H3C-802.1X配置.doc

目 錄1 802.1x配置. 1-11.1 802.1x簡介. 1-11.1.1 802.1x的體系結(jié)構(gòu). 1-11.1.2 802.1x的基本概念. 1-21.1.3 EAPOL消息的封裝. 1-31.1.4 EAP屬性的封裝. 1-41.1.5 802.1x的認(rèn)證觸發(fā)方式. 1-51.1.6 802.1x的認(rèn)證過程. 1-51.1.7 802.1x的定時器. 1-81.1.8 802.1x在設(shè)備中的實現(xiàn). 1-91.1.9 和802.1x配合使用的特性. 1-91.2 配置802.1x. 1-101.2.1 配置準(zhǔn)備. 1-101.2.2 配置全局802.1x. 1-111.2.3 配置端口的802.1x. 1-121.3 配置802.1x的Guest VLAN. 1-131.3.1 配置準(zhǔn)備. 1-131.3.2 配置Guest VLAN. 1-131.4 802.1x顯示和維護. 1-141.5 802.1x典型配置舉例. 1-141.6 Guest VLAN、VLAN下發(fā)典型配置舉例. 1-161 802.1x配置1.1 802.1x簡介IEEE802 LAN/WAN委員會為解決無線局域網(wǎng)網(wǎng)絡(luò)安全問題，提出了802.1x協(xié)議。后來，802.1x協(xié)議作為局域網(wǎng)端口的一個普通接入控制機制在以太網(wǎng)中被廣泛應(yīng)用，主要解決以太網(wǎng)內(nèi)認(rèn)證和安全方面的問題。802.1x協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議（port based network access control protocol）?！盎诙丝诘木W(wǎng)絡(luò)接入控制”是指在局域網(wǎng)接入設(shè)備的端口這一級對所接入的用戶設(shè)備進(jìn)行認(rèn)證和控制。連接在端口上的用戶設(shè)備如果能通過認(rèn)證，就可以訪問局域網(wǎng)中的資源；如果不能通過認(rèn)證，則無法訪問局域網(wǎng)中的資源。1.1.1 802.1x的體系結(jié)構(gòu)802.1x系統(tǒng)為典型的Client/Server結(jié)構(gòu)，如圖1-1所示，包括三個實體：客戶端（Client）、設(shè)備端（Device）和認(rèn)證服務(wù)器（Server）。圖1-1 802.1x認(rèn)證系統(tǒng)的體系結(jié)構(gòu)l 客戶端是位于局域網(wǎng)段一端的一個實體，由該鏈路另一端的設(shè)備端對其進(jìn)行認(rèn)證?？蛻舳艘话銥橐粋€用戶終端設(shè)備，用戶可以通過啟動客戶端軟件發(fā)起802.1x認(rèn)證?？蛻舳吮仨氈С諩APOL（Extensible Authentication Protocol over LAN，局域網(wǎng)上的可擴展認(rèn)證協(xié)議）。l 設(shè)備端是位于局域網(wǎng)段一端的另一個實體，對所連接的客戶端進(jìn)行認(rèn)證。設(shè)備端通常為支持802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備，它為客戶端提供接入局域網(wǎng)的端口，該端口可以是物理端口，也可以是邏輯端口。l 認(rèn)證服務(wù)器是為設(shè)備端提供認(rèn)證服務(wù)的實體。認(rèn)證服務(wù)器用于實現(xiàn)對用戶進(jìn)行認(rèn)證、授權(quán)和計費，通常為RADIUS（Remote Authentication Dial-In User Service，遠(yuǎn)程認(rèn)證撥號用戶服務(wù)）服務(wù)器。802.1x認(rèn)證系統(tǒng)使用EAP（Extensible Authentication Protocol，可擴展認(rèn)證協(xié)議），來實現(xiàn)客戶端、設(shè)備端和認(rèn)證服務(wù)器之間認(rèn)證信息的交換。l 在客戶端與設(shè)備端之間，EAP協(xié)議報文使用EAPOL封裝格式，直接承載于LAN環(huán)境中。l 在設(shè)備端與RADIUS服務(wù)器之間，可以使用兩種方式來交換信息。