




已閱讀5頁,還剩20頁未讀, 繼續(xù)免費閱讀
版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
目 錄1 802.1x配置. 1-11.1 802.1x簡介. 1-11.1.1 802.1x的體系結(jié)構(gòu). 1-11.1.2 802.1x的基本概念. 1-21.1.3 EAPOL消息的封裝. 1-31.1.4 EAP屬性的封裝. 1-41.1.5 802.1x的認(rèn)證觸發(fā)方式. 1-51.1.6 802.1x的認(rèn)證過程. 1-51.1.7 802.1x的定時器. 1-81.1.8 802.1x在設(shè)備中的實現(xiàn). 1-91.1.9 和802.1x配合使用的特性. 1-91.2 配置802.1x. 1-101.2.1 配置準(zhǔn)備. 1-101.2.2 配置全局802.1x. 1-111.2.3 配置端口的802.1x. 1-121.3 配置802.1x的Guest VLAN. 1-131.3.1 配置準(zhǔn)備. 1-131.3.2 配置Guest VLAN. 1-131.4 802.1x顯示和維護. 1-141.5 802.1x典型配置舉例. 1-141.6 Guest VLAN、VLAN下發(fā)典型配置舉例. 1-161 802.1x配置1.1 802.1x簡介IEEE802 LAN/WAN委員會為解決無線局域網(wǎng)網(wǎng)絡(luò)安全問題,提出了802.1x協(xié)議。后來,802.1x協(xié)議作為局域網(wǎng)端口的一個普通接入控制機制在以太網(wǎng)中被廣泛應(yīng)用,主要解決以太網(wǎng)內(nèi)認(rèn)證和安全方面的問題。802.1x協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議(port based network access control protocol)?!盎诙丝诘木W(wǎng)絡(luò)接入控制”是指在局域網(wǎng)接入設(shè)備的端口這一級對所接入的用戶設(shè)備進(jìn)行認(rèn)證和控制。連接在端口上的用戶設(shè)備如果能通過認(rèn)證,就可以訪問局域網(wǎng)中的資源;如果不能通過認(rèn)證,則無法訪問局域網(wǎng)中的資源。1.1.1 802.1x的體系結(jié)構(gòu)802.1x系統(tǒng)為典型的Client/Server結(jié)構(gòu),如圖1-1所示,包括三個實體:客戶端(Client)、設(shè)備端(Device)和認(rèn)證服務(wù)器(Server)。圖1-1 802.1x認(rèn)證系統(tǒng)的體系結(jié)構(gòu)l 客戶端是位于局域網(wǎng)段一端的一個實體,由該鏈路另一端的設(shè)備端對其進(jìn)行認(rèn)證??蛻舳艘话銥橐粋€用戶終端設(shè)備,用戶可以通過啟動客戶端軟件發(fā)起802.1x認(rèn)證??蛻舳吮仨氈С諩APOL(Extensible Authentication Protocol over LAN,局域網(wǎng)上的可擴展認(rèn)證協(xié)議)。l 設(shè)備端是位于局域網(wǎng)段一端的另一個實體,對所連接的客戶端進(jìn)行認(rèn)證。設(shè)備端通常為支持802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備,它為客戶端提供接入局域網(wǎng)的端口,該端口可以是物理端口,也可以是邏輯端口。l 認(rèn)證服務(wù)器是為設(shè)備端提供認(rèn)證服務(wù)的實體。認(rèn)證服務(wù)器用于實現(xiàn)對用戶進(jìn)行認(rèn)證、授權(quán)和計費,通常為RADIUS(Remote Authentication Dial-In User Service,遠(yuǎn)程認(rèn)證撥號用戶服務(wù))服務(wù)器。802.1x認(rèn)證系統(tǒng)使用EAP(Extensible Authentication Protocol,可擴展認(rèn)證協(xié)議),來實現(xiàn)客戶端、設(shè)備端和認(rèn)證服務(wù)器之間認(rèn)證信息的交換。l 在客戶端與設(shè)備端之間,EAP協(xié)議報文使用EAPOL封裝格式,直接承載于LAN環(huán)境中。l 在設(shè)備端與RADIUS服務(wù)器之間,可以使用兩種方式來交換信息。一種是EAP協(xié)議報文使用EAPOR(EAP over RADIUS)封裝格式承載于RADIUS協(xié)議中;另一種是EAP協(xié)議報文由設(shè)備端進(jìn)行終結(jié),采用包含PAP(Password Authentication Protocol,密碼驗證協(xié)議)或CHAP(Challenge Handshake Authentication Protocal,質(zhì)詢握手驗證協(xié)議)屬性的報文與RADIUS服務(wù)器進(jìn)行認(rèn)證交互。1.1.2 802.1x的基本概念圖1-2顯示了受控端口上不同的授權(quán)狀態(tài)對通過該端口報文的影響。圖中對比了兩個802.1x認(rèn)證系統(tǒng)的端口狀態(tài)。系統(tǒng)1的受控端口處于非授權(quán)狀態(tài)(相當(dāng)于端口開關(guān)打開),系統(tǒng)2的受控端口處于授權(quán)狀態(tài)(相當(dāng)于端口開關(guān)關(guān)閉)。