组网环境下,推荐单独使用以上两个特性,配置过程简洁明了。关于802.1X、MAC地址认证特性的详细介绍和具体配置请参见“802.1X”、“MAC认证”。
出方向报文控制特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据。该功能暂不支持。
报文入侵控制特性指通过检测从端口收到的数据帧的源MAC地址,对接收非法报文的端口采取相应的安全策略,包括暂时关闭端口、永久关闭端口或阻塞MAC地址(默认3分钟,不可配),以保证端口的安全性。
Trap特性是指当端口有特定的数据包(由非法入侵,用户上下线等原因引起)传送时,设备将会发送Trap信息,便于网络管理员对这些特殊的行为进行监控。
端口安全包括基本控制和高级控制两种模式:
· 基本控制模式:此模式下,端口通过配置或学习到的安全MAC地址被保存在安全MAC地址表项中。当端口下的安全MAC地址数超过端口允许学习的最大安全MAC地址数后,禁止端口学习MAC地址,只有源MAC地址为安全MAC地址、已配置的静态MAC地址的报文,才能通过该端口。此模式下,禁止学习动态MAC地址。
· 高级控制模式:此模式包括多种安全模式,具体描述如下表所示。
高级控制模式类型 |
描述 |
MAC-Auth |
对接入用户采用MAC地址认证 此模式下,端口允许多个用户接入 |
802.1X Port Based |
对接入用户采用基于端口的802.1X认证 此模式下,端口下的第一个802.1X用户认证成功后,其他用户无须认证就可接入 需要注意的是,此模式下出方向报文控制特性和报文入侵控制特性不会被触发 |
802.1X Single Host |
对接入用户采用基于MAC的802.1X认证 此模式下,端口最多只允许一个802.1X认证用户接入 |
802.1X MAC Based |
对接入用户采用基于MAC的802.1X认证, 此模式下,端口允许多个802.1X认证用户接入 |
802.1X MAC Based Or OUI |
与802.1X Single Host模式类似,端口最多只允许一个802.1X认证用户接入 · 在用户接入方式为有线的情况下,端口还允许一个指定OUI的源MAC地址的报文认证通过 · 在用户接入方式为无线的情况下,端口首先对报文进行OUI检查,OUI检查失败后再进行802.1X认证 |
MAC-Auth Or 802.1X Single Host |
端口同时处于802.1X Single Host模式和MAC-Auth模式,但802.1X认证优先级大于MAC地址认证 · 在用户接入方式为有线的情况下,对于非802.1X报文直接进行MAC地址认证;对于802.1X报文先直接进行802.1X认证 · 在用户接入方式为无线的情况下,报文首先进行802.1X认证,如果802.1X认证失败再进行MAC地址认证 |
MAC-Auth Or 802.1X MAC Based |
与MAC-Auth Or 802.1X Single Host类似,但允许端口下有多个802.1X和MAC地址认证用户 |
MAC-Auth Else 802.1X Single Host |
端口同时处于MAC-Auth模式和802.1X Single Host模式,但MAC地址认证优先级大于802.1X认证 对于非802.1X报文直接进行MAC地址认证;对于802.1X报文先进行MAC地址认证,如果MAC地址认证失败进行802.1X认证 |
MAC-Auth Else 802.1X MAC Based |
与MAC-Auth Else 802.1X Single Host类似,但允许端口下有多个802.1X和MAC地址认证用户 |
· 目前端口安全特性对用户的认证主要有两种方式:MAC地址认证和802.1X认证,不同的安全模式对应不同的认证方式或认证方式组合。
· 当多个用户通过认证时,端口下所允许的最大用户数根据不同的端口安全模式,取最大安全MAC地址数与相应模式下允许认证用户数的最小值。例如,802.1X MAC Based模式下,端口下所允许的最大用户为配置的最大安全MAC地址数与802.1X认证所允许的最大用户数的最小值。
· OUI(Organizationally Unique Identifier)是MAC地址的前24位(二进制),是IEEE(Institute of Electrical and Electronics Engineers,电气和电子工程师学会)为不同设备供应商分配的一个全球唯一的标识符。
· 在配置端口安全之前,需要关闭全局的802.1X和MAC地址认证功能。
· 一个端口只能选择配置基本控制模式和高级控制模式中的一种。已进行了基本控制模式配置的端口,不能再配置为高级控制模式;反之亦然。
· 设备暂不支持出方向报文控制特性。
基本控制模式端口安全配置的推荐步骤如下表所示。
表3-2 基本控制模式的端口安全配置步骤
步骤 |
配置任务 |
说明 |
1 |
必选 在全局启用端口安全功能,并配置高级参数 缺省情况下,全局的端口安全处于关闭状态 |
|
2 |
必选 配置端口采用基本控制模式和端口的最大安全MAC数、报文入侵控制 缺省情况下,端口的安全功能关闭,端口处于无限制状态 |
|
3 |
可选 安全MAC地址是一种特殊的MAC地址,不会被老化,保存后重启设备,不会丢失。在同一个VLAN内,一个安全MAC地址只能被添加到一个端口上,利用该特点,可以实现同一VLAN内MAC地址与端口的绑定 安全MAC地址可以由使能端口安全基本控制功能的端口自动学习,也可以通过Web手动配置 当端口下的安全MAC地址数目超过端口允许学习的最大安全MAC地址数后,该端口不会再添加新的安全MAC地址,仅接收并允许数据帧中的源MAC地址为安全MAC地址的报文访问网络设备 缺省情况下,没有配置安全MAC地址 |
高级控制模式端口安全配置的推荐步骤如下表所示。
步骤 |
配置任务 |
说明 |
1 |
必选 在全局启用端口安全功能,并配置高级参数 缺省情况下,全局的端口安全处于关闭状态 |
|
2 |
必选 配置端口的高级控制模式和报文入侵控制、忽略授权信息特性 缺省情况下,端口的安全功能关闭,端口处于无限制状态 |
|
3 |
可选 授权OUI只对安全模式配置为802.1X MAC Based Or OUI的端口有效。在端口安全模式为802.1X MAC Based Or OUI时,端口除了可以允许一个802.1x的接入用户通过认证之外,还可以允许一个指定OUI值的源MAC地址的用户通过认证 可以配置多个允许通过认证的用户OUI值,最多可以配置16个 缺省情况下,没有配置允许通过认证的用户OUI值 |
(1) 在导航栏中选择“认证 > 端口安全”,进入如下图所示的页面。
(2) “端口安全设置”中可以显示和配置全局端口安全功能的启用状态。单击“高级设置”前的扩展按钮可以显示和配置全局端口安全的高级参数信息,如下图所示。
(3) 配置全局端口安全,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表3-4 全局端口安全的详细配置
配置项 |
说明 |
|
启用端口安全 |
设置是否启用全局的端口安全功能 缺省情况下,全局的端口安全处于关闭状态 |
|
高级设置 |
暂时关闭端口时间 |
设置系统暂时关闭端口连接的时间 |
Trap信息发送 |
设置打开指定Trap信息的发送开关 Trap信息发送特性是指当端口有特定的数据包(由非法入侵,用户上下线等原因引起)传送时,设备将会发送Trap信息,便于网络管理员对这些特殊的行为进行监控 Trap信息的发送开关包括: · 学到新安全MAC · 802.1X认证失败 · 802.1X用户下线 · 802.1X用户上线 · 报文入侵 · MAC地址认证失败 · MAC地址认证用户下线 · MAC地址认证用户上线 |
(1) 在导航栏中选择“认证 > 端口安全”,进入如图3-1所示的页面。
(2) “配置端口安全功能和安全MAC表项”中的上半部分显示端口安全功能的信息,如下图所示。
(3) 单击<新建>按钮,进入新启用端口安全功能的配置页面,如下图所示。
(4) 配置端口的安全功能,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
配置项 |
说明 |
端口 |
设置要启用端口安全基本控制的端口 缺省情况下,端口的安全功能关闭,端口处于无限制状态 |
最大安全MAC数 |
设置端口允许的最大安全MAC地址数 端口安全允许某个端口下有多个用户通过认证,但是允许的用户数不能超过规定的最大值。配置最大安全MAC数有两个作用: · 控制能够通过某端口接入网络的最大用户数 · 控制端口安全能够添加的安全MAC地址数 该配置与MAC地址管理中配置的端口最多可以学习到的MAC地址数无关 |
启用报文入侵控制 |
设置启用报文入侵控制特性,并指定对接收非法报文的端口所采取的安全策略 报文入侵控制特性指通过检测从端口收到的数据帧的源MAC地址,对接收非法报文的端口采取相应的安全策略,包括暂时关闭端口、永久关闭端口或阻塞MAC地址(默认3分钟,不可配),以保证端口的安全性 · 暂时关闭端口:表示将收到非法报文的端口暂时关闭一段时间,关闭时长在“3.2.2 配置全局的端口安全”中配置 · 永久关闭端口:表示将收到非法报文的端口永久关闭 · 阻塞MAC地址:表示将非法报文的源MAC地址加入阻塞MAC地址列表中,源MAC地址为阻塞MAC地址的报文将被丢弃。此MAC地址在被阻塞3分钟(系统默认,不可配)后恢复正常 |
启用出方向报文控制 |
设置启用出方向报文控制特性,并指定控制方式 出方向报文控制特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据 出方向报文控制方式包括: · 仅允许已知MAC单播报文:表示仅允许目的MAC地址为已通过认证的MAC地址的单播报文通过 · 仅允许广播和已知MAC单播报文:表示允许目的MAC地址为已通过认证的MAC地址的单播报文或广播地址的报文通过 · 仅允许广播组播和已知MAC单播报文:表示允许目的MAC地址为已通过认证的MAC地址的单播报文,广播地址或组播地址的报文通过 |
(1) 在导航栏中选择“认证 > 端口安全”,进入如图3-1所示的页面。
(2) 在“配置端口安全功能和安全MAC表项”中单击“安全MAC列表”前的扩展按钮,展开如下图所示的页面,显示所有自动学习到的和手动配置的安全MAC地址。
(3) 单击<新建>按钮,进入新建安全MAC表项的配置页面,如下图所示。
(4) 配置安全MAC表项,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
表3-6 安全MAC表项的详细配置
配置项 |
说明 |
端口 |
设置要配置安全MAC表项的端口 |
安全MAC地址 |
设置安全MAC地址 |
VLAN ID |
设置安全MAC地址所属的VLAN 指定的VLAN必须为该端口允许的VLAN |
(1) 在导航栏中选择“认证 > 端口安全”,进入如图3-1所示的页面。
(2) 在“高级控制设置”中单击“高级控制端口”前的扩展按钮,展开如下图所示的页面,显示高级控制端口的信息。
(3) 单击<新建>按钮,进入新启用高级控制端口的配置页面,如下图所示。
图3-8 新启用高级控制端口
(4) 配置高级控制端口,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
配置项 |
说明 |
端口 |
设置要启用端口安全高级控制的端口 缺省情况下,端口的安全功能关闭,端口处于无限制状态 |
安全模式 |
