H3C-802.1x典型配置舉例.doc

802.1x典型配置舉例關(guān)鍵詞：802.1x，AAA摘 要：本文主要介紹以太網(wǎng)交換機(jī)的802.1x功能在具體組網(wǎng)中的應(yīng)用配置，對(duì)所涉及到的802.1x客戶端、交換機(jī)、AAA服務(wù)器等角色，分別給出了詳細(xì)的配置步驟?？s略語：AAA（Authentication，Authorization and Accounting，認(rèn)證、授權(quán)和計(jì)費(fèi)）第1章 802.1x功能介紹& 說明：本章中的802.1x功能適用于H3C S3600、H3C S5600、H3C S3100、H3C S5100、H3C S3100-52P、E352&E328、E126和E152這一系列以太網(wǎng)交換機(jī)。1.1 802.1x簡(jiǎn)介IEEE 802協(xié)議定義的局域網(wǎng)不提供接入認(rèn)證，一般來說，只要用戶接入局域網(wǎng)就可以訪問網(wǎng)絡(luò)上的設(shè)備或資源。但是對(duì)于如電信接入、寫字樓、局域網(wǎng)以及移動(dòng)辦公等應(yīng)用場(chǎng)合，網(wǎng)絡(luò)管理者希望能對(duì)用戶設(shè)備的接入進(jìn)行控制和配置，為此產(chǎn)生了基于端口或用戶的網(wǎng)絡(luò)接入控制需求。802.1x協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制（Port Based Network Access Control）協(xié)議。802.1x作為一種基于端口的用戶訪問控制機(jī)制，由于其低成本、良好的業(yè)務(wù)連續(xù)性和擴(kuò)充性以及較高的安全性和靈活性，受到了設(shè)備制造商、各大網(wǎng)絡(luò)運(yùn)營(yíng)商和最終用戶的廣泛支持和肯定。1.2 產(chǎn)品特性支持情況1.2.1 全局配置l 開啟全局的802.1x特性l 設(shè)置時(shí)間參數(shù)l 設(shè)置認(rèn)證請(qǐng)求幀的最大可重復(fù)發(fā)送次數(shù)l 打開靜默定時(shí)器功能l 打開設(shè)備重啟用戶再認(rèn)證功能1.2.2 端口視圖下的配置l 開啟端口dot1xl 配置Guest VLAN功能l 配置端口允許的最大用戶數(shù)l 端口接入控制方式(基于端口或基于MAC)l 端口接入控制模式（強(qiáng)制授權(quán)、非強(qiáng)制授權(quán)、自動(dòng)）l 客戶端版本檢測(cè)l 代理檢測(cè)1.2.3 注意事項(xiàng)l 只有全局開啟dot1x特性后，dot1x的配置才會(huì)生效。l 在啟用dot1x功能前，可以配置設(shè)備或以太網(wǎng)端口的dot1x相關(guān)參數(shù)，但這些配置并不生效；啟用dot1x功能后，提前配置的dot1x相關(guān)參數(shù)將生效。l 關(guān)閉dot1x功能后，交換機(jī)上配置的dot1x相關(guān)參數(shù)仍被保留；當(dāng)dot1x功能重新啟動(dòng)后，以前所做的這些dot1x相關(guān)配置依然生效。第2章 配置命令介紹2.1 802.1x相關(guān)功能配置命令要實(shí)現(xiàn)802.1x功能，需要對(duì)接入用戶、交換機(jī)、認(rèn)證/授權(quán)服務(wù)器三個(gè)部分進(jìn)行正確配置。l 接入用戶端：保證用戶PC使用正確的客戶端。l 交換機(jī)：需要進(jìn)行802.1x配置和AAA相關(guān)配置。l 認(rèn)證/授權(quán)服務(wù)器：需要進(jìn)行正確的配置。下面僅介紹交換機(jī)上所需的802.1x相關(guān)配置命令，其他配置請(qǐng)參見相關(guān)設(shè)備手冊(cè)。表2-1 802.1x相關(guān)功能配置命令功能命令說明開啟全局的802.1x特性dot1x必選缺省情況下，全局的802.1x特性為關(guān)閉狀態(tài)開啟端口的802.1x特性系統(tǒng)視圖下dot1x interface interface-list 必選缺省情況下，端口的802.1x特性均為關(guān)閉狀態(tài)，只有端口和全局802.1x特性均開啟，802.1x的相應(yīng)配置才能生效端口視圖下dot1x設(shè)置端口接入控制方式dot1x port-method macbased | portbased interface interface-list 可選缺省情況下，802.1x在端口上進(jìn)行接入控制方式為macbased。