圖1-2 受控端口上授權(quán)狀態(tài)的影響1. 受控/非受控端口設(shè)備端為客戶端提供接入局域網(wǎng)的端口,這個端口被劃分為兩個邏輯端口:受控端口和非受控端口。任何到達(dá)該端口的幀,在受控端口與非受控端口上均可見。l 非受控端口始終處于雙向連通狀態(tài),主要用來傳遞EAPOL協(xié)議幀,保證客戶端始終能夠發(fā)出或接收認(rèn)證報文。l 受控端口在授權(quán)狀態(tài)下處于雙向連通狀態(tài),用于傳遞業(yè)務(wù)報文;在非授權(quán)狀態(tài)下禁止從客戶端接收任何報文。2. 授權(quán)/非授權(quán)狀態(tài)設(shè)備端利用認(rèn)證服務(wù)器對需要接入局域網(wǎng)的客戶端執(zhí)行認(rèn)證,并根據(jù)認(rèn)證結(jié)果(Accept或Reject)對受控端口的授權(quán)/非授權(quán)狀態(tài)進(jìn)行相應(yīng)地控制。用戶可以通過在端口下配置的接入控制的模式來控制端口的授權(quán)狀態(tài)。端口支持以下三種接入控制模式:l 強制授權(quán)模式(authorized-force):表示端口始終處于授權(quán)狀態(tài),允許用戶不經(jīng)認(rèn)證授權(quán)即可訪問網(wǎng)絡(luò)資源。l 強制非授權(quán)模式(unauthorized-force):表示端口始終處于非授權(quán)狀態(tài),不允許用戶進(jìn)行認(rèn)證。設(shè)備端不對通過該端口接入的客戶端提供認(rèn)證服務(wù)。l 自動識別模式(auto):表示端口初始狀態(tài)為非授權(quán)狀態(tài),僅允許EAPOL報文收發(fā),不允許用戶訪問網(wǎng)絡(luò)資源;如果認(rèn)證通過,則端口切換到授權(quán)狀態(tài),允許用戶訪問網(wǎng)絡(luò)資源。這也是最常見的情況。3. 受控方向在非授權(quán)狀態(tài)下,受控端口可以被設(shè)置成單向受控和雙向受控。l 實行雙向受控時,禁止幀的發(fā)送和接收;l 實行單向受控時,禁止從客戶端接收幀,但允許向客戶端發(fā)送幀。目前,設(shè)備只支持單向受控。1.1.3 EAPOL消息的封裝1. EAPOL數(shù)據(jù)包的格式EAPOL是802.1x協(xié)議定義的一種報文封裝格式,主要用于在客戶端和設(shè)備端之間傳送EAP協(xié)議報文,以允許EAP協(xié)議報文在LAN上傳送。EAPOL數(shù)據(jù)包的格式如圖1-3所示。圖1-3 EAPOL數(shù)據(jù)包格式PAE Ethernet Type:表示協(xié)議類型,為0x888E。Protocol Version:表示EAPOL幀的發(fā)送方所支持的協(xié)議版本號。Type:表示EAPOL數(shù)據(jù)幀類型,目前設(shè)備上支持的數(shù)據(jù)類型見表1-1。表1-1 EAPOL數(shù)據(jù)類型類型說明EAP-Packet(值為0x00):認(rèn)證信息幀,用于承載認(rèn)證信息該幀在設(shè)備端和認(rèn)證服務(wù)器之間存在,重新封裝并承載于RADIUS協(xié)議上,便于穿越復(fù)雜的網(wǎng)絡(luò)到達(dá)認(rèn)證服務(wù)器EAPOL-Start(值為0x01):認(rèn)證發(fā)起幀這兩種類型的幀僅在客戶端和設(shè)備端之間存在EAPOL-Logoff(值為0x02):退出請求幀Length:表示數(shù)據(jù)長度,也就是“Packet Body”字段的長度,單位為字節(jié)。如果為0,則表示沒有后面的數(shù)據(jù)域。Packet Body:表示數(shù)據(jù)內(nèi)容,根據(jù)不同的Type有不同的格式。2. EAP數(shù)據(jù)包的格式當(dāng)EAPOL數(shù)據(jù)包格式Type域為EAP-Packet時,Packet Body為EAP數(shù)據(jù)包結(jié)構(gòu),如圖1-4所示。圖1-4 EAP數(shù)據(jù)包格式Code:指明EAP包的類型,共有4種:Request、Response、Success、Failure。l Success和Failure類型的包沒有Data域,相應(yīng)的Length域的值為4。l Request和Response類型數(shù)據(jù)包的Data域的格式如圖1-5所示。Type為EAP的認(rèn)證類型,Type data的內(nèi)容由類型決定。例如,Type值為1時代表Identity,用來查詢對方的身份;Type值為4時,代表MD5-Challenge,類似于PPP CHAP協(xié)議,包含質(zhì)詢消息。圖1-5 Request和Response類型數(shù)據(jù)包的Data域的格式Identifier:輔助進(jìn)行Request和Response消息的匹配。Length:EAP包的長度,包含Code、Identifier、Length和Data域,單位為字節(jié)。Data:EAP包的內(nèi)容,由Code類型決定。1.1.4 EAP屬性的封裝RADIUS為支持EAP認(rèn)證增加了兩個屬性:EAP-Message(EAP消息)和Message-Authenticator(消息認(rèn)證碼)。RADIUS協(xié)議的報文格式請參見“安全分冊”中的“AAA配置”的RADIUS協(xié)議簡介部分。