设置端口安全高级控制模式 可选的模式及其具体描述请参见表3-1 |
启用报文入侵控制 |
设置启用报文入侵控制特性,并指定对接收非法报文的端口所采取的安全策略 报文入侵控制特性指通过检测从端口收到的数据帧的源MAC地址,对接收非法报文的端口采取相应的安全策略,包括暂时关闭端口、永久关闭端口或阻塞MAC地址(默认3分钟,不可配),以保证端口的安全性 · 暂时关闭端口:表示将收到非法报文的端口暂时关闭一段时间,关闭时长在“3.2.2 配置全局的端口安全”中配置 · 永久关闭端口:表示将收到非法报文的端口永久关闭 · 阻塞MAC地址:表示将非法报文的源MAC地址加入阻塞MAC地址列表中,源MAC地址为阻塞MAC地址的报文将被丢弃。此MAC地址在被阻塞3分钟(系统默认,不可配)后恢复正常 |
启用出方向报文控制 |
设置启用出方向报文控制特性,并指定控制方式(暂不支持此功能) 出方向报文控制特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据 出方向报文控制方式包括: · 仅允许已知MAC单播报文:表示仅允许目的MAC地址为已通过认证的MAC地址的单播报文通过 · 仅允许广播和已知MAC单播报文:表示允许目的MAC地址为已通过认证的MAC地址的单播报文或广播地址的报文通过 · 仅允许广播组播和已知MAC单播报文:表示允许目的MAC地址为已通过认证的MAC地址的单播报文,广播地址或组播地址的报文通过 |
忽略授权信息 |
设置端口不应用RADIUS服务器下发的授权信息 802.1x用户或MAC地址认证用户在RADIUS服务器上通过认证时,服务器会把授权信息下发给设备端。通过此配置可实现基于端口是否忽略RADIUS服务器下发的授权信息 |
(1) 在导航栏中选择“认证 > 端口安全”,进入如图3-1所示的页面。
(2) 在“高级控制设置”中单击“授权OUI列表”前的扩展按钮,展开如下图所示的页面,显示授权OUI的信息。
(3) 配置授权OUI值。在“OUI值”文本框中输入格式为H-H-H的48位MAC地址。
(4) 单击<添加>按钮完成操作,系统会自动取输入MAC地址的前24位作为OUI值,忽略后24位。
在交换机的端口GigabitEthernet1/0/3上对接入用户做如下的限制:
· 允许3个用户自由接入,不进行认证,将学习到的用户MAC地址添加为安全MAC地址。
· 当安全MAC地址数量达到3后,停止学习;当再有新的MAC地址接入时,触发入侵检测,并将此端口关闭30秒。
图3-10 端口安全基本控制模式配置组网图
步骤1:在导航栏中选择“认证 > 端口安全”,进入端口安全的配置页面。
步骤2:在“端口安全设置”中进行如下配置,如下图所示。
· 选中“启用端口安全”前的复选框。
· 单击“高级设置”前的扩展按钮。
· 输入暂时关闭端口时间为“30”秒。
· 选中Trap信息发送“报文入侵”前的复选框。
步骤3:单击<确定>按钮完成操作。
图3-11 端口安全设置
步骤4:单击“配置端口安全功能和安全MAC表项”中的<新建>按钮,进入对应的配置页面。
步骤5:进行如下配置,如下图所示。
· 选择端口为“GigabitEthernet1/0/3”。
· 输入最大安全MAC数为“3”。
· 选中“启用报文入侵控制”前的复选框,选择控制方式为“暂时关闭端口”。
步骤6:单击<确定>按钮完成操作。
图3-12 新启用端口安全功能
配置完成后,在Web上可以查看学习到的MAC地址。如学习到1个,那么存储的安全MAC地址数就为1,在端口安全页面的“配置端口安全功能和安全MAC表项”中单击“安全MAC列表”前的扩展按钮,查看到如下图所示的信息。
图3-13 安全MAC列表
当学习到的MAC地址数达到3后,再有新的MAC地址到达将触发入侵保护,可以通过在导航栏中选择“设备 > 端口管理”,单击“详情”页签,选中端口GigabitEthernet1/0/3,看到端口安全使此端口不可用,如下图所示。
图3-14 端口管理——端口关闭
30秒后再次选中端口GigabitEthernet1/0/3刷新页面,可以看到端口恢复为可用,如下图所示。
图3-15 端口管理——端口恢复
此时,如手动删除几条安全MAC地址后,可以继续学习MAC地址。
客户端通过端口GigabitEthernet1/0/1连接到交换机上,交换机通过RADIUS服务器对客户端进行身份认证,如果认证成功,客户端被授权允许访问Internet资源。
· IP地址为192.168.1.2的RADIUS服务器作为主认证/主计费服务器。认证共享密钥为name,计费共享密钥为money。
· 所有接入用户都使用ISP域system的缺省认证/授权/计费方案。
· 系统向RADIUS服务器发送的用户名不带域名。
交换机的管理者希望对接入用户的端口GigabitEthernet1/0/1做如下限制:
· 允许一个802.1x用户上线。
· 还允许端口上有一个与OUI值匹配的MAC地址用户通过。
图3-16 端口安全高级控制模式配置组网图
接入用户和RADIUS服务器上的配置略。
(1) 配置RADIUS方案system。
步骤1:在导航栏中选择“认证 > RADIUS”,进入RADIUS的配置页面。
步骤2:单击<新建>按钮,进入新建RADIUS方案的配置页面。
步骤3:进行如下配置。
· 输入方案名称为“system”。
· 选择服务类型为“Extended”。
· 选择用户名格式为“不带域名”。
步骤4:在“RADIUS服务器配置”中单击<添加>按钮,弹出添加RADIUS服务器的配置页面。
步骤5:在弹出的页面上进行如下配置,如下图所示。
· 选择服务器类型为“主认证服务器”。
· 输入IP地址为“192.168.1.2”。
· 输入端口为“1812”。
· 输入密钥为“name”。
· 输入确认密钥为“name”。
步骤6:单击<确定>按钮完成主认证服务器的配置。
图3-17 配置RADIUS认证服务器
步骤7:在“RADIUS服务器配置”中单击<添加>按钮,弹出添加RADIUS服务器的配置页面。
步骤8:在弹出的页面上进行如下配置。
· 选择服务器类型为“主计费服务器”。
· 输入IP地址为“192.168.1.2”。
· 输入端口为“1813”。
· 输入密钥为“money”。
· 输入确认密钥为“money”。
步骤9:单击<确定>按钮完成主计费服务器的配置。
图3-18 配置RADIUS计费服务器
完成上述配置后的新建RADIUS方案的页面如下图所示。
步骤10:单击<确定>按钮完成操作。
图3-19 新建RADIUS方案system
(2) 配置缺省ISP域system的AAA认证方案。
步骤1:在导航栏中选择“认证 > AAA”。
步骤2:单击“认证”页签,进入AAA认证方案的配置页面方案。
步骤3:进行如下配置,如下图所示。
· 选择域名为“system”。
· 选中“Default认证”前的复选框,选择认证方式为“RADIUS”。
· 选择认证方案名称为“system”。
图3-20 配置缺省ISP域system的AAA认证方案
步骤4:单击<应用>按钮,弹出配置进度对话框,如下图所示。
步骤5:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图3-21 配置进度对话框
(3) 配置缺省ISP域system的AAA授权方案。
步骤1:单击“授权”页签,进入AAA授权方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“system”。
· 选中“Default授权”前的复选框,选择授权方式为“RADIUS”。
· 选择授权方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图3-22 配置缺省ISP域system的AAA授权方案
(4) 配置缺省ISP域system的AAA计费方案。
步骤1:单击“计费”页签,进入AAA计费方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“system”。
· 选中“Default计费”前的复选框,选择计费方式为“RADIUS”。
· 选择计费方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图3-23 配置缺省ISP域system的AAA计费方案
(5) 配置全局的端口安全。
步骤1:在导航栏中选择“认证 > 端口安全”,进入端口安全的配置页面。
步骤2:在“端口安全设置”中选中“启用端口安全”前的复选框,如下图所示。
步骤3:单击<确定>按钮完成操作。
图3-24 配置全局的端口安全
(6) 配置端口GigabitEthernet1/0/1的高级控制功能。
步骤1:在“高级控制设置”中单击“高级控制端口”前的扩展按钮。
步骤2:单击展开的列表下的<新建>按钮,进入新启用高级控制端口的配置页面。
步骤3:进行如下配置,如下图所示。
· 选择端口为“GigabitEthernet1/0/1”。
· 选择安全模式为“802.1X MAC Based Or OUI”。
步骤4:单击<确定>按钮完成操作。
图3-25 配置端口GigabitEthernet1/0/1的高级控制功能
(7) 配置3个授权OUI。
步骤1:在“高级控制设置”中单击“授权OUI列表”前的扩展按钮。
步骤2:输入OUI值为“1234-0100-0000”,如下图所示。
步骤3:单击<添加>按钮完成操作。
图3-26 配置授权OUI
步骤4:在“高级控制设置”中单击“授权OUI列表”前的扩展按钮。
步骤5:输入OUI值为“1234-0200-0000”。
步骤6:单击<添加>按钮完成操作。
步骤7:在“高级控制设置”中单击“授权OUI列表”前的扩展按钮。
步骤8:输入OUI值为“1234-0300-0000”。
步骤9:单击<添加>按钮完成操作。
AAA是Authentication、Authorization、Accounting(认证、授权、计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。
AAA一般采用客户机/服务器结构,客户端运行于NAS(Network Access Server,网络接入服务器)上,服务器上则集中管理用户信息。NAS对于用户来讲是服务器端,对于服务器来说是客户端。AAA的基本组网结构如下图所示。
图4-1 AAA基本组网结构示意图
当用户想要通过某网络与NAS建立连接,从而获得访问其它网络的权利或取得某些网络资源的权利时,NAS起到了验证用户或对应连接的作用。NAS负责把用户的认证、授权、计费信息透传给服务器(如RADIUS服务器),RADIUS协议规定了NAS与服务器之间如何传递用户信息。
上图的AAA基本组网结构中有两台服务器,用户可以根据实际组网需求来决定认证、授权、计费功能分别由哪台服务器来承担。例如,可以选择RADIUS server 1实现认证和授权,RADIUS server 2实现计费。
这三种安全服务功能的具体作用如下:
· 认证:确认远端访问用户的身份,判断访问者是否为合法的网络用户;
· 授权:对不同用户赋予不同的权限,限制用户可以使用的服务。例如用户成功登录服务器后,管理员可以授权用户对服务器中的文件进行访问和打印操作;
· 计费:记录用户使用网络服务中的所有操作,包括使用的服务类型、起始时间、数据流量等,它不仅是一种计费手段,也对网络安全起到了监视作用。
当然,用户可以只使用AAA提供的一种或两种安全服务。例如,公司仅仅想让员工在访问某些特定资源的时候进行身份认证,那么网络管理员只要配置认证服务器就可以了。但是若希望对员工使用网络的情况进行记录,那么还需要配置计费服务器。