使用Guest VLAN功能時(shí)必須保持portbased的接入控制方式開啟Guest VLAN功能dot1x guest-vlan vlan-id interface interface-list 可選缺省情況下，Guest VLAN功能處于關(guān)閉狀態(tài)。配置為Guest VLAN的vlan-id必需事先已經(jīng)創(chuàng)建第3章 典型企業(yè)網(wǎng)絡(luò)接入認(rèn)證應(yīng)用& 說明：不同型號(hào)的設(shè)備，配置的細(xì)節(jié)或顯示信息會(huì)稍有差異，這里以H3C S3600系列交換機(jī)（軟件版本為Release 1510）為例。3.1 網(wǎng)絡(luò)應(yīng)用分析某企業(yè)網(wǎng)的管理者希望在交換機(jī)各端口上對(duì)用戶接入進(jìn)行認(rèn)證，以控制用戶對(duì)相應(yīng)資源的訪問，詳細(xì)網(wǎng)絡(luò)應(yīng)用需求分析如表3-1所示。表3-1 網(wǎng)絡(luò)應(yīng)用分析網(wǎng)絡(luò)需求相關(guān)設(shè)備所需配置接入用戶受控，必須通過認(rèn)證才能訪問網(wǎng)絡(luò)啟動(dòng)802.1x特性用戶未通過認(rèn)證時(shí)，只能受限訪問網(wǎng)絡(luò)VLAN 10啟用Guest VLAN功能。用戶通過認(rèn)證后，可以訪問網(wǎng)絡(luò)VLAN 100動(dòng)態(tài)VLAN下發(fā)配置計(jì)費(fèi)方式為50元包月，其訪問網(wǎng)絡(luò)的帶寬為2M在RADIUS Server上設(shè)置計(jì)費(fèi)策略、帶寬限制策略用戶上線后將IP與Mac進(jìn)行綁定 MAC+IP綁定功能設(shè)置在線閑置20分鐘后，服務(wù)器強(qiáng)制切斷用戶連接啟用閑置用戶切斷功能設(shè)備無預(yù)警重啟后，在線用戶可以重新認(rèn)證并成功配置設(shè)備重啟用戶再認(rèn)證功能3.2 組網(wǎng)圖圖3-1 典型企業(yè)網(wǎng)應(yīng)用組網(wǎng)圖3.3 配置步驟3.3.1 交換機(jī)上的配置 設(shè)置RADIUS方案cams，設(shè)置主備服務(wù)器。 system-viewH3C radius scheme camsH3C-radius-cams primary authentication 192.168.1.19H3C-radius-cams primary accounting 192.168.1.19H3C-radius-cams secondary authentication 192.168.1.20H3C-radius-cams secondary accounting 192.168.1.20 設(shè)置系統(tǒng)與認(rèn)證Radius服務(wù)器交互報(bào)文時(shí)加密密碼為expert，與計(jì)費(fèi)Radius服務(wù)器交互報(bào)文的加密密碼為expert。H3C-radius-cams key authentication expertH3C-radius-cams key accounting expert設(shè)置用戶名為帶域名格式。H3C-radius-cams user-name-format with-domain服務(wù)類型為extended。H3C-radius-cams server-type extended 配置設(shè)備重啟用戶再認(rèn)證功能。H3C-radius-cams accounting-on enable 定義ISP域abc，并配置認(rèn)證采用RADIUS方案cams。H3C domain abcH3C-isp-abc radius-scheme camsH3C-isp-abc quit 將ISP域abc設(shè)置為缺省ISP域。H3C domain default enable abc 動(dòng)態(tài)VLAN下發(fā)模式H3C-isp-abc vlan-assignment-mode integer 用戶接入端口啟用Guest VLAN功能H3C vlan 10H3C-Ethernet1/0/3 dot1x port-method portbasedH3C-Ehternet1/0/3 dot1x guest-vlan 10 啟用802.1xH3C dot1x 端口視圖下啟用dot1xH3C-Ethernet1/0/3 dot1x 使用display命令可以查看關(guān)于802.1x，AAA相關(guān)參數(shù)配置。