1. EAP-Message如圖1-6所示,這個屬性用來封裝EAP數(shù)據(jù)包,類型代碼為79,String域最長253字節(jié),如果EAP數(shù)據(jù)包長度大于253字節(jié),可以對其進(jìn)行分片,依次封裝在多個EAP-Message屬性中。圖1-6 EAP-Message屬性封裝2. Message-Authenticator如圖1-7所示,這個屬性用于在使用EAP、CHAP等認(rèn)證方法的過程中,避免接入請求包被竊聽。在含有EAP-Message屬性的數(shù)據(jù)包中,必須同時也包含Message-Authenticator,否則該數(shù)據(jù)包會被認(rèn)為無效而被丟棄。圖1-7 Message-Authenticator屬性1.1.5 802.1x的認(rèn)證觸發(fā)方式802.1x的認(rèn)證過程可以由客戶端主動發(fā)起,也可以由設(shè)備端發(fā)起。設(shè)備支持的認(rèn)證觸發(fā)方式包括以下兩種:1. 標(biāo)準(zhǔn)EAP觸發(fā)方式客戶端主動向設(shè)備端發(fā)送EAPOL-Start報文來觸發(fā)認(rèn)證,該報文目的地址為IEEE 802.1x協(xié)議分配的一個組播MAC地址:01-80-C2-00-00-03。另外,由于網(wǎng)絡(luò)中有些設(shè)備不支持上述的組播報文,使得認(rèn)證設(shè)備無法收到客戶端的認(rèn)證請求,因此設(shè)備端還支持廣播觸發(fā)方式,即,可以接收客戶端發(fā)送的目的地址為廣播MAC地址的EAPOL-Start報文。這種觸發(fā)方式需要H3C iNode的802.1x客戶端的配合。2. 設(shè)備主動觸發(fā)方式設(shè)備會每隔N秒(缺省為30秒)主動向客戶端發(fā)送EAP-Request/Identity報文來觸發(fā)認(rèn)證,這種觸發(fā)方式用于支持不能主動發(fā)送EAPOL-Start報文的客戶端,例如Windows XP自帶的802.1x客戶端。1.1.6 802.1x的認(rèn)證過程802.1x系統(tǒng)支持EAP中繼方式和EAP終結(jié)方式與遠(yuǎn)端RADIUS服務(wù)器交互完成認(rèn)證。以下關(guān)于兩種認(rèn)證方式的過程描述,都以客戶端主動發(fā)起認(rèn)證為例。1. EAP中繼方式這種方式是IEEE 802.1x標(biāo)準(zhǔn)規(guī)定的,將EAP(可擴展認(rèn)證協(xié)議)承載在其它高層協(xié)議中,如EAP over RADIUS,以便擴展認(rèn)證協(xié)議報文穿越復(fù)雜的網(wǎng)絡(luò)到達(dá)認(rèn)證服務(wù)器。一般來說,EAP中繼方式需要RADIUS服務(wù)器支持EAP屬性:EAP-Message和Message-Authenticator,分別用來封裝EAP報文及對攜帶EAP-Message的RADIUS報文進(jìn)行保護。下面以EAP-MD5方式為例介紹基本業(yè)務(wù)流程,如圖1-8所示。圖1-8 IEEE 802.1x認(rèn)證系統(tǒng)的EAP中繼方式業(yè)務(wù)流程認(rèn)證過程如下:(1) 當(dāng)用戶有訪問網(wǎng)絡(luò)需求時打開802.1x客戶端程序,輸入已經(jīng)申請、登記過的用戶名和密碼,發(fā)起連接請求(EAPOL-Start報文)。此時,客戶端程序?qū)l(fā)出請求認(rèn)證的報文給設(shè)備端,開始啟動一次認(rèn)證過程。(2) 設(shè)備端收到請求認(rèn)證的數(shù)據(jù)幀后,將發(fā)出一個請求幀(EAP-Request/Identity報文)要求用戶的客戶端程序發(fā)送輸入的用戶名。(3) 客戶端程序響應(yīng)設(shè)備端發(fā)出的請求,將用戶名信息通過數(shù)據(jù)幀(EAP-Response/Identity報文)發(fā)送給設(shè)備端。設(shè)備端將客戶端發(fā)送的數(shù)據(jù)幀經(jīng)過封包處理后(RADIUS Access-Request報文)送給認(rèn)證服務(wù)器進(jìn)行處理。(4) RADIUS服務(wù)器收到設(shè)備端轉(zhuǎn)發(fā)的用戶名信息后,將該信息與數(shù)據(jù)庫中的用戶名表對比,找到該用戶名對應(yīng)的密碼信息,用隨機生成的一個加密字對它進(jìn)行加密處理,同時也將此加密字通過RADIUS Access-Challenge報文發(fā)送給設(shè)備端,由設(shè)備端轉(zhuǎn)發(fā)給客戶端程序。(5) 客戶端程序收到由設(shè)備端傳來的加密字(EAP-Request/MD5 Challenge報文)后,用該加密字對密碼部分進(jìn)行加密處理(此種加密算法通常是不可逆的,生成EAP-Response/MD5 Challenge報文),并通過設(shè)備端傳給認(rèn)證服務(wù)器。(6) RADIUS服務(wù)器將收到的已加密的密碼信息(RADIUS Access-Request報文)和本地經(jīng)過加密運算后的密碼信息進(jìn)行對比,如果相同,則認(rèn)為該用戶為合法用戶,反饋認(rèn)證通過的消息(RADIUS Access-Accept報文和EAP-Success報文)。(7) 設(shè)備收到認(rèn)證通過消息后將端口改為授權(quán)狀態(tài),允許用戶通過端口訪問網(wǎng)絡(luò)。在此期間,設(shè)備端會通過向客戶端定期發(fā)送握手報文的方法,對用戶的在線情況進(jìn)行監(jiān)測。