如上所述,AAA是一种管理框架,它提供了授权部分实体去访问特定资源,同时可以记录这些实体操作行为的一种安全机制,因其具有良好的可扩展性,并且容易实现用户信息的集中管理而被广泛使用。
AAA可以通过多种协议来实现,目前设备支持基于RADIUS协议来实现AAA,在实际应用中,RADIUS协议也是最常使用的。RADIUS的详细介绍请参见“RADIUS”。
一个ISP(Internet Service Provider,互联网服务提供商)域是由属于同一个ISP的用户构成的群体。
在“userid@isp-name”形式的用户名中,“userid”为用于身份认证的用户名,“isp-name”为域名。
在多ISP的应用环境中,不同ISP域的用户有可能接入同一台设备。而且各ISP用户的用户属性(例如用户名及密码构成、服务类型/权限等)有可能不相同,因此有必要通过设置ISP域把它们区分开,并为每个ISP域单独配置包括AAA策略(一组不同的认证/授权/计费方案)在内的属性集。
对于设备来说,每个接入用户都属于一个ISP域。如果某个用户在登录时没有提供ISP域名,系统将把它归于缺省的ISP域。
· 进行本地认证时,需要配置本地用户,具体配置请参见“用户”。
· 进行远端认证、授权或计费时,需要配置RADIUS方案,通过引用已配置的RADIUS方案来实现认证、授权、计费。有关RADIUS方案的配置请参见“RADIUS”。
AAA配置的推荐步骤如下表所示。
表4-1 AAA配置步骤
步骤 |
配置任务 |
说明 |
|
1 |
可选 配置ISP域,并指定其中一个为缺省ISP域 缺省情况下,系统存在名为system的缺省ISP域 |
||
2 |
可选 配置对ISP域中不同类型的用户所使用的认证方法 缺省情况下,所有类型的用户采用Local认证方法 |
AAA将用户类型分为:LAN-access用户(如802.1X认证、MAC地址认证用户)、Login用户(如SSH、Telnet、FTP、终端接入用户) |
|
3 |
可选 配置对ISP域中不同类型的用户所使用的授权方法 缺省情况下,所有类型的用户采用Local授权方法 |
||
4 |
必选 配置对ISP域中不同类型的用户所使用的计费方法 缺省情况下,所有类型的用户采用Local计费方法 |
(1) 在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面,如下图所示。
(2) 配置ISP域,详细配置如下表所示。
(3) 单击<应用>按钮完成操作。
表4-2 ISP域的详细配置
配置项 |
说明 |
域名 |
设置ISP域的名称,用于标识域 可以输入新的域名来创建域,也可以选择已有域来配置其是否为缺省域 |
缺省域 |
设置该ISP域是否为缺省域 · Enable:设置为缺省域 · Disable:设置为非缺省域 同时只能存在一个缺省域,当某个域被设置为缺省域时,原来的缺省域自动被设置为非缺省域 |
(1) 在导航栏中选择“认证 > AAA”。
(2) 单击“认证”页签,进入如下图所示的页面。
(3) 配置ISP域AAA认证方法,详细配置如下表所示。
(4) 单击<应用>按钮完成操作。
表4-3 ISP域AAA认证方法的详细配置
配置项 |
说明 |
选择一个域名 |
设置要配置的ISP域 |
Default认证 |
设置所有类型用户的缺省认证方法和备选方法 · HWTACACS:HWTACACS认证,此时需要设置具体选用的HWTACACS方案 · Local:本地认证 · None:不认证,即对用户非常信任,不进行合法性检查,一般情况下不采用此方法 · RADIUS:RADIUS认证,此时需要设置具体选用的RADIUS方案 · Not Set:不设置Default认证,即恢复缺省情况(本地认证) |
方案名称 |
|
备选方法 |
|
LAN-access认证 |
设置LAN-access用户的认证方法和备选方法 · Local:本地认证 · None:不认证,即对用户非常信任,不进行合法性检查,一般情况下不采用此方法 · RADIUS:RADIUS认证,此时需要设置具体选用的RADIUS方案 · Not Set:不设置LAN-access认证,此时缺省使用Default认证的配置 |
方案名称 |
|
备选方法 |
|
Login认证 |
设置Login用户的认证方法和备选方法 · HWTACACS:HWTACACS认证,此时需要设置具体选用的HWTACACS方案 · Local:本地认证 · None:不认证,即对用户非常信任,不进行合法性检查,一般情况下不采用此方法 · RADIUS:RADIUS认证,此时需要设置具体选用的RADIUS方案 · Not Set:不设置Login认证,此时缺省使用Default认证的配置 |
方案名称 |
|
备选方法 |
(1) 在导航栏中选择“认证 > AAA”。
(2) 单击“授权”页签,进入如下图所示的页面。
(3) 配置ISP域AAA授权方法,详细配置如下表所示。
(4) 单击<应用>按钮完成操作。
表4-4 ISP域AAA授权方法的详细配置
配置项 |
说明 |
选择一个域名 |
设置要配置的ISP域 |
Default授权 |
设置所有类型用户的缺省授权方法和备选方法 · HWTACACS:HWTACACS授权,此时需要设置具体选用的HWTACACS方案 · Local:本地授权 · None:直接授权,即对用户非常信任,直接授权通过,此时用户权限为系统默认权限 · RADIUS:RADIUS授权,此时需要设置具体选用的RADIUS方案 · Not Set:不设置Default授权,即恢复缺省情况(本地授权) |
方案名称 |
|
备选方法 |
|
LAN-access授权 |
设置LAN-access用户的授权方法和备选方法 · Local:本地授权 · None:直接授权,即对用户非常信任,直接授权通过,此时用户权限为系统默认权限 · RADIUS:RADIUS授权,此时需要设置具体选用的RADIUS方案 · Not Set:不设置LAN-access授权,此时缺省使用Default授权的配置 |
方案名称 |
|
备选方法 |
|
Login授权 |
设置Login用户的授权方法和备选方法 · HWTACACS:HWTACACS授权,此时需要设置具体选用的HWTACACS方案 · Local:本地授权 · None:直接授权,即对用户非常信任,直接授权通过,此时用户权限为系统默认权限 · RADIUS:RADIUS授权,此时需要设置具体选用的RADIUS方案 · Not Set:不设置Login授权,此时缺省使用Default授权的配置 |
方案名称 |
|
备选方法 |
(1) 在导航栏中选择“认证 > AAA”。
(2) 单击“计费”页签,进入如下图所示的页面。
(3) 配置ISP域AAA计费方法,详细配置如下表所示。
(4) 单击<应用>按钮完成操作。
表4-5 ISP域AAA计费方法的详细配置
配置项 |
说明 |
选择一个域名 |
设置要配置的ISP域 |
计费可选开关 |
设置是否开启计费可选功能 · 对上线用户计费时,如果发现没有可用的计费服务器或与计费服务器通信失败时,若开启计费可选功能,则用户可以继续使用网络资源,否则用户连接将被切断 · 对于计费过程失败但因计费可选功能上线的用户,系统不再对其发送实时计费更新报文 |
Default计费 |
设置所有类型用户的缺省计费方法和备选方法 · HWTACACS:HWTACACS计费,此时需要设置具体选用的HWTACACS方案 · Local:本地计费 · None:不计费 · RADIUS:RADIUS计费,此时需要设置具体选用的RADIUS方案 · Not Set:不设置Default计费,即恢复缺省情况(本地计费) |
方案名称 |
|
备选方法 |
|
LAN-access计费 |
设置LAN-access用户的计费方法和备选方法 · Local:本地计费 · None:不计费 · RADIUS:RADIUS计费,此时需要设置具体选用的RADIUS方案 · Not Set:不设置LAN-access计费,此时缺省使用Default计费的配置 |
方案名称 |
|
备选方法 |
|
Login计费 |
设置Login用户的计费方法和备选方法 · HWTACACS:HWTACACS计费,此时需要设置具体选用的HWTACACS方案 · Local:本地计费 · None:不计费 · RADIUS:RADIUS计费,此时需要设置具体选用的RADIUS方案 · Not Set:不设置Login计费,此时缺省使用Default计费的配置 |
方案名称 |
|
备选方法 |
如下图所示,配置Switch实现对登录Switch的Telnet用户进行本地认证、授权和计费。
图4-6 AAA配置组网图
开启Telnet服务器功能,并配置Telnet用户登录采用AAA认证方式。具体配置略。
(1) 配置各接口的IP地址。(略)
(2) 配置本地用户。
步骤1:在导航栏中选择“设备 > 用户管理”。
步骤2:单击“创建用户”页签,进入创建用户的配置页面。
步骤3:进行如下配置,如下图所示。
· 输入用户名为“telnet”。
· 选择访问等级为“Management”。
· 输入密码为“abcd”。
· 输入确认密码为“abcd”。
· 选中密码方式为“不可逆”。
· 选中服务类型“Telnet服务”前的复选框。
步骤4:单击<应用>按钮完成操作。
(3) 配置ISP域test。
步骤1:在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面。
步骤2:输入域名为“test”,如下图所示。
步骤3:单击<应用>按钮完成操作。
图4-8 配置ISP域test
(4) 配置ISP域的AAA方案为本地认证。
步骤1:在导航栏中选择“认证 > AAA”。
步骤2:单击“认证”页签,进入AAA认证方案的配置页面。
步骤3:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Login认证”前的复选框,选择认证方法为“Local”。
图4-9 配置ISP域的AAA方案为本地认证
步骤4:单击<应用>按钮,弹出配置进度对话框,如下图所示。
步骤5:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(5) 配置ISP域的AAA方案为本地授权。
步骤1:在导航栏中选择“认证 > AAA”。
步骤2:单击“授权”页签,进入AAA授权方案的配置页面。
步骤3:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Login授权”前的复选框,选择授权方法为“Local”。
步骤4:单击<应用>按钮,弹出配置进度对话框。
步骤5:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图4-11 配置ISP域的AAA方案为本地授权
(6) 配置ISP域的AAA方案为本地计费。
步骤1:在导航栏中选择“认证 > AAA”。
步骤2:单击“计费”页签,进入AAA计费方案的配置页面。
步骤3:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Login计费”前的复选框,选择计费方法为“Local”。
步骤4:单击<应用>按钮,弹出配置进度对话框。
步骤5:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图4-12 配置ISP域的AAA方案为本地计费