H3C display dot1x interface ethernet1/0/3Global 802.1x protocol is enabledCHAP authentication is enabledDHCP-launch is disabledProxy trap checker is disabledProxy logoff checker is disabledConfiguration: Transmit Period 30 s, Handshake Period 15 s ReAuth Period 3600 s, ReAuth MaxTimes 2 Quiet Period 60 s, Quiet Period Timer is disabled Supp Timeout 30 s, Server Timeout 100 s Interval between version requests is 30s Maximal request times for version information is 3 The maximal retransmitting times 2Total maximum 802.1x user resource number is 1024Total current used 802.1x resource number is 0Ethernet1/0/3 is link-up 802.1x protocol is enabled Proxy trap checker is disabled Proxy logoff checker is disabled Version-Check is disabled The port is an authenticator Authentication Mode is Auto Port Control Type is Port-based ReAuthenticate is disabled Max number of on-line users is 256 Authentication Success: 0, Failed: 0 EAPOL Packets: Tx 0, Rx 0 Sent EAP Request/Identity Packets : 0 EAP Request/Challenge Packets: 0 Received EAPOL Start Packets : 0 EAPOL LogOff Packets: 0 EAP Response/Identity Packets : 0 EAP Response/Challenge Packets: 0 Error Packets: 0 Controlled User(s) amount to 0 H3C display radius scheme camsSchemeName =cams Index=1 Type=extendedPrimary Auth IP =192.168.1.19 Port=1812Primary Acct IP =192.168.1.19 Port=1813Second Auth IP =192.168.1.20 Port=1812Second Acct IP =192.168.1.20 Port=1813Auth Server Encryption Key= expertAcct Server Encryption Key= expertAccounting method = requiredAccounting-On packet enable, send times = 15 , interval = 3sTimeOutValue(in second)=3 RetryTimes=3 RealtimeACCT(in minute)=12Permitted send realtime PKT failed counts =5Retry sending times of noresponse acct-stop-PKT =500Quiet-interval(min) =5Username format =with-domainData flow unit =BytePacket unit =1unit 1 :Primary Auth State=active, Second Auth State=activePrimary Acc State=active, Second Acc State=active H3C display domain abcThe contents of Domain abc: State = Active RADIUS Scheme = cams Access-limit = Disable Vlan-assignment-mode = Integer Domain User Template: Idle-cut = Disable Self-service = Disable Messenger Time = Disable 3.3.2 RADIUS Server上的配置（以CAMS 1.20標(biāo)準(zhǔn)版為例）CAMS認(rèn)證/授權(quán)、計(jì)費(fèi)服務(wù)器的配置，主要由以下四個(gè)部分組成：創(chuàng)建計(jì)費(fèi)策略、創(chuàng)建服務(wù)類型、添加用戶信息、接入網(wǎng)段及協(xié)議配置。