缺省情況下,兩次握手請求報文都得不到客戶端應(yīng)答,設(shè)備端就會讓用戶下線,防止用戶因為異常原因下線而設(shè)備無法感知。(8) 客戶端也可以發(fā)送EAPOL-Logoff報文給設(shè)備端,主動要求下線。設(shè)備端把端口狀態(tài)從授權(quán)狀態(tài)改變成未授權(quán)狀態(tài),并向客戶端發(fā)送EAP-Failure報文。EAP中繼方式下,需要保證在客戶端和RADIUS服務(wù)器上選擇一致的EAP認(rèn)證方法,而在設(shè)備上,只需要通過dot1x authentication-method eap命令啟動EAP中繼方式即可。2. EAP終結(jié)方式這種方式將EAP報文在設(shè)備端終結(jié)并映射到RADIUS報文中,利用標(biāo)準(zhǔn)RADIUS協(xié)議完成認(rèn)證、授權(quán)和計費。設(shè)備端與RADIUS服務(wù)器之間可以采用PAP或者CHAP認(rèn)證方法。以下以CHAP認(rèn)證方法為例介紹基本業(yè)務(wù)流程,如圖1-9所示。圖1-9 IEEE 802.1x認(rèn)證系統(tǒng)的EAP終結(jié)方式業(yè)務(wù)流程EAP終結(jié)方式與EAP中繼方式的認(rèn)證流程相比,不同之處在于用來對用戶密碼信息進(jìn)行加密處理的隨機加密字由設(shè)備端生成,之后設(shè)備端會把用戶名、隨機加密字和客戶端加密后的密碼信息一起送給RADIUS服務(wù)器,進(jìn)行相關(guān)的認(rèn)證處理。1.1.7 802.1x的定時器802.1x認(rèn)證過程中會啟動多個定時器以控制接入用戶、設(shè)備以及RADIUS服務(wù)器之間進(jìn)行合理、有序的交互。802.1x的定時器主要有以下幾種:l 用戶名請求超時定時器(tx-period):該定時器定義了兩個時間間隔。其一,當(dāng)設(shè)備端向客戶端發(fā)送EAP-Request/Identity請求報文后,設(shè)備端啟動該定時器,若在tx-period設(shè)置的時間間隔內(nèi),設(shè)備端沒有收到客戶端的響應(yīng),則設(shè)備端將重發(fā)認(rèn)證請求報文;其二,為了兼容不主動發(fā)送EAPOL-Start連接請求報文的客戶端,設(shè)備會定期組播EAP-Request/Identity請求報文來檢測客戶端。tx-period定義了該組播報文的發(fā)送時間間隔。l 客戶端認(rèn)證超時定時器(supp-timeout):當(dāng)設(shè)備端向客戶端發(fā)送了EAP-Request/MD5 Challenge請求報文后,設(shè)備端啟動此定時器,若在該定時器設(shè)置的時長內(nèi),設(shè)備端沒有收到客戶端的響應(yīng),設(shè)備端將重發(fā)該報文。l 認(rèn)證服務(wù)器超時定時器(server-timeout):當(dāng)設(shè)備端向認(rèn)證服務(wù)器發(fā)送了RADIUS Access-Request請求報文后,設(shè)備端啟動server-timeout定時器,若在該定時器設(shè)置的時長內(nèi),設(shè)備端沒有收到認(rèn)證服務(wù)器的響應(yīng),設(shè)備端將重發(fā)認(rèn)證請求報文。l 握手定時器(handshake-period):此定時器是在用戶認(rèn)證成功后啟動的,設(shè)備端以此間隔為周期發(fā)送握手請求報文,以定期檢測用戶的在線情況。如果配置發(fā)送次數(shù)為N,則當(dāng)設(shè)備端連續(xù)N次沒有收到客戶端的響應(yīng)報文,就認(rèn)為用戶已經(jīng)下線。l 靜默定時器(quiet-period):對用戶認(rèn)證失敗以后,設(shè)備端需要靜默一段時間(該時間由靜默定時器設(shè)置),在靜默期間,設(shè)備端不處理該用戶的認(rèn)證請求。1.1.8 802.1x在設(shè)備中的實現(xiàn)設(shè)備在802.1x的EAP中繼方式和EAP終結(jié)方式的實現(xiàn)中,不僅支持協(xié)議所規(guī)定的端口接入認(rèn)證方式,還對其進(jìn)行了擴展、優(yōu)化:l 支持一個物理端口下掛接多個用戶的應(yīng)用場合;l 接入控制方式(即對用戶的認(rèn)證方式)可以采用基于MAC和基于端口兩種方式。當(dāng)采用基于MAC方式時,該端口下的所有接入用戶均需要單獨認(rèn)證,當(dāng)某個用戶下線時,也只有該用戶無法使用網(wǎng)絡(luò)。當(dāng)采用基于端口方式時,只要該端口下的第一個用戶認(rèn)證成功后,其它接入用戶無須認(rèn)證就可使用網(wǎng)絡(luò)資源,但是當(dāng)?shù)谝粋€用戶下線后,其它用戶也會被拒絕使用網(wǎng)絡(luò)。1.1.9 和802.1x配合使用的特性1. VLAN下發(fā)802.1x用戶在服務(wù)器上通過認(rèn)證時,服務(wù)器會把授權(quán)信息傳送給設(shè)備端。如果服務(wù)器上配置了下發(fā)VLAN功能,則授權(quán)信息中含有授權(quán)下發(fā)的VLAN信息,設(shè)備根據(jù)用戶認(rèn)證上線的端口鏈路類型,按以下三種情況將端口加入下發(fā)VLAN中。l 端口的鏈路類型為Access,當(dāng)前Access端口離開用戶配置的VLAN并加入授權(quán)下發(fā)的VLAN中。