使用Telnet登陆时输入用户名为telnet@test,以使用test域进行认证。
RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是实现AAA(Authentication, Authorization and Accounting,认证、授权和计费)的一种最常用的协议。AAA的详细介绍请参见“AAA”。
RADIUS是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了RADIUS的报文格式及其消息传输机制,并规定使用UDP作为封装RADIUS报文的传输层协议(UDP端口1812、1813分别作为认证、计费端口)。
RADIUS最初仅是针对拨号用户的AAA协议,后来随着用户接入方式的多样化发展,RADIUS也适应多种用户接入方式,如以太网接入、ADSL接入。它通过认证授权来提供接入服务,通过计费来收集、记录用户对网络资源的使用。
· 客户端:RADIUS客户端一般位于NAS设备上,可以遍布整个网络,负责传输用户信息到指定的RADIUS服务器,然后根据从服务器返回的信息进行相应处理(如接受/拒绝用户接入)。
· 服务器:RADIUS服务器一般运行在中心计算机或工作站上,维护相关的用户认证和网络服务访问信息,负责接收用户连接请求并认证用户,然后给客户端返回所有需要的信息(如接受/拒绝认证请求)。
RADIUS服务器通常要维护三个数据库,如下图所示。
图5-1 RADIUS服务器的组成
· “Users”:用于存储用户信息(如用户名、口令以及使用的协议、IP地址等配置信息)。
· “Clients”:用于存储RADIUS客户端的信息(如接入设备的共享密钥、IP地址等)。
· “Dictionary”:用于存储RADIUS协议中的属性和属性值含义的信息。
RADIUS客户端和RADIUS服务器之间认证消息的交互是通过共享密钥的参与来完成的,并且共享密钥不能通过网络来传输,增强了信息交互的安全性。另外,为防止用户密码在不安全的网络上传递时被窃取,在传输过程中对密码进行了加密。
RADIUS服务器支持多种方法来认证用户,如基于PPP的PAP、CHAP认证。另外,RADIUS服务器还可以作为一个代理,以RADIUS客户端的身份与其它的RADIUS认证服务器进行通信,负责转发RADIUS认证和计费报文。
用户、RADIUS客户端和RADIUS服务器之间的交互流程如下图所示。
图5-2 RADIUS的基本消息交互流程
消息交互流程如下:
(1) 用户发起连接请求,向RADIUS客户端发送用户名和密码。
(2) RADIUS客户端根据获取的用户名和密码,向RADIUS服务器发送认证请求包(Access-Request),其中的密码在共享密钥的参与下由MD5算法进行加密处理。
(3) RADIUS服务器对用户名和密码进行认证。如果认证成功,RADIUS服务器向RADIUS客户端发送认证接受包(Access-Accept);如果认证失败,则返回认证拒绝包(Access-Reject)。由于RADIUS协议合并了认证和授权的过程,因此认证接受包中也包含了用户的授权信息。
(4) RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入,则RADIUS客户端向RADIUS服务器发送计费开始请求包(Accounting-Request)。
(5) RADIUS服务器返回计费开始响应包(Accounting-Response),并开始计费。
(6) 用户开始访问网络资源。
(7) 用户请求断开连接,RADIUS客户端向RADIUS服务器发送计费停止请求包(Accounting-Request)。
(8) RADIUS服务器返回计费结束响应包(Accounting-Response),并停止计费。
(9) 用户结束访问网络资源。
RADIUS采用UDP报文来传输消息,通过定时器管理机制、重传机制、备用服务器机制,确保RADIUS服务器和客户端之间交互消息的正确收发。RADIUS报文结构如下图所示。
图5-3 RADIUS报文结构
各字段的解释如下:
(1) Code域
长度为1个字节,用于说明RADIUS报文的类型,如下表所示。
表5-1 Code域的主要取值说明
Code |
报文类型 |
报文说明 |
1 |
Access-Request认证请求包 |
方向Client->Server,Client将用户信息传输到Server,由Server判断是否接入该用户。该报文中必须包含User-Name属性,可选包含NAS-IP-Address、User-Password、NAS-Port等属性 |
2 |
Access-Accept认证接受包 |
方向Server->Client,如果Access-Request报文中的所有Attribute值都可以接受(即认证通过),则传输该类型报文 |
3 |
Access-Reject认证拒绝包 |
方向Server->Client,如果Access-Request报文中存在任何无法被接受的Attribute值(即认证失败),则传输该类型报文 |
4 |
Accounting-Request计费请求包 |
方向Client->Server,Client将用户信息传输到Server,请求Server开始/停止计费,由该报文中的Acct-Status-Type属性区分计费开始请求和计费结束请求 |
5 |
Accounting-Response计费响应包 |
方向Server->Client,Server通知Client已经收到Accounting-Request报文,并且已经正确记录计费信息 |
(2) Identifier域
长度为1个字节,用于匹配请求包和响应包,以及检测在一段时间内重发的请求包。类型一致的请求包和响应包的Identifier值相同。
(3) Length域
长度为2个字节,表示RADIUS数据包(包括Code、Identifier、Length、Authenticator和Attribute)的长度,范围从20~4096。超过Length域的字节将作为填充字符被忽略。如果接收到的包的实际长度小于Length域的值时,则包会被丢弃。
(4) Authenticator域
长度为16个字节,用于验证RADIUS服务器的应答,另外还用于用户密码的加密。Authenticator包括两种类型:Request Authenticator和Response Authenticator。
(5) Attribute域
不定长度,用于携带专门的认证、授权和计费信息,提供请求和响应报文的配置细节。Attribute可包括多个属性,每一个属性都采用(Type、Length、Value)三元组的结构来表示。
· 类型(Type),1个字节,取值为1~255,用于表示属性的类型,下表列出了RADIUS认证、授权、计费常用的属性。
· 长度(Length),表示该属性(包括类型、长度和属性)的长度,单位为字节。
· 属性值(Value),表示该属性的信息,其格式和内容由类型和长度决定,最大长度为253字节。
属性编号 |
属性名称 |
属性编号 |
属性名称 |
1 |
User-Name |
45 |
Acct-Authentic |
2 |
User-Password |
46 |
Acct-Session-Time |
3 |
CHAP-Password |
47 |
Acct-Input-Packets |
4 |
NAS-IP-Address |
48 |
Acct-Output-Packets |
5 |
NAS-Port |
49 |
Acct-Terminate-Cause |
6 |
Service-Type |
50 |
Acct-Multi-Session-Id |
7 |
Framed-Protocol |
51 |
Acct-Link-Count |
8 |
Framed-IP-Address |
52 |
Acct-Input-Gigawords |
9 |
Framed-IP-Netmask |
53 |
Acct-Output-Gigawords |
10 |
Framed-Routing |
54 |
(unassigned) |
11 |
Filter-ID |
55 |
Event-Timestamp |
12 |
Framed-MTU |
56-59 |
(unassigned) |
13 |
Framed-Compression |
60 |
CHAP-Challenge |
14 |
Login-IP-Host |
61 |
NAS-Port-Type |
15 |
Login-Service |
62 |
Port-Limit |
16 |
Login-TCP-Port |
63 |
Login-LAT-Port |
17 |
(unassigned) |
64 |
Tunnel-Type |
18 |
Reply_Message |
65 |
Tunnel-Medium-Type |
19 |
Callback-Number |
66 |
Tunnel-Client-Endpoint |
20 |
Callback-ID |
67 |
Tunnel-Server-Endpoint |
21 |
(unassigned) |
68 |
Acct-Tunnel-Connection |
22 |
Framed-Route |
69 |
Tunnel-Password |
23 |
Framed-IPX-Network |
70 |
ARAP-Password |
24 |
State |
71 |
ARAP-Features |
25 |
Class |
72 |
ARAP-Zone-Access |
26 |
Vendor-Specific |
73 |
ARAP-Security |
27 |
Session-Timeout |
74 |
ARAP-Security-Data |
28 |
Idle-Timeout |
75 |
Password-Retry |
29 |
Termination-Action |
76 |
Prompt |
30 |
Called-Station-Id |
77 |
Connect-Info |
31 |
Calling-Station-Id |
78 |
Configuration-Token |
32 |
NAS-Identifier |
79 |
EAP-Message |
33 |
Proxy-State |
80 |
Message-Authenticator |
34 |
Login-LAT-Service |
81 |
Tunnel-Private-Group-id |
35 |
Login-LAT-Node |
82 |
Tunnel-Assignment-id |
36 |
Login-LAT-Group |
83 |
Tunnel-Preference |
37 |
Framed-AppleTalk-Link |
84 |
ARAP-Challenge-Response |
38 |
Framed-AppleTalk-Network |
85 |
Acct-Interim-Interval |
39 |
Framed-AppleTalk-Zone |
86 |
Acct-Tunnel-Packets-Lost |
40 |
Acct-Status-Type |
87 |
NAS-Port-Id |
41 |
Acct-Delay-Time |
88 |
Framed-Pool |
42 |
Acct-Input-Octets |
