- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
29-802.1x认证典型配置举例
本章节下载: 29-802.1x认证典型配置举例 (1.24 MB)
目 录
802.1X协议是一种基于端口的网络接入控制协议(Port based network access control protocol)。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级验证用户身份并控制其访问权限,通过802.1X认证能够实现保护企业内网安全性的目的。
802.1x认证的优点如下:
· 802.1X协议为二层协议,不需要到达三层,对接入设备的整体性能要求不高,可以有效降低建网成本。
· 认证报文和数据报文通过逻辑接口分离,提高安全性。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解802.1x认证的特性。
· 802.1x认证支持的认证终端MAC地址格式有:xx-xx-xx-xx-xx-xx、xxxx-xxxx-xxxx、xx:xx:xx:xx:xx:xx和xxxx:xxxx:xxxx四种。
· 802.1x认证时,设备通过交换机发送的计费报文与交换机进行联动,如果交换机没有计费报文发出或者不接收计费报文,则无法与交换机联动上下线。
· 联动交换机信息,不支持主备同步。
· 系统自带的默认组(本地用户结果和默认组)不支持配置vlan。
· 联动交换机信息展示没有老化机制,设备重启后该信息会清除,并重新统计
· 哑终端不会因为超时下线和强制重登录下线而下线;但是用户唯一性检查会导致其下线。
· 使用哑终端进行认证时,需要提前将哑终端录入到设备的本地用户中,用户名必须配置为“xx-xx-xx-xx-xx-xx”格式的MAC地址,否则无法识别哑终端,用户认证失败。
· 哑终端与不同交换机联动时,交换机的配置有差异,具体请参考对应交换机的配置指导。
· 交换机的接口只能配置为access或者Hybrid类型。
设备与交换机互联接入企业内部网络中,内网用户通过设备访问外网,通过设备对用户接入网络进行控制。为了满足企业的高安全性需求,使用802.1X认证并通过RADIUS服务器验证用户的身份,用户进行802.1x认证拨号通过身份认证后,才允许访问管理员授权的网络资源。
图1组网图
(1) 配置基础网络
(2) 配置控制策略
(3) 配置用户识别范围
(4) 新建本地用户
(5) 配置802.1x认证
(6) 配置交换机
· 设备版本:R6618
· 交换机版本:
¡ 交换机型号:H3C S5130S-20P-EI
¡ 软件版本:H3C Comware Software, Version 7.1.070, Ess 6110P22
此举例中以H3C S5130S-20P-EI为例进行配置。由于不同交换机配置存在差异,具体配置请参考交换机的相关配置指导。
(1) 登录设备的Web管理页面,配置接口、路由和NAT。
进入“网络配置>接口配置”,点击编辑ge0、ge1接口,根据实际组网情况配置ge0、ge1的IP地址,如下图所示。
图1 配置网络接口
进入“网络管理>路由管理>静态路由”页面,配置访问外网的静态缺省路由,如下图所示。
图2 配置静态路由
进入“策略配置>策略配置>NAT转换策略>源NAT”页面,配置一条源NAT策略。
图3 配置NAT策略
(2) 进入“策略配置>控制策略”页面,配置一条允许的控制策略。
(3) 进入“用户管理>认证管理>高级选项”页面,识别范围选择“any”,识别模式选择“启发模式”,提交。
图4 配置识别范围
(4) 进入“用户管理 > 用户组织结构”页面,新建一个本地用户。
(5) 进入“用户管理 > 认证管理 > 802.1x认证配置”页面,配置802.1x认证。服务器认证端口、服务器计费端口及服务器密码需要与交换机上配置的认证服务器和计费服务器的端口、密码一致。
图5 配置802.1x认证
· 802.1x认证配置的服务器认证端口和服务器计费端口,分别对应下面交换机上配置radius服务器主认证服务器端口和主计费服务器端口
· 2、802.1x认证配置的服务器密码,分别对应下面交换机上配置radius服务器主认证服务器密钥和主计费服务器秘钥
此处以H3C S5130S-20P-EI 交换机为例进行配置(由于不同交换机配置不同,以下配置仅供参考,具体请参考交换机的相关配置指导)。
可以使用Web界面或者命令行两种方式配置交换机的相关功能,可根据实际情况选择使用其中一种方式进行配置,配置方法分别举例如下。
使用浏览器登录交换机的Web管理界面进行配置,配置方法如下:
(1) 配置RADIUS。
a. 进入“安全 > RADIUS”,进入RADIUS页面,如图6所示。
b. 单击
按钮,新建“RADIUS”方案。