l 端口的鏈路類型為Trunk,設(shè)備允許授權(quán)下發(fā)的VLAN通過當(dāng)前Trunk端口,并且端口的缺省VLAN ID為下發(fā)VLAN的VLAN ID。l 端口的鏈路類型為Hybrid,設(shè)備允許授權(quán)下發(fā)的VLAN以不攜帶Tag的方式通過當(dāng)前Hybrid端口,并且端口的缺省VLAN ID為下發(fā)VLAN的VLAN ID。授權(quán)下發(fā)的VLAN并不改變端口的配置,也不影響端口的配置。但是,授權(quán)下發(fā)的VLAN的優(yōu)先級高于用戶配置的VLAN,即通過認(rèn)證后起作用的VLAN是授權(quán)下發(fā)的VLAN,用戶配置的VLAN在用戶下線后生效。關(guān)于不同端口鏈路類型下VLAN的具體配置請參見“接入分冊”中的“VLAN配置”。l 對于Hybrid端口,如果授權(quán)下發(fā)的VLAN已經(jīng)配置為攜帶Tag的方式加入端口,則VLAN下發(fā)失敗。l 對于Hybrid端口,在VLAN下發(fā)之后,不能將授權(quán)下發(fā)的VLAN配置修改為攜帶Tag的方式。2. Guest VLANGuest VLAN功能用來允許未認(rèn)證用戶訪問某些特定資源。用戶認(rèn)證端口在通過802.1x認(rèn)證之前屬于一個缺省VLAN(即Guest VLAN),用戶訪問該VLAN內(nèi)的資源不需要認(rèn)證,但此時不能夠訪問其他網(wǎng)絡(luò)資源;認(rèn)證成功后,端口離開Guest VLAN,用戶可以訪問其他的網(wǎng)絡(luò)資源。用戶在Guest VLAN中可以獲取802.1x客戶端軟件,升級客戶端,或執(zhí)行其他一些用戶升級程序。如果因為沒有專用的認(rèn)證客戶端或者客戶端版本過低等原因,導(dǎo)致在一定的時間內(nèi)(默認(rèn)45秒)端口上無客戶端認(rèn)證成功,接入設(shè)備會把該端口加入到Guest VLAN。開啟802.1x特性并正確配置Guest VLAN后,當(dāng)設(shè)備從某一端口發(fā)送觸發(fā)認(rèn)證報文(EAP-Request/Identity)超過設(shè)定的最大次數(shù)而沒有收到客戶端的任何回應(yīng)報文時,與VLAN下發(fā)類似,該端口將按照各自的鏈路類型情況被加入到Guest VLAN內(nèi)。此時Guest VLAN中端口下的用戶發(fā)起認(rèn)證,如果認(rèn)證失敗,該端口將會仍然處在Guest VLAN內(nèi);如果認(rèn)證成功,分為以下兩種情況:l 認(rèn)證服務(wù)器下發(fā)一個VLAN,這時端口離開Guest VLAN,加入下發(fā)的VLAN中。用戶下線后,端口會回到配置的VLAN中(加入Guest VLAN之前所在的VLAN,即“初始VLAN”)。l 認(rèn)證服務(wù)器不下發(fā)VLAN,這時端口離開Guest VLAN,加入配置的VLAN中。用戶下線后,端口仍在配置的VLAN中。3. 指定端口的強制認(rèn)證域指定端口的強制認(rèn)證域(mandatory domain)為802.1x接入提供了一種安全控制策略。所有從該端口接入的802.1x用戶將被強制使用該認(rèn)證域來進(jìn)行認(rèn)證、授權(quán)、計費,可以防止用戶通過惡意冒充其它域賬號來接入網(wǎng)絡(luò)。另外,對于采用證書的EAP中繼方式的802.1x認(rèn)證來說,接入用戶的客戶端證書決定了用戶的域名。因此,即使所有端口上客戶端的用戶證書隸屬于同一證書頒發(fā)機構(gòu),即輸入的用戶域名相同,管理員也可以通過配置強制認(rèn)證域?qū)Σ煌丝谥付ú煌恼J(rèn)證域,從而增加了管理員部署802.1x接入策略的靈活性。1.2 配置802.1x1.2.1 配置準(zhǔn)備802.1x提供了一個用戶身份認(rèn)證的實現(xiàn)方案,但是僅僅依靠802.1x是不足以實現(xiàn)該方案的。接入設(shè)備的管理者選擇使用RADIUS或本地認(rèn)證方法,以配合802.1x完成用戶的身份認(rèn)證。因此,需要首先完成以下配置任務(wù):l 配置802.1x用戶所屬的ISP認(rèn)證域及及其使用的AAA方案,即本地認(rèn)證方案或RADIUS方案。l 如果需要通過RADIUS服務(wù)器進(jìn)行認(rèn)證,則應(yīng)該在RADIUS服務(wù)器上配置相應(yīng)的用戶名和密碼。l 如果需要本地認(rèn)證,則應(yīng)該在設(shè)備上手動添加認(rèn)證的用戶名和密碼。配置本地認(rèn)證時,用戶使用的服務(wù)類型必須設(shè)置為lan-access。RADIUS客戶端的具體配置請參見“安全分冊”中的“AAA配置”。1.2.2 配置全局802.1x表1-2 配置全局802.1x配置步驟命令說明進(jìn)入系統(tǒng)視圖system-view-開啟全局的802.1x特性dot1x必選缺省情況下,全局的802.1x特性為關(guān)閉狀態(tài)設(shè)置802.1x用戶的認(rèn)證方法dot1x authentication-method chap | eap | pap 可選缺省情況下,設(shè)備對802.1x用戶的認(rèn)證方法為CHAP認(rèn)證配置端口控制設(shè)置端口接入控制的模式dot1x port-control authorized-force | auto | unauthorized-force interface interface-list 可選缺省情況下,802.1x在端口上進(jìn)行接入控制的模式為auto設(shè)置端口接入控制方式dot1x