89 |
(unassigned) |
43 |
Acct-Output-Octets |
90 |
Tunnel-Client-Auth-id |
44 |
Acct-Session-Id |
91 |
Tunnel-Server-Auth-id |
上表中所列的属性由RFC 2865、RFC 2866、RFC2867和RFC2568分别定义。
RADIUS协议具有良好的可扩展性,协议(RFC 2865)中定义的26号属性(Vendor-Specific)用于设备厂商对RADIUS进行扩展,以实现标准RADIUS没有定义的功能。
设备厂商可以封装多个自定义的“(Type、Length、Value)”子属性来扩展RADIUS。如下图所示,26号属性报文内封装的子属性包括以下四个部分:
· Vendor-ID,表示厂商代号,最高字节为0,其余3字节的编码见RFC 1700。
· Vendor-Type,表示子属性类型。
· Vendor-Length,表示该子属性长度。
· Vendor-Data,表示该子属性的内容。
与RADIUS相关的协议规范有:
· RFC 2865:Remote Authentication Dial In User Service (RADIUS)
· RFC 2866:RADIUS Accounting
· RFC 2867:RADIUS Accounting Modifications for Tunnel Protocol Support
· RFC 2868:RADIUS Attributes for Tunnel Protocol Support
· RFC 2869:RADIUS Extensions
RADIUS方案中定义了设备和RADIUS服务器之间进行信息交互所必须的一些参数。当创建一个新的RADIUS方案之后,需要对属于此方案的RADIUS服务器的IP地址、UDP端口号和报文共享密钥进行设置,这些服务器包括认证和计费服务器,而每种服务器又有主服务器和备份服务器的区别。每个RADIUS方案的属性包括:主服务器的IP地址、备份服务器的IP地址、共享密钥以及RADIUS服务器类型等。缺省情况下,不存在任何RADIUS方案。
(1) 在导航栏中选择“认证 > RADIUS”,进入如下图所示的页面。
(2) 单击<新建>按钮,进入新建RADIUS方案的配置页面,如下图所示。
(3) 配置RADIUS方案,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表5-3 RADIUS方案的详细配置
配置项 |
说明 |
方案名称 |
设置RADIUS方案的名称 |
通用配置 |
设置RADIUS方案的通用参数,包括服务类型、用户名格式、认证/计费服务器共享密钥等,详细配置请参见“5.2 1. 通用配置” |
RADIUS服务器配置 |
设置RADIUS认证服务器和计费服务器信息,详细配置请参见“5.2 2. RADIUS服务器配置” |
(1) 单击“高级”前的扩展按钮,可以展开通用参数中的高级配置,如下图所示。
(2) 配置通用参数,详细配置如下表所示。
配置项 |
说明 |
服务类型 |
设置设备支持的RADIUS服务器类型: · Standard:指定Standard类型的RADIUS服务器,即要求RADIUS客户端和RADIUS服务器按照标准RADIUS协议(RFC 2865/2866或更新)的规程和报文格式进行交互 · Extended:指定Extended类型的RADIUS服务器(一般为CAMS/iMC),即要求RADIUS客户端和RADIUS服务器按照私有RADIUS协议的规程和报文格式进行交互 |
用户名格式 |
设置发送给RADIUS服务器的用户名格式 接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为域名,如果RADIUS服务器不接受带域名的用户名时,可以配置将用户名的域名去除后再传送给RADIUS服务器 · 保持用户原始输入:表示发送给RADIUS服务器的用户名保持用户原始的输入,不做任何修改 · 带域名:表示发送给RADIUS服务器的用户名带域名 · 不带域名:表示发送给RADIUS服务器的用户名不带域名 |
认证服务器共享密钥 |
设置RADIUS认证报文的共享密钥和RADIUS计费报文的共享密钥 RADIUS客户端与RADIUS服务器使用MD5算法来加密RADIUS报文,双方通过设置共享密钥来验证报文的合法性。只有在密钥一致的情况下,彼此才能接收对方发来的报文并作出响应 · 必须保证设备上设置的共享密钥与RADIUS服务器上的完全一致 · 设备优先采用“RADIUS服务器配置”中指定的共享密钥,此处指定的共享密钥仅在“RADIUS服务器配置”中未指定相应共享密钥的情况下使用 |
确认认证服务器共享密钥 |
|
计费服务器共享密钥 |
|
确认计费服务器共享密钥 |
|
静默时间间隔 |
设置RADIUS服务器恢复激活状态的时间 当静默时间间隔设置为0时,若当前用户使用的认证或计费服务器不可达,则设备并不会切换它的状态,而是保持其为active,并且将使用该服务器的用户认证或计费的报文发送给下一个状态为active的服务器,而后续其它用户的认证请求报文仍然可以发送给该服务器进行处理 若判断主服务器不可达是网络端口短暂中断或者服务器忙碌造成的,则可以结合网络的实际运行状况,将静默时间间隔设置为0,使得用户尽可能的集中在主服务器上进行认证和计费 |
服务器应答超时时间 |
设置RADIUS服务器应答超时时间,以及发送RADIUS报文的最大尝试次数 由于RADIUS协议采用UDP报文来承载数据,因此其通信过程是不可靠的。如果在指定的服务器应答超时时间没有收到服务器的响应,则设备有必要向RADIUS服务器重传RADIUS请求报文。如果发送RADIUS请求报文的累计次数超过指定的最大尝试发送次数而RADIUS服务器仍旧没有响应,则设备将尝试与其它服务器通信。如果不存在状态为active的服务器,则认为本次认证或计费失败 服务器应答超时时间和RADIUS报文最大尝试发送次数的乘积不能大于75 |
RADIUS报文最大尝试发送次数 |
|
实时计费间隔 |
设置实时计费的时间间隔,取值必须为3的整数倍 为了对用户实施实时计费,有必要设置实时计费的时间间隔。设置了该属性以后,每隔设定的时间,设备会向RADIUS服务器发送一次在线用户的计费信息 实时计费间隔的取值对NAS和RADIUS服务器的性能有一定的相关性要求,取值越小,对NAS和RADIUS服务器的性能要求越高。建议当用户量比较大(≥1000)时,尽量把该间隔的值设置得大一些 |
实时计费报文最大发送次数 |
设置允许实时计费请求无响应的最大次数 |
流量数据的单位 |
设置发送到RADIUS服务器的流量数据的单位 · Byte:表示流量数据的单位为字节 · Kilo-byte:表示流量数据的单位为千字节 · Mega-byte:表示流量数据的单位为兆字节 · Giga-byte:表示流量数据的单位为千兆字节 |
数据包的单位 |
设置发送到RADIUS服务器的数据包的单位 · One-packet:表示数据包的单位为包 · Kilo-packet:表示数据包的单位为千包 · Mega-packet:表示数据包的单位为兆包 · Giga-packet:表示数据包的单位为千兆包 |
安全策略服务器IP地址 |
设置安全策略服务器的IP地址 |
RADIUS报文源IP地址 |
设备向RADIUS服务器发送RADIUS报文时使用的源IP地址 RADIUS服务器上通过IP地址来标识接入设备,并根据收到的RADIUS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。因此,为保证认证和计费报文可被服务器正常接收并处理,接入设备上发送RADIUS报文使用的源地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致 如果不指定此地址,则以发送报文的接口地址作为源IP地址 |
缓存未得到响应的停止计费报文 |
设置是否在设备上缓存没有得到响应的停止计费请求报文 |
停止计费报文最大发送次数 |
设置当出现没有得到响应的停止计费请求时,将该报文存入设备缓存后,允许停止计费请求无响应的最大次数 |
启用accounting-on报文发送功能 |
设置是否启用accounting-on报文发送功能 在启用accounting-on报文发送功能的情况下,设备重启后,会发送accounting-on报文通知RADIUS服务器该设备已经重启,要求RADIUS服务器强制该设备的用户下线 设备启动后,如果当前系统中没有启用accounting-on报文发送功能的RADIUS方案,则启用此功能后,必须保存配置,这样设备重启后此功能才能生效。但是,如果当前系统中已经有RADIUS方案启用了accounting-on报文发送功能,则对未启用此功能的RADIUS方案启用此功能后,功能会立即生效 |
accounting-on发送间隔 |
当启用accounting-on报文发送功能时,设置accounting-on报文重发时间间隔 |
accounting-on发送次数 |
当启用accounting-on报文发送功能时,设置accounting-on报文的最大发送次数 |
属性 |
设置开启RADIUS Attribute 25的CAR参数解析功能 |
属性值类型 |
(1) 在“RADIUS服务器配置”中单击<添加>按钮,弹出如下图所示的页面。
(2) 为RADIUS方案添加RADIUS服务器,详细配置如下表所示。
(3) 单击<确定>按钮,关闭弹出的页面,完成服务器的配置。
表5-5 RADIUS服务器的详细配置
配置项 |
说明 |
服务器类型 |
设置要添加的RADIUS服务器类型,包括:主认证服务器、主计费服务器、备份认证服务器、备份计费服务器 |
IP地址 |
设置RADIUS服务器的IP地址,可以配置IPv4地址或IPv6地址 · 主认证服务器和备份认证服务器的IP地址不能相同,主计费服务器和备份计费服务器的IP地址不能相同 · 同一RADIUS方案中所有RADIUS服务器的IP地址协议版本必须一致 |
端口 |
设置RADIUS服务器的UDP端口号 |
密钥 |
设置RADIUS服务器的共享密钥 当RADIUS服务器中未指定共享密钥时,使用RADIUS方案的通用配置中指定的共享密钥 |
确认密钥 |
如下图所示,配置Switch实现RADIUS服务器对登录设备的802.1X用户进行认证、计费(802.1X用户在线时长统计)。
RADIUS服务器使用CAMS/iMC服务器。在RADIUS服务器上已经添加了802.1X用户的用户名和密码,同时设置了与Switch交互报文时的共享密钥为“expert”。
根据以上情况,只需设置Switch与IP地址为10.110.91.146的RADIUS服务器(其担当认证、计费服务器的职责,采用缺省端口进行认证和计费)进行报文交互时的共享密钥为“expert”。同时可以设置Switch向RADIUS服务器发送用户名时不带域名。
图5-9 RADIUS配置组网图
开启全局和指定端口的802.1X特性,并配置基于MAC地址的接入控制方式。具体配置略。
(1) 配置各接口IP地址。(略)
(2) 配置RADIUS方案system。
步骤1:在导航栏中选择“认证 > RADIUS”,进入RADIUS的配置页面。
步骤2:单击<新建>按钮,进入新建RADIUS方案的配置页面。
步骤3:进行如下配置。
· 输入方案名称为“system”。
· 选择服务类型为“Extended”。