配置RADIUS方案名称为“acg 802.1x”,配置认证服务器和计费服务器主认证服务器的IP地址、端口及密钥,“发送给RADIUS服务器的用户名格式”选择“不携带域名”,如图7所示。
· 认证服务器的主认证服务器,IP地址为设备和交换机直连地址(192.168.13.11),端口、密钥需要与设备端802.1x认证配置的服务器认证端口(1812)及服务器密码一致。
· 计费服务器的主计费服务器,IP地址为设备和交换机直连地址(192.168.13.11),端口、密钥需要与设备802.1x认证中配置的服务器计费端口(1813)及服务器密码一致。
图7 交换机RADIUS配置页面
(2) 配置ISP域。
进入“安全 > IPS域”页面,单击
按钮,添加ISP域。
域名配置为“802.1xisp”,在“认证”、“授权”、“计费”的配置区域,分别勾选“RADIUS”,方案均选择已创建的RADIUS方案“acg 802.1x”,如下图所示。
图8 交换机RADIUS配置页面
(3) 配置VLAN
进入“网络>VLAN”页面,单击
按钮,新建VLAN。
在VLAN配置页面,输入VLANID,在Untagged接口列表中添加接口ge1/0/15和ge1/0/16,
VLAN接口IP地址指定为:IP 192.168.13.253/24。
图9 VLAN配置页面
(4) 配置802.1X。
a. 进入“安全 > 802.1X”页面,点击页面右上角的启用开关,启用802.1X(默认为未启动状态),启用后页面如下图所示。
图10 802.1X页面
b. 在802.1X认证列表中,勾选“GE1/0/15”接口对应的“开启802.1X”复选框,点击“确定”。如下图所示。
图11 开启端口的802.1X功能
c. 点击“GE1/0/15”接口后面的“高级设置”,进入“802.1X端口高级设置”页面。
在“周期性重认证”、“在线用户握手”、“安全握手”、“单播触发”、“组播触发”、“smarton”中均选中“关闭”,在“端口的强制认证ISP域”中选择已创建的ISP域“802.1xisp”,如下图所示。
图12 802.1X端口高级设置页面
配置完成后点击“确定”。
使用Windows的CLI窗口telnet到交换机设备并进行配置,配置方法如下:
(1) 创建RADIUS scheme
radius scheme "acg 802.1x"
primary authentication 192.168.13.11 key cipher password
primary accounting 192.168.13.11 key cipher password
user-name-format without-domain
radius scheme system
user-name-format without-domain
(2) 创建Domain
domain 802.1xisp
authentication lan-access radius-scheme "acg 802.1x"
authorization lan-access radius-scheme "acg 802.1x"
accounting lan-access radius-scheme "acg 802.1x"
(3) 创建VLAN并启用802.1X认证功能
#创建vlan 13
interface Vlan-interface13
ip address 192.168.13.253 255.255.255.0
#添加接口GE1/0/15并配置802.1X认证功能
interface GigabitEthernet1/0/15
port access vlan 13
dot1x
undo dot1x handshake
dot1x mandatory-domain 802.1xisp
undo dot1x multicast-trigger
dot1x port-method portbased
#在vlan 13中添加接口ge1/0/16
interface GigabitEthernet1/0/16
port access vlan 13
(1) 使用本地用户user1 进行拨号,输入用户名密码,点击“连接”。
图13 802.1x认证拨号登录页面
(2) 拨号成功后,如下图所示。用户通过认证,可以访问外网。
图14 拨号成功界面
登录设备Web管理界面,进入“数据中心 > 系统监控 > 在线用户”,可以查看到该用户在设备上的在线信息。如下图所示。
图15 查看在线用户信息
Inode客户端说明:使用了H3C_iNode_PC_7.3_E0623、H3C_iNode_PC_7.3_E0630 2款客户端进行拨号测试
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