port-method macbased | portbased interface interface-list 可選缺省情況下,802.1x在端口上進(jìn)行接入控制方式為macbased設(shè)置端口同時接入用戶數(shù)量的最大值dot1x max-user user-number interface interface-list 可選 參數(shù)user-number的缺省值為1024設(shè)置設(shè)備向接入用戶發(fā)送認(rèn)證請求報文的最大次數(shù)dot1x retry max-retry-value可選,缺省情況下,max-retry-value為2,即設(shè)備最多可向接入用戶發(fā)送2次認(rèn)證請求報文配置定時器參數(shù)dot1x timer handshake-period handshake-period-value | quiet-period quiet-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value | tx-period tx-period-value 可選缺省情況下:l 握手定時器的值為15秒l 靜默定時器的值為60秒l 認(rèn)證服務(wù)器超時定時器的值為100秒l 客戶端認(rèn)證超時定時器的值為30秒l 用戶名請求超時定時器的值為30秒開啟靜默定時器功能dot1x quiet-period可選,缺省情況下,靜默定時器功能處于關(guān)閉狀態(tài)l 只有同時開啟全局和端口的802.1x特性后,802.1x的配置才能在端口上生效。l 開啟端口的802.1x特性與配置端口控制(設(shè)置端口接入控制的模式、端口接入控制方式、端口同時接入用戶數(shù)量的最大值)也可在接口視圖下進(jìn)行,具體配置請參見表1-3和表1-4。全局配置與端口配置并無優(yōu)先級之分,僅是作用范圍不一致,后配置的參數(shù)會覆蓋已有的參數(shù)。l 一般情況下,用戶無需使用dot1x timer命令改變部分定時器值,除非在一些特殊或惡劣的網(wǎng)絡(luò)環(huán)境下,可以使用該命令調(diào)節(jié)交互進(jìn)程。例如,用戶網(wǎng)絡(luò)狀況比較差的情況下,可以適當(dāng)?shù)貙⒖蛻舳苏J(rèn)證超時定時器值調(diào)大一些;網(wǎng)絡(luò)處在風(fēng)險位置,容易受攻擊的情況下,可以適當(dāng)?shù)貙㈧o默定時器值調(diào)大一些,反之,可以將其調(diào)小一些來提高對用戶認(rèn)證請求的響應(yīng)速度。另外,可以通過調(diào)節(jié)認(rèn)證服務(wù)器超時定時器的值來適應(yīng)認(rèn)證服務(wù)器性能的不同情況。1.2.3 配置端口的802.1x1. 開啟端口802.1x特性表1-3 開啟端口802.1x特性配置步驟命令說明進(jìn)入系統(tǒng)視圖system-view-開啟端口的802.1x特性在系統(tǒng)視圖下dot1x interface interface-list二者必選其一缺省情況下,端口的802.1x特性為關(guān)閉狀態(tài)在以太網(wǎng)接口視圖下interface interface-type interface-numberdot1x2. 配置端口802.1x參數(shù)表1-4 配置端口802.1x參數(shù)配置步驟命令說明進(jìn)入系統(tǒng)視圖system-view-進(jìn)入以太網(wǎng)接口視圖interface interface-type interface-number-設(shè)置端口接入控制的模式dot1x port-control authorized-force | auto | unauthorized-force 可選缺省情況下,802.1x在端口上進(jìn)行接入控制的模式為auto設(shè)置端口接入控制方式dot1x port-method macbased | portbased 可選缺省情況下,802.1x在端口上進(jìn)行接入控制方式為macbased設(shè)置端口同時接入用戶數(shù)量的最大值dot1x max-user user-number 可選參數(shù)user-number的缺省值為1024開啟在線用戶握手功能dot1x handshake可選缺省情況下,開啟在線用戶握手功能開啟組播觸發(fā)功能dot1x multicast-trigger可選缺省情況下,組播觸發(fā)功能處于開啟狀態(tài)配置端口的強制認(rèn)證域dot1x mandatory-domain domain-name可選缺省情況下,未定義強制認(rèn)證域l 端口啟動802.1x與端口加入聚合組互斥。l 對于802.1x用戶,如果采用EAP中繼認(rèn)證方式,則設(shè)備會把客戶端輸入的內(nèi)容直接封裝后發(fā)給服務(wù)器,這種情況下user-name-format命令的設(shè)置無效,user-name-format的介紹請參見“安全分冊”中的“AAA命令”。l 如果802.1x客戶端配置的用戶名攜帶版本號或者用戶名中存在空格,則無法通過用戶名來檢索和切斷用戶連接,但是通過其他方式(如IP地址、連接索引號等)仍然可以檢索和切斷用戶的連接。l 若端口啟動了802.1x的組播觸發(fā)功能,則該端口會定期向客戶端發(fā)送組播觸發(fā)報文來啟動認(rèn)證。1.3 配置802.1x的Guest VLAN1.3.1 配置準(zhǔn)備l 開啟802.1x特性。l 配置端口上進(jìn)行接入控制的方式為portbased。