本文所述CAMS綜合訪問服務(wù)器的版本為V1.20（標(biāo)準(zhǔn)版）。1. 登陸CAMS服務(wù)器(1) 在登陸頁面輸入正確的用戶名、密碼登陸CAMS服務(wù)器圖3-2 CAMS登陸頁面(2) 登陸成功后頁面如圖所示：圖3-3 CAMS首頁面2. 創(chuàng)建計(jì)費(fèi)策略(1) 進(jìn)入計(jì)費(fèi)策略頁面登錄CAMS服務(wù)器配置平臺(tái)，點(diǎn)擊左側(cè)的“資費(fèi)管理”下的“計(jì)費(fèi)策略”，進(jìn)入“計(jì)費(fèi)策略管理”界面，如圖所示。圖3-4 計(jì)費(fèi)策略管理頁面從列表中可以看到已有的計(jì)費(fèi)策略，可以選擇對(duì)已有計(jì)費(fèi)策略進(jìn)行“查詢”、“修改”或“維護(hù)”。(2) 創(chuàng)建計(jì)費(fèi)策略點(diǎn)擊“計(jì)費(fèi)策略管理”界面上方的“增加”按鈕：新建“包月計(jì)費(fèi)”的計(jì)費(fèi)策略。圖3-5 計(jì)費(fèi)策略基本信息頁面(3) 點(diǎn)擊下一步：選擇“按時(shí)長(zhǎng)計(jì)費(fèi)”，計(jì)費(fèi)周期“月為周期”，周期內(nèi)固定費(fèi)用“50元每月”。圖3-6 計(jì)費(fèi)屬性設(shè)置頁面點(diǎn)擊完成，成功添加新的計(jì)費(fèi)策略“包月計(jì)費(fèi)”。3. 創(chuàng)建服務(wù)類型(1) 進(jìn)入服務(wù)配置界面登錄CAMS服務(wù)器配置平臺(tái)，點(diǎn)擊左側(cè)的“服務(wù)管理”下的“服務(wù)配置”，進(jìn)入“服務(wù)配置”界面，如圖所示。圖3-7 服務(wù)配置頁面從列表中可以看到已有的服務(wù)類型，可以選擇對(duì)已有服務(wù)類型進(jìn)行“查詢”、“修改”或“刪除”。(2) 創(chuàng)建服務(wù)類型點(diǎn)擊“服務(wù)配置”界面上方的“增加”按鈕：新建服務(wù)名為“abc”的服務(wù)類型，服務(wù)后綴名為“abc”。計(jì)費(fèi)策略為“包月計(jì)費(fèi)”，上下行速率限制為2M（2048Kbps），認(rèn)證成功后下發(fā)VLAN 100。認(rèn)證綁定選擇綁定用戶IP和綁定用戶MAC地址。圖3-8 增加服務(wù)頁面點(diǎn)擊確定，成功添加服務(wù)類型。4. 添加帳戶用戶(1) 進(jìn)入用戶帳戶界面登錄CAMS服務(wù)器配置平臺(tái)，點(diǎn)擊左側(cè)的“用戶管理”的“帳號(hào)用戶”，進(jìn)入“帳戶管理”界面。圖3-9 用戶帳戶界面從列表中可以看到已有的帳戶用戶，可以選擇對(duì)已有帳戶用戶進(jìn)行維護(hù)。(2) 創(chuàng)建用戶帳戶選擇頁面上方“增加”：用戶為info 密碼為info 用戶姓名為Bruce，預(yù)付費(fèi)用戶，預(yù)付金額 100 元。并添加 綁定的用戶IP地址、網(wǎng)卡MAC地址，在線數(shù)量限制為1，最大閑置時(shí)長(zhǎng) 20分鐘。在“服務(wù)信息”一欄，選擇服務(wù)名稱abc。圖3-10 用戶開戶頁面點(diǎn)擊確定完成帳戶用戶添加。5. 接入設(shè)備配置(1) 進(jìn)入系統(tǒng)配置頁面登錄CAMS服務(wù)器配置平臺(tái)，點(diǎn)擊左側(cè)的“系統(tǒng)管理”的“系統(tǒng)配置”，進(jìn)入“系統(tǒng)配置”界面。圖3-11 系統(tǒng)配置頁面(2) 選擇修改“接入設(shè)備配置”，修改 接入設(shè)備的地址、密鑰及認(rèn)證、計(jì)費(fèi)處理端口等信息。圖3-12 接入設(shè)備配置列表頁面6. 接入設(shè)備配置(1) 點(diǎn)擊頁面下方的“增加”按鈕，增加配置項(xiàng)。圖3-13 增加配置項(xiàng)頁面(2) 點(diǎn)擊確定后，可以看到如下提示：圖3-14 操作成功提示(3) 此時(shí)需要返回“系統(tǒng)配置”頁面，點(diǎn)擊“立即生效”。圖3-15 系統(tǒng)配置頁面的立即生效按鈕3.3.3 接入用戶PC上的操作PC上需要安裝802.1x客戶端。客戶端可是選擇H3C公司802.1X客戶端產(chǎn)品，也可以是XP自帶客戶