· 选择用户名格式为“不带域名”。
步骤4:在“RADIUS服务器配置”中单击<添加>按钮,弹出添加RADIUS服务器的配置页面。
步骤5:在弹出的页面上进行如下配置,如下图所示。
· 选择服务器类型为“主认证服务器”。
· 输入IP地址为“10.110.91.146”。
· 输入端口为“1812”。
· 输入密钥为“expert”。
· 输入确认密钥为“expert”。
步骤6:单击<确定>按钮,关闭弹出的页面,完成主认证服务器的配置。
图5-10 配置RADIUS认证服务器
步骤7:在“RADIUS服务器配置”中单击<添加>按钮,弹出添加RADIUS服务器的配置页面。
步骤8:在弹出的页面上进行如下配置,如下图所示。
· 选择服务器类型为“主计费服务器”。
· 输入IP地址为“10.110.91.146”。
· 输入端口为“1813”。
· 输入密钥为“expert”。
· 输入确认密钥为“expert”。
步骤9:单击<确定>按钮,关闭弹出的页面,完成主计费服务器的配置。
图5-11 配置RADIUS计费服务器
步骤10:完成上述配置后的新建RADIUS方案的页面如下图所示,单击<确定>按钮完成操作。
图5-12 新建RADIUS方案system
(3) 创建ISP域。
步骤1:在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面。
步骤2:进行如下配置,如下图所示。
· 输入域名为“test”。
· 选择缺省域为“Enable”。
步骤3:单击<应用>按钮完成操作。
(4) 配置ISP域的AAA认证方案。
步骤1:单击“认证”页签,进入AAA认证方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Default认证”前的复选框,选择认证方式为“RADIUS”。
· 选择认证方案名称为“system”。
图5-14 配置ISP域的AAA认证方案
步骤3:单击<应用>按钮,弹出配置进度对话框,如下图所示。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(5) 配置ISP域的AAA授权方案。
步骤1:单击“授权”页签,进入AAA授权方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“Default授权”前的复选框,选择授权方式为“RADIUS”。
· 选择授权方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图5-16 配置ISP域的AAA授权方案
(6) 配置ISP域的AAA计费方案,并配置用户计费可选。
步骤1:单击“计费”页签,进入AAA计费方案的配置页面。
步骤2:进行如下配置,如下图所示。
· 选择域名为“test”。
· 选中“计费可选开关”前的复选框,选择“Enable”。
· 选中“Default计费”前的复选框,选择计费方式为“RADIUS”。
· 选择计费方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图5-17 配置ISP域的AAA计费方案
配置RADIUS客户端时需要注意如下事项:
(1) 目前RADIUS不支持对FTP用户进行计费。
(2) 如果在线用户正在使用的计费服务器被删除,则设备将无法发送用户的实时计费请求和停止计费请求,且停止计费报文不会被缓存到本地。
(3) RADIUS方案中各服务器的状态(active、block)决定了设备向哪个服务器发送请求报文,以及设备在与当前服务器通信中断的情况下,如何转而与另外一个服务器进行交互。在实际组网环境中,可指定一个主RADIUS服务器和多个备份RADIUS服务器,由备份服务器作为主服务器的备份。通常情况下,设备上主/备份服务器的切换遵从以下原则:
· 当主服务器状态为active时,设备首先尝试与主服务器通信,若主服务器不可达,设备更改主服务器的状态为block,并启动该服务器的静默定时器,然后按照备份服务器的配置先后顺序依次查找状态为active的备份服务器进行认证或者计费。如果状态为active的备份服务器也不可达,则将该备份服务器的状态置为block,同时启动该服务器的静默定时器,并继续查找状态为active的备份服务器。当服务器的静默定时器超时,或者设备收到该服务器的认证/计费应答报文时,该服务器将恢复为active状态。在一次认证或计费过程中,如果设备在尝试与备份服务器通信时,主服务器状态由block恢复为active,则设备并不会立即恢复与主服务器的通信,而是继续查找备份服务器。如果所有已配置的服务器都不可达,则认为本次认证或计费失败。
· 一个用户的计费流程开始之后,设备就不会再与其它的计费服务器通信,即该用户的实时计费报文和停止计费报文只会发往当前使用的计费服务器。如果当前使用的计费服务器被删除,则实时计费和停止计费报文都将无法发送。
· 如果在认证或计费过程中删除了服务器,则设备在与当前服务器通信超时后,将会重新从主服务器开始依次查找状态为active的服务器进行通信。
· 当主/备份服务器的状态均为block时,设备仅与主服务器通信,若主服务器可达,则主服务器状态变为active,否则保持不变。
· 只要存在状态为active的服务器,设备就仅与状态为active的服务器通信,即使该服务器不可达,设备也不会尝试与状态为block的服务器通信。
· 设备收到服务器的认证或计费应答报文后会将与报文源IP地址相同且状态为block的认证或计费服务器的状态更改为active。
(4) 实时计费间隔与用户量之间的推荐比例关系如下表所示。
用户数 |
实时计费间隔(分钟) |
1~99 |
3 |
100~499 |
6 |
500~999 |
12 |
≥1000 |
≥15 |
用户模块提供了本地用户、用户组的配置功能。
本地用户是本地设备上设置的一组用户属性的集合。该集合以用户名为用户的唯一标识,可配置多种属性,比如用户密码、用户类型、服务类型、授权属性等。为使某个请求网络服务的用户可以通过本地认证,需要在设备上的本地用户数据库中添加相应的表项。本地认证的详细介绍请参见“AAA”。
用户组是一个本地用户属性的集合,某些需要集中管理的授权属性可在用户组中统一配置和管理,用户组内的所有本地用户都可以继承这些属性。
每个新增的本地用户都默认属于一个系统自动创建的用户组system,且继承该组的所有属性,但本地用户的属性比用户组的属性优先级高。
(1) 在导航栏中选择“认证 > 用户”,默认进入“本地用户”页签的页面,页面显示的是所有本地用户和来宾用户,如下图所示。
(2) 单击<新建>按钮,进入创建本地用户的配置页面,如下图所示。
(3) 配置本地用户,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
配置项 |
说明 |
用户名 |
设置本地用户的名称 |
用户密码 |
设置本地用户的密码和确认密码 用户密码和确认密码必须一致 输入的密码如果以空格开头,则开头的空格将被忽略 |
确认密码 |
|
加密方式 |
密码加密方式 · 可逆:能根据加密后的密文反算出原密码明文 · 不可逆:不能根据加密后的密文反算出原密码明文 |
用户组 |
设置本地用户所属的用户组 |
用户类型 |
设置本地用户的类型,包括普通用户、安全日志管理员、来宾管理员,目前设备仅支持普通用户的配置 |
授权等级 |
设置本地用户的授权等级,由低到高依次为Visitor、Monitor、Configure、Management 授权等级只对服务类型为Web、FTP、Telnet和SSH的用户有效 |
服务类型 |
设置本地用户可以使用的服务类型,包括Web、FTP、Telnet、LAN-Access(主要指以太网接入用户,比如802.1x用户)和SSH · 服务类型是本地认证的检测项,如果没有用户可以使用的服务类型,则该用户无法正常认证通过 · 来宾管理员和安全日志管理员的服务类型为Web |
过期时间 |
设置本地用户的有效截止时间 当指定了过期时间的用户进行本地认证时,接入设备检查当前系统时间是否在用户的过期时间内,若在过期时间内则允许用户登录,否则拒绝用户登录 |
授权VLAN |
设置本地用户的授权VLAN ID 授权VLAN只对服务类型为LAN-Access的用户有效 |
授权ACL |
设置本地用户的授权ACL序号 授权ACL只对服务类型为LAN-Access的用户有效 |
用户方案 |
设置本地用户的授权用户方案名称,目前设备暂不支持该配置 授权用户方案只对服务类型为LAN-Access的用户有效 |
(1) 在导航栏中选择“认证 > 用户”。
(2) 单击“用户组”页签,进入用户组的显示页面,如下图所示。
(3) 单击<新建>按钮,进入新建用户组的配置页面,如下图所示。
(4) 配置用户组,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
配置项 |
说明 |
用户组名称 |
设置用户组的名称 |
访问等级 |
设置用户组的访问等级,由低到高依次为Visitor、Monitor、Configure、Management |
授权VLAN |
设置用户组的授权VLAN ID |
授权ACL |
设置用户组的授权ACL序号 |
用户方案 |
设置用户组的授权用户方案名称,目前设备暂不支持该配置 |
来宾用户可选 |
设置是否允许来宾用户加入该用户组,目前设备暂不支持该配置 用户组system默认为来宾用户可选组,不可修改 |
PKI(Public Key Infrastructure,公钥基础设施)是通过使用公开密钥技术和数字证书来确保系统信息安全,并负责验证数字证书持有者身份的一种体系。
PKI的功能是通过签发数字证书来绑定证书持有者的身份和相关的公开密钥,为用户获取证书、访问证书和宣告证书作废提供了方便的途径。同时利用数字证书及相关的各种服务(证书发布、黑名单发布等)实现通信过程中各实体的身份认证,保证了通信数据的机密性、完整性和不可否认性。
数字证书是一个经证书授权中心数字签名的、包含公开密钥及相关的用户身份信息的文件。最简单的数字证书包含一个公开密钥、名称及证书授权中心的数字签名。一般情况下数字证书中还包括密钥的有效时间、发证机关(证书授权中心)的名称和该证书的序列号等信息,证书的格式遵循ITU-T X.509国际标准。本手册中涉及两类证书:本地(local)证书和CA(Certificate Authority)证书。本地证书为CA签发给实体的数字证书;CA证书也称为根证书,为CA“自签”的数字证书。
由于用户姓名的改变、私钥泄漏或业务中止等原因,需要存在一种方法将现行的证书撤消,即撤消公开密钥及相关的用户身份信息的绑定关系。在PKI中,所使用的这种方法为证书废除列表。任何一个证书被废除以后,CA就要发布CRL来声明该证书是无效的,并列出所有被废除的证书的序列号。CRL提供了一种检验证书有效性的方式。
当一个CRL的撤消信息过多时会导致CRL的发布规模变得非常庞大,且随着CRL大小的增加,网络资源的使用性能也会随之下降。为了避免这种情况,允许一个CA的撤消信息通过多个CRL发布出来。CRL片断也称为CRL发布点。
CA在受理证书请求、颁发证书、吊销证书和发布CRL时所采用的一套标准被称为CA策略。通常,CA以一种叫做证书惯例声明(CPS,Certification Practice Statement)的文档发布其策略,CA策略可以通过带外(如电话、磁盘、电子邮件等)或其他方式获取。由于不同的CA使用不同的方法验证公开密钥与实体之间的绑定,所以在选择信任的CA进行证书申请之前,必须理解CA策略,从而指导对实体进行相应的配置。