l 配置端口上進(jìn)行接入控制的模式為auto。l 已經(jīng)創(chuàng)建需要配置為Guest VLAN的VLAN。1.3.2 配置Guest VLAN表1-5 配置Guest VLAN配置步驟命令說明進(jìn)入系統(tǒng)視圖system-view-配置指定端口的Guest VLAN在系統(tǒng)視圖下dot1x guest-vlan vlan-id interface interface-list 二者必選其一缺省情況下,端口沒有配置Guest VLAN在以太網(wǎng)端口視圖下interface interface-type interface-numberdot1x guest-vlan vlan-idl 可以指定攜帶Tag方式的VLAN為Hybrid端口的Guest VLAN,但該Guest VLAN不會生效。同樣當(dāng)Hybrid端口的Guest VLAN生效后,則不能再配置該Guest VLAN為攜帶Tag方式的VLAN。l 不同的端口可以配置不同的Guest VLAN,但一個端口只能配置一個Guest VLAN。l 當(dāng)端口的接入控制方式為portbased時,Guest VLAN才能生效;若端口的接入控制為macbased,Guest VLAN能夠配置成功,但不生效。l 802.1x組播觸發(fā)功能開啟的情況下,Guest VLAN才能生效。如果用戶端設(shè)備發(fā)出的是攜帶Tag的數(shù)據(jù)流,且接入端口上使能了802.1x認(rèn)證和Guest VLAN,為保證各種功能的正常使用,請為端口的缺省VLAN和802.1x的Guest VLAN分配不同的VLAN ID。1.4 802.1x顯示和維護在完成上述配置后,在任意視圖下執(zhí)行display命令可以顯示配置后802.1x的運行情況,通過查看顯示信息驗證配置的效果。在用戶視圖下,執(zhí)行reset命令可以清除802.1x的統(tǒng)計信息。表1-6 802.1x配置的顯示和維護操作命令顯示802.1x的會話連接信息、相關(guān)統(tǒng)計信息或配置信息display dot1x sessions | statistics interface interface-list 清除802.1x的統(tǒng)計信息reset dot1x statistics interface interface-list 1.5 802.1x典型配置舉例1. 組網(wǎng)需求l 要求在各端口上對接入用戶進(jìn)行認(rèn)證,以控制其訪問Internet;接入控制方式要求是基于MAC地址的接入控制。l 所有接入用戶都屬于一個缺省的域:,該域最多可容納30個用戶;認(rèn)證時,先進(jìn)行RADIUS認(rèn)證,如果RADIUS服務(wù)器沒有響應(yīng)再轉(zhuǎn)而進(jìn)行本地認(rèn)證;計費時,如果RADIUS計費失敗則切斷用戶連接使其下線。l 由兩臺RADIUS服務(wù)器組成的服務(wù)器組與Router相連,其IP地址分別為和,要求使用前者作為主認(rèn)證/備份計費服務(wù)器,使用后者作為備份認(rèn)證/主計費服務(wù)器。l 設(shè)置系統(tǒng)與認(rèn)證RADIUS服務(wù)器交互報文時的共享密鑰為name、與計費RADIUS服務(wù)器交互報文時的共享密鑰為money。l 設(shè)置系統(tǒng)在向RADIUS服務(wù)器發(fā)送報文后5秒種內(nèi)如果沒有得到響應(yīng)就向其重新發(fā)送報文,發(fā)送報文的次數(shù)總共為5次,設(shè)置系統(tǒng)每15分鐘就向RADIUS服務(wù)器發(fā)送一次實時計費報文。l 設(shè)置系統(tǒng)從用戶名中去除用戶域名后再將之傳給RADIUS服務(wù)器。l 本地802.1x接入用戶的用戶名為localuser,密碼為localpass,使用明文輸入;閑置切斷功能處于打開狀態(tài),正常連接時用戶空閑時間超過20分鐘,則切斷其連接。2. 組網(wǎng)圖圖1-10 啟動802.1x和RADIUS對接入用戶進(jìn)行AAA操作3. 配置步驟下述各配置步驟包含了大部分AAA/RADIUS協(xié)議配置命令,對這些命令的介紹,請參見“安全分冊”中的“AAA配置”。此外,客戶端和RADIUS服務(wù)器上的配置略。# 配置各接口的IP地址(略)。# 添加本地接入用戶,啟動閑置切斷功能并設(shè)置相關(guān)參數(shù)。 system-viewSysname local-user localuserSysname-luser-localuser service-type lan-accessSysname-luser-localuser password simple localpasswordSysname-luser-localuser attribute idle-cut 20Sysname-luser-localuser quit# 創(chuàng)建RADIUS方案radius1并進(jìn)入其視圖。Sysname radius scheme radius1# 設(shè)置主認(rèn)證/計費RADIUS服務(wù)器的IP地址。Sysname-radius-radius1 primary authentication Sysname-radius-radius1 primary accounting # 設(shè)置備份認(rèn)證/計費RADIUS服務(wù)器的IP地址。Sysname-radius-radius1 secondary authentication Sysname-radius-radius1 secondary accounting # 設(shè)置系統(tǒng)與認(rèn)證RADIUS服務(wù)器交互報文時的共享密鑰。Sysname-radius-radius1 key authentication name# 設(shè)置系統(tǒng)與計費RADIUS服務(wù)器交互報文時的共享密鑰。Sysname-radius-radius1 key accounting money# 設(shè)置系統(tǒng)向RADIUS服務(wù)器重發(fā)報文的時間間隔與次數(shù)。Sysname-radius-radius1 timer response-timeout 5Sysname-radius-radius1 retry 5# 設(shè)置系統(tǒng)向RADIUS服務(wù)器發(fā)送實時計費報文的時間間隔。Sysname-radius-radius1 timer realtime-accounting 15# 指示系統(tǒng)從用戶名中去除用戶域名后再將之傳給RADIUS服務(wù)器。Sysname-radius-radius1 user-name-format without-domainSysname-radius-radius1 quit# 創(chuàng)建域并進(jìn)入其視圖。Sysname domain # 指定radius1為該域用戶的RADIUS方案,并采用local作為備選方案。S authentication default radius-scheme radius1 localS authorization default radius-scheme radius1 localS accounting default radius-scheme radius1 local# 設(shè)置該域最多可容納30個用戶。S access-limit enable 30# 啟動閑置切斷功能并設(shè)置相關(guān)參數(shù)。S idle-cut enable 20S quit# 配置域為缺省用戶域。Sysname domain default enable # 開啟全局802.1x特性。Sysname dot1x# 開啟指定端口GigabitEthernet2/1/1的802.1x特性。Sysname interface GigabitEthernet 2/1/1Sysname-GigabitEthernet2/1/1 dot1xSysname-GigabitEthernet2/1/1 quit# 設(shè)置接入控制方式(該命令可以不配置,因為端口的接入控制在缺省情況下就是基于MAC地址的)。Sysname dot1x port-method macbased interface GigabitEthernet 2/1/11.6 Guest VLAN、VLAN下發(fā)典型配置舉例1. 組網(wǎng)需求如圖1-11所示,一臺主機通過802.1x認(rèn)證接入網(wǎng)絡(luò),認(rèn)證服務(wù)器為RADIUS服務(wù)器。Supplicant接入Router的端口GigabitEthernet2/1/2在VLAN1內(nèi);認(rèn)證服務(wù)器在VLAN2內(nèi);Update Server是用于客戶端軟件下載和升級的服務(wù)器,在VLAN10內(nèi);Router連接Internet網(wǎng)絡(luò)的端口GigabitEthernet2/1/3在VLAN5內(nèi)。圖1-11 端口加入Guest VLAN如圖1-12所示,在GigabitEthernet2/1/2上開啟802.1x特性并設(shè)置VLAN10為端口的Guest VLAN,當(dāng)設(shè)備從端口發(fā)送觸發(fā)認(rèn)證報文(EAP-Request/Identity)超過設(shè)定的最大次數(shù)而沒有
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 場內(nèi)員工宿舍管理制度
- 出納做好票據(jù)管理制度
- 公司騎行車輛管理制度
- 購房合同撤銷協(xié)議
- 食堂財務(wù)透明合作協(xié)議
- 彩繪人幣采購合同
- 2025至2030年中國AMPS聚合物行業(yè)發(fā)展戰(zhàn)略規(guī)劃及投資方向研究報告
- 春節(jié)作文開頭優(yōu)美語句5條(10篇)
- 秋日的美景校園秋景作文(12篇)
- 岳陽樓記:文學(xué)風(fēng)格與地域文化探究教案
- 2024老年公寓租賃合同模板
- 2023-2024學(xué)年浙江省寧波市江北區(qū)七年級(下)期末數(shù)學(xué)試卷(含答案)
- 《多聯(lián)機空調(diào)系統(tǒng)工程技術(shù)規(guī)程》JGJ174-2010
- 人教部編版語文六年級下冊1-6單元作文習(xí)作范文
- GB/T 44132-2024車用動力電池回收利用通用要求
- 初中英語語法、詞匯及固定搭配訓(xùn)練100題-含答案
- 我喜歡的書(教學(xué)設(shè)計)2023-2024學(xué)年綜合實踐活動五年級下冊 教科版
- 公路工程投標(biāo)方案(技術(shù)標(biāo))
- GB/T 25390-2024風(fēng)能發(fā)電系統(tǒng)風(fēng)力發(fā)電機組球墨鑄鐵件
- MOOC 中國傳統(tǒng)藝術(shù)-篆刻、書法、水墨畫體驗與欣賞-哈爾濱工業(yè)大學(xué) 中國大學(xué)慕課答案
- 社交焦慮對人際關(guān)系的影響
評論
0/150
提交評論