一个PKI体系由终端实体、证书机构、注册机构和PKI存储库四类实体共同组成,如下图所示。
图7-1 PKI体系结构图
终端实体是PKI产品或服务的最终使用者,可以是个人、组织、设备(如路由器、交换机)或计算机中运行的进程。
CA是PKI的信任基础,是一个用于签发并管理数字证书的可信实体。其作用包括:发放证书、规定证书的有效期和通过发布CRL确保必要时可以废除证书。
证书申请的受理一般由一个独立的注册机构(即RA)来承担。RA功能包括:审查用户的申请资格,并决定是否同意CA给其签发数字证书;管理CRL;产生和备份密钥对等。注册机构并不给用户签发证书,而只是对用户进行资格审查。有时PKI把注册管理的职能交给CA来完成,而不设立独立运行的RA,但这并不是取消了PKI的注册功能,而只是将其作为CA的一项功能而已。PKI国际标准推荐由一个独立的RA来完成注册管理的任务,这样可以增强应用系统的安全性。
PKI存储库包括LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)服务器和普通数据库,用于对用户申请、证书、密钥、CRL和日志等信息进行存储和管理,并提供一定的查询功能。
LDAP提供了一种访问PKI存储库的方式,通过该协议来访问并管理PKI信息。LDAP服务器负责将RA服务器传输过来的用户信息以及数字证书进行存储,并提供目录浏览服务。用户通过访问LDAP服务器获取自己和其他用户的数字证书。
PKI技术的广泛应用能满足人们对网络交易安全保障的需求。作为一种基础设施,PKI的应用范围非常广泛,并且在不断发展之中,下面给出几个应用实例。
VPN是一种构建在公用通信基础设施上的专用数据通信网络,利用网络层安全协议(如IPSec)和建立在PKI上的加密与数字签名技术来获得机密性保护。
电子邮件的安全也要求机密、完整、认证和不可否认,而这些都可以利用PKI技术来实现。目前发展很快的安全电子邮件协议S/MIME(Secure/Multipurpose Internet Mail Extensions,安全/多用途Internet邮件扩充协议),是一个允许发送加密和有签名邮件的协议。该协议的实现需要依赖于PKI技术。
为了透明地解决Web的安全问题,在两个实体进行通信之前,先要建立SSL(Secure Sockets Layer,安全套接字层)连接,以此实现对应用层透明的安全通信。利用PKI技术,SSL协议允许在浏览器和服务器之间进行加密通信。此外,服务器端和浏览器端通信时双方可以通过数字证书确认对方的身份。
针对一个使用PKI的网络,配置PKI的目的就是为指定的实体向CA申请一个本地证书,并由设备对证书的有效性进行验证。下面是PKI的工作过程:
(1) 实体向CA提出证书申请;
(2) RA审核实体身份,将实体身份信息和公开密钥以数字签名的方式发送给CA;
(3) CA验证数字签名,同意实体的申请,颁发证书;
(4) RA接收CA返回的证书,发送到LDAP服务器以提供目录浏览服务,并通知实体证书发行成功;
(5) 实体获取证书,利用该证书可以与其它实体使用加密、数字签名进行安全通信;
(6) 实体希望撤消自己的证书时,向CA提交申请。CA批准实体撤消证书,并更新CRL,发布到LDAP服务器。
PKI证书的申请方式有两种:
· 手动申请证书方式:需要手工完成获取CA证书、生成密钥对、申请本地证书的工作。
· 自动申请证书方式:在没有本地证书时实体自动通过SCEP协议进行申请,而且在证书即将过期时自动申请新的证书并获取至本地。
证书申请的方式可在PKI域中进行配置。根据证书申请方式的不同,PKI的配置步骤也不同。
手动申请证书方式下PKI配置的推荐步骤如下表所示。
表7-1 PKI配置步骤(手动申请证书方式)
步骤 |
配置任务 |
说明 |
1 |
必选 新建实体并配置实体的身份信息参数 一份证书是一个公开密钥与一个身份的绑定,而身份必须与一个特定的PKI实体相关联,实体DN(Distinguished Name,识别名)的参数是实体的身份信息,CA根据实体提供的身份信息来唯一标识证书申请者 实体DN的配置必须与CA证书颁发策略相匹配,以确认实体DN的配置任务,如哪些实体参数为必选配置,哪些为可选配置。申请者的身份信息必须符合CA证书颁发策略,否则证书申请可能会失败 |
|
2 |
必选 新建PKI域,配置证书申请方式为“Manual” 实体在进行PKI证书申请操作之前需要配置一些注册信息来配合完成申请的过程,这些信息的集合就是一个实体的PKI域 PKI域是一个本地概念,因此创建PKI域的目的是便于其它应用引用PKI的配置,比如IKE、SSL等,一个设备上配置的PKI域对CA和其它设备是不可见的,每一个PKI域有单独的域参数配置信息 |
|
3 |
必选 配置生成本地RSA密钥对 缺省情况下,本地没有RSA密钥对 密钥对的产生是证书申请过程中重要的一步。申请过程使用了一对主机密钥:私钥和公钥。私钥由用户保留,公钥和其他信息则交由CA中心进行签名,从而产生证书 若本地证书已存在,为保证密钥对与现存证书的一致性,必须在删除本地证书后,再生成新的密钥对 |
|
4 |
必选 将CA证书获取至本地,详细配置请参见“7.2.6 获取证书” 获取证书的目的是: · 将CA签发的与实体所在安全域有关的证书存放到本地,以提高证书的查询效率,减少向PKI证书存储库查询的次数 · 为证书的验证做好准备 如果本地已有CA证书存在,则不允许再执行获取CA证书的操作,避免因相关配置的修改使得证书与注册信息不匹配。请先删除存储于本地的CA证书与本地证书后,再重新获取 |
|
5 |
必选 证书申请就是实体向CA自我介绍的过程,实体向CA提供身份信息和相应的公钥,这些信息将成为颁发给该实体证书的主要组成部分 申请本地证书有在线和离线两种方式: · 在线申请成功后,会自动将本地证书获取至本地 · 离线申请成功后,需要用户通过离线方式将本地证书获取至本地 如果本地已有本地证书存在,则不允许再执行申请本地证书的操作,避免因相关配置的修改使得证书与注册信息不匹配。请先删除存储于本地的CA证书与本地证书,再重新申请 |
|
6 |
可选 销毁设备上已存在的RSA密钥对和对应的本地证书 如果要获取的证书中含有RSA密钥对,则必须先将设备上已有的密钥对销毁,否则无法成功获取证书 |
|
7 |
可选 将已存在的证书获取至本地 |
|
8 |
可选 获取CRL至本地,获取后可以查看CRL的内容 |
自动申请证书方式下PKI配置的推荐步骤如下表所示。
表7-2 PKI配置步骤(自动申请证书方式)
步骤 |
配置任务 |
说明 |
1 |
必选 新建实体并配置实体的身份信息参数 一份证书是一个公开密钥与一个身份的绑定,而身份必须与一个特定的PKI实体相关联,实体DN(Distinguished Name,识别名)的参数是实体的身份信息,CA根据实体提供的身份信息来唯一标识证书申请者 实体DN的配置必须与CA证书颁发策略相匹配,以确认实体DN的配置任务,如哪些实体参数为必选配置,哪些为可选配置。申请者的身份信息必须符合CA证书颁发策略,否则证书申请可能会失败 |
|
2 |
必选 (配置“证书申请方式”为“自动”) 实体在进行PKI证书申请操作之前需要配置一些注册信息来配合完成申请的过程,这些信息的集合就是一个实体的PKI域 PKI域是一个本地概念,因此创建PKI域的目的是便于其它应用引用PKI的配置,比如IKE、SSL等,一个设备上配置的PKI域对CA和其它设备是不可见的,每一个PKI域有单独的域参数配置信息 |
|
3 |
可选 销毁设备上已存在的RSA密钥对和对应的本地证书 如果要获取的证书中含有RSA密钥对,则必须先将设备上已有的密钥对销毁,否则无法成功获取证书 |
|
4 |
可选 将已存在的证书获取至本地 |
|
5 |
可选 获取CRL至本地,获取后可以查看CRL的内容 |
(1) 在导航栏中选择“认证 > 证书管理”,默认进入“PKI实体”页签的页面,如下图所示。
图7-2 PKI实体
(2) 单击<新建>按钮,进入新建PKI实体的配置页面,如下图所示。
(3) 进行新建PKI实体的配置,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表7-3 新建PKI实体的详细配置
配置项 |
说明 |
PKI实体名称 |
设置要新建的PKI实体的名称 |
通用名 |
设置实体的通用名,比如用户名称 |
实体IP地址 |
设置实体的IP地址 |
FQDN |
设置实体的FQDN(Fully Qualified Domain Name,完全合格域名) FQDN是实体在网络中的唯一标识,由一个主机名和域名组成,可被解析为IP地址。例如,www是一个主机名,whatever.com是一个域名,则www.whatever.com就是一个FQDN |
国家/地区 |
设置实体所属的国家或地区代码 |
州省 |
设置实体所属的州省 |
地理区域 |
设置实体所在地理区域的名称 |
组织 |
设置实体所属组织的名称 |
部门 |
设置实体所属部门的名称 |
(1) 在导航栏中选择“认证 > 证书管理”。
(2) 单击“PKI域”页签,进入PKI域的显示页面,如下图所示。
(3) 单击<新建>按钮,进入新建PKI域的配置页面。
(4) 单击“高级设置”前的扩展按钮,进入如下图所示页面。
(5) 进行新建PKI域的配置,详细配置如下表所示。
(6) 单击<确定>按钮完成操作。
表7-4 新建PKI域的详细配置
配置项 |
说明 |
PKI域名称 |
设置要新建的PKI域的名称 |
CA标识符 |
设置设备信任的CA标识符 在申请证书时,是通过一个可信实体认证机构,来完成实体证书的注册颁发,因此必须指定一个信任的CA名称,将设备与该CA进行绑定,该设备证书的申请、获取、废除及查询均通过该CA执行 当采用离线方式申请证书时,此项可以不配置,否则必须配置 |
本端实体 |
设置本端PKI实体名称 向CA发送证书申请请求时,必须指定所使用的实体名,以向CA表明自己的身份 可选的PKI实体名称需通过新建PKI实体来配置 |
注册机构 |
设置证书申请的注册审理机构 · CA:表示由CA来完成注册机构的功能 · RA:表示有独立的RA作为注册审理机构 PKI推荐独立使用RA作为注册审理机构 |
证书申请URL |
设置注册服务器的URL 证书申请之前必须指定注册服务器的URL,随后实体可通过简单证书注册协议(SCEP,Simple Certification Enrollment Protocol)向该服务器提出证书申请,SCEP是专门用于与认证机构进行通信的协议 当采用离线方式申请证书时,此项可以不配置,否则必须配置 目前,注册服务器URL的配置不支持域名解析 |
LDAP服务器IP地址 |
设置LDAP服务器的IP地址、端口号和版本号 要获取本地证书,必须正确配置LDAP服务器 |
端口 |
|
版本 |
|
证书申请方式 |
设置在线证书申请的方式,有手动和自动两种方式 |
挑战码 |
证书申请方式选择“Auto”时,设置挑战码,即撤销证书时使用的密码 输入的挑战码和确认挑战码必须一致 |
确认挑战码 |
|
根证书指纹散列算法 |
设置验证CA根证书时所使用的指纹 当设备从CA获得根证书时,需要验证CA根证书的指纹,即根证书内容的散列值,该值对于每一个证书都是唯一的。如果CA根证书的指纹与在PKI域中配置的指纹不同,则设备将拒绝接收根证书 · 当根证书指纹散列算法选择“MD5”时,使用MD5指纹验证CA根证书,输入的根证书指纹必须为32个字符,并且以16进制的形式输入 · 当根证书指纹散列算法选择“SHA1”时,使用SHA1指纹验证CA根证书,输入的根证书指纹必须为40个字符,并且以16进制的形式输入 · 当根证书指纹散列算法选择空时,将不对根证书指纹进行验证,需要用户自行确认CA服务器是否可信 当证书申请方式选择“Auto”时,必须设置验证根证书时所使用的指纹;当证书申请方式选择“Manual”时,可以不设置验证根证书时所使用的指纹,则在获取CA证书时将不对根证书指纹进行验证,需要用户自行确认CA服务器是否可信 |
根证书指纹 |
|
证书查询次数 |
设置客户端发送证书申请状态查询的周期和每个周期内发送查询的次数 实体在发送证书申请后,如果CA采用手工验证申请,证书的发布会需要很长时间。在此期间,客户端需要定期发送状态查询,以便在证书签发后能及时获取到证书 |
证书查询间隔 |
|
启用CRL查询 |
设置在证书验证时是否进行CRL检查 |
CRL更新间隔 |
启用CRL查询时,设置CRL更新间隔,即使用证书的PKI实体从CRL存储服务器下载CRL的时间间隔 缺省情况下,CRL的更新间隔由CRL文件中的下次更新域决定 |
获取CRL的URL |
启用CRL查询时,设置CRL发布点的URL,支持IP地址和DNS域名两种表示方式 需要注意的是,未配置CRL发布点的URL时,通过SCEP协议获取CRL,该操作在获取CA证书和本地证书之后进行 |
(1) 在导航栏中选择“认证 > 证书管理”。
(2) 单击“证书”页签,进入PKI证书的显示页面,如下图所示。
(3) 单击页面上的<创建密钥>按钮,进入生成RSA密钥对的配置页面,如下图所示。
(4) 进行生成RSA密钥对的配置,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
表7-5 生成RSA密钥对的详细配置
配置项 |
说明 |
密钥长度 |
设置RSA密钥的长度 |
(1) 在导航栏中选择“认证 > 证书管理”。
(2) 单击“证书”页签,进入PKI证书的显示页面,如图7-6所示。
(3) 单击页面上的<销毁密钥>按钮,进入销毁RSA密钥对的配置页面,如下图所示。
(4) 单击<确定>按钮将销毁设备上已存在的RSA密钥对和对应的本地证书。
用户通过此配置可以将已存在的CA证书或本地证书获取至本地。获取证书有两种方式:离线方式和在线方式。离线方式下获取证书需要通过带外方式(如FTP、磁盘、电子邮件等)取得证书,然后将其导入至本地。成功获取到本地的证书被保存在设备的根目录下,文件名称为domain-name_ca.cer(CA证书)、domain-name_local.cer(本地证书)。
(1) 在导航栏中选择“认证 > 证书管理”。
(2) 单击“证书”页签,进入PKI证书的显示页面,如图7-6所示。
(3) 单击页面上的<获取证书>按钮,进入获取PKI证书的配置页面,如下图所示。
(4) 进行获取PKI证书的配置,详细配置如下表所示。
表7-6 获取PKI证书的详细配置
配置项 |
说明 |
PKI域名称 |
设置证书所在的PKI域 |
证书类型 |
设置要获取的证书的为CA证书或Local证书 |
启用离线方式 |
设置是否启用离线方式(如FTP、磁盘、电子邮件等)取得证书,然后将其导入至本地 选中“启用离线方式”前的复选框后,可以显示下面的配置项 |
从设备取得文件 |
设置要导入的证书文件的存放路径和文件名 · 当证书文件保存在设备上时,选择“从设备取得文件”,并选择证书文件在设备上的存放路径和文件名。如果不指定具体的文件,则默认为设备根目录下名为domain-name_ca.cer(CA证书)或domain-name_local.cer(本地证书)的文件 · 当证书文件保存在本地主机上时,选择“从PC取得文件”,并设置证书文件在PC上的存放路径和文件名,以及文件上传到设备后存放在哪个分区 |
从PC取得文件 |
|
口令 |
设置导入证书的口令,该口令在导出证书时指定,用于保护私钥的口令 |
(5) 获取证书后,可以在PKI证书的显示页面,单击指定证书对应的<查看证书>按钮,查看证书的详细信息,如下图所示。证书详细信息各字段的说明如下表所示。
字段 |
说明 |
Version |
证书版本号 |
Serial Number |
证书序列号 |
Signature Algorithm |
签名算法 |
Issuer |
证书颁发者 |
Validity |
证书有效期 |
Subject |
证书申请实体 |
Subject Public Key Info |
申请实体公钥信息 |
X509v3 extensions |
X509版本3格式证书扩展属性 |
X509v3 CRL Distribution Points |
X509版本3格式CRL发布点 |
(1) 在导航栏中选择“认证 > 证书管理”,单击“证书”页签。
(2) 进入PKI证书的显示页面,如图7-6所示。
(3) 单击页面上的<申请证书>按钮,进入申请本地证书的配置页面,如下图所示。
(4) 进行申请本地证书的配置,详细配置如下表所示。
表7-8 申请本地证书的详细配置
配置项 |
说明 |
PKI域名称 |
设置证书所在的PKI域 |
挑战码 |
设置挑战码,即撤销证书时使用的密码 |
启用离线方式 |
设置是否启用离线方式(如电话、磁盘、电子邮件等)申请本地证书 |
(5) 单击<确定>按钮。此时,如果采用在线方式申请证书,则会弹出提示框“证书申请已提交。”,再次单击<确定>按钮完成操作;如果采用离线方式申请证书,则页面上将显示离线申请证书的信息,如下图所示,用户可以将这些信息通过带外方式发送给CA进行证书申请。
(1) 在导航栏中选择“认证 > 证书管理”。
(2) 单击“CRL”页签,进入CRL的显示页面,如下图所示。
(3) 在列表中单击指定PKI域对应的操作列的<获取CRL>按钮,可将CRL获取到本地。
(4) 获取CRL后,在列表中单击指定PKI域对应的操作列的<查看CRL>按钮,可查看CRL的详细信息,如下图所示。CRL详细信息各字段的说明如下表所示。
图7-14 查看CRL的详细信息
表7-9 CRL详细信息的说明
字段 |
说明 |
Version |
CRL版本号 |
Signature Algorithm |
CRL采用的签名算法 |
Issuer |
颁发该CRL的CA |
Last Update |
上次更新时间 |
Next Update |
下次更新时间 |
CRL extensions |
CRL扩展属性 |
X509v3 CRL Number |
CRL序列号 |
X509v3 Authority Key Identifier |
发布该无效证书的CA标识符,证书版本为X509v3 |
keyid |
公钥标识符 一个CA可能有多个密钥对,该字段用于标识该CRL的签名使用哪个密钥对 |
No Revoked Certificates. |
没有被撤销的证书 |
在作为PKI实体的设备Switch上进行相关配置,实现以下需求:
· Switch向CA服务器申请本地证书,CA服务器上采用RSA Keon软件。
· 获取CRL为证书验证做准备。
图7-15 PKI实体向CA申请证书组网图
(1) 创建CA服务器myca。
在本例中,CA服务器上首先需要进行基本属性Nickname和Subject DN的配置。其它属性选择默认值。其中,Nickname为可信任的CA名称,Subject DN为CA的DN属性,包括CN、OU、O和C。
(2) 配置扩展属性。
基本属性配置完毕之后,还需要在生成的CA服务器管理页面上对“Jurisdiction Configuration”进行配置,主要内容包括:根据需要选择合适的扩展选项;启动自动颁发证书功能;添加可以自动颁发证书的地址范围。
(3) 配置CRL发布。
CA服务器的基本配置完成之后,需要进行CRL的相关配置。
本例中选择CRL的发布方式为HTTP,自动生成CRL发布点的URL为http://4.4.4.133:447/myca.crl。
以上配置完成之后,还需要保证设备的系统时钟与CA的时钟同步才可以正常使用设备来申请证书和获取CRL。
(1) 新建PKI实体。
步骤1:在导航栏中选择“认证 > 证书管理”,默认进入“PKI实体”页签的页面。
步骤2:单击<新建>按钮,进入新建PKI实体的配置页面。
步骤3:进行如下配置,如下图所示。
· 输入PKI实体名称为“aaa”。
· 输入通用名为“ac”。
步骤4:单击<确定>按钮完成操作。
(2) 新建PKI域。
步骤1:单击“PKI域”页签。
步骤2:单击<新建>按钮,进入新建PKI域的配置页面。
步骤3:进行如下配置,如下图所示。
· 输入PKI域名称为“torsa”。
· 输入CA标识符为“myca”。
· 选择本端实体为“aaa”。
· 选择注册机构为“CA”。
· 以“http://host:port/Issuing Jurisdiction ID”(其中的Issuing Jurisdiction ID为CA服务器上生成的16进制字符串)的格式输入证书申请URL为“http://4.4.4.133:446/c95e970f632d27be5e8cbf80e971d9c4a9a93337”。
· 选择证书申请方式为“Manual”。
· 单击“高级设置”前的扩展按钮。
· 选中“启用CRl查询”前的复选框。
· 输入获取CRL的URL为“http://4.4.4.133:447/myca.crl”。
步骤4:单击<确定>按钮,页面弹出对话框提示“未指定根证书指纹,在获取CA证书时将不对根证书指纹进行验证,确认要继续吗?”。
步骤5:单击<确定>按钮,关闭弹出的对话框,完成操作。
(3) 生成RSA密钥对。
步骤1:单击“证书”页签,进入证书的配置页面。
步骤2:单击<创建密钥>按钮。
步骤3:输入密钥长度为“1024”,如下图所示。
步骤4:单击<确定>按钮开始生成RSA密钥对。
图7-18 生成RSA密钥对
(4) 获取CA证书至本地。
步骤1:生成密钥对成功后,单击<获取证书>按钮。
步骤2:进行如下配置,如下图所示。
· 选择PKI域为“torsa”。
· 选择证书类型为“CA”。
步骤3:单击<确定>按钮开始获取CA证书。
图7-19 获取CA证书至本地
(5) 申请本地证书。
步骤1:获取CA证书成功后,单击<申请证书>按钮。
步骤2:进行如下配置,如下图所示。
· 选择PKI域为“torsa”。
· 选中“挑战码”前的单选按钮,输入挑战码为“challenge-word”。
步骤3:单击<确定>按钮开始申请本地证书,弹出“证书申请已提交”的提示框。
步骤4:单击提示框中的<确定>按钮完成操作。
(6) 获取CRL至本地。
步骤1:单击“CRL”页签。
步骤2:单击PKI域“torsa”对应的<获取CRL>按钮开始获取CRL,如下图所示。
图7-21 获取CRL至本地
完成上述配置后,可以在“证书”页签的页面中查看获取的CA证书和本地证书的详细信息;可以在“CRL”页签的页面中查看获取的CRL文件的详细信息。
配置PKI时需要注意如下事项:
(1) 申请本地证书时,必须保证实体时钟与CA的时钟同步,否则申请证书的有效期会出现异常。
(2) Windows 2000 CA服务器对证书申请的数据长度有一定的限制。PKI实体身份信息配置项超过一定数据长度时,申请证书没有回应。
(3) 当采用Windows Server作为CA时,需要安装SCEP插件。此时,配置PKI域时,需要指定注册机构为RA。
(4) 当采用RSA Keon软件作为CA时,不需要安装SCEP插件。此时,配置PKI域时,需要指定注册机构为CA。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!