一種是EAP協(xié)議報文使用EAPOR（EAP over RADIUS）封裝格式承載于RADIUS協(xié)議中；另一種是EAP協(xié)議報文由設(shè)備端進(jìn)行終結(jié)，采用包含PAP（Password Authentication Protocol，密碼驗證協(xié)議）或CHAP（Challenge Handshake Authentication Protocal，質(zhì)詢握手驗證協(xié)議）屬性的報文與RADIUS服務(wù)器進(jìn)行認(rèn)證交互。1.1.2 802.1x的基本概念圖1-2顯示了受控端口上不同的授權(quán)狀態(tài)對通過該端口報文的影響。圖中對比了兩個802.1x認(rèn)證系統(tǒng)的端口狀態(tài)。系統(tǒng)1的受控端口處于非授權(quán)狀態(tài)（相當(dāng)于端口開關(guān)打開），系統(tǒng)2的受控端口處于授權(quán)狀態(tài)（相當(dāng)于端口開關(guān)關(guān)閉）。圖1-2 受控端口上授權(quán)狀態(tài)的影響1. 受控/非受控端口設(shè)備端為客戶端提供接入局域網(wǎng)的端口，這個端口被劃分為兩個邏輯端口：受控端口和非受控端口。任何到達(dá)該端口的幀，在受控端口與非受控端口上均可見。l 非受控端口始終處于雙向連通狀態(tài)，主要用來傳遞EAPOL協(xié)議幀，保證客戶端始終能夠發(fā)出或接收認(rèn)證報文。l 受控端口在授權(quán)狀態(tài)下處于雙向連通狀態(tài)，用于傳遞業(yè)務(wù)報文；在非授權(quán)狀態(tài)下禁止從客戶端接收任何報文。2. 授權(quán)/非授權(quán)狀態(tài)設(shè)備端利用認(rèn)證服務(wù)器對需要接入局域網(wǎng)的客戶端執(zhí)行認(rèn)證，并根據(jù)認(rèn)證結(jié)果（Accept或Reject）對受控端口的授權(quán)/非授權(quán)狀態(tài)進(jìn)行相應(yīng)地控制。用戶可以通過在端口下配置的接入控制的模式來控制端口的授權(quán)狀態(tài)。端口支持以下三種接入控制模式：l 強制授權(quán)模式（authorized-force）：表示端口始終處于授權(quán)狀態(tài)，允許用戶不經(jīng)認(rèn)證授權(quán)即可訪問網(wǎng)絡(luò)資源。l 強制非授權(quán)模式（unauthorized-force）：表示端口始終處于非授權(quán)狀態(tài)，不允許用戶進(jìn)行認(rèn)證。設(shè)備端不對通過該端口接入的客戶端提供認(rèn)證服務(wù)。l 自動識別模式（auto）：表示端口初始狀態(tài)為非授權(quán)狀態(tài)，僅允許EAPOL報文收發(fā)，不允許用戶訪問網(wǎng)絡(luò)資源；如果認(rèn)證通過，則端口切換到授權(quán)狀態(tài)，允許用戶訪問網(wǎng)絡(luò)資源。這也是最常見的情況。3. 受控方向在非授權(quán)狀態(tài)下，受控端口可以被設(shè)置成單向受控和雙向受控。l 實行雙向受控時，禁止幀的發(fā)送和接收；l 實行單向受控時，禁止從客戶端接收幀，但允許向客戶端發(fā)送幀。目前，設(shè)備只支持單向受控。1.1.3 EAPOL消息的封裝1. EAPOL數(shù)據(jù)包的格式EAPOL是802.1x協(xié)議定義的一種報文封裝格式，主要用于在客戶端和設(shè)備端之間傳送EAP協(xié)議報文，以允許EAP協(xié)議報文在LAN上傳送。EAPOL數(shù)據(jù)包的格式如圖1-3所示。圖1-3 EAPOL數(shù)據(jù)包格式PAE Ethernet Type：表示協(xié)議類型，為0x888E。Protocol Version：表示EAPOL幀的發(fā)送方所支持的協(xié)議版本號。Type：表示EAPOL數(shù)據(jù)幀類型，目前設(shè)備上支持的數(shù)據(jù)類型見表1-1。表1-1 EAPOL數(shù)據(jù)類型類型說明EAP-Packet（值為0x00）：認(rèn)證信息幀，用于承載認(rèn)證信息該幀在設(shè)備端和認(rèn)證服務(wù)器之間存在，重新封裝并承載于RADIUS協(xié)議上，便于穿越復(fù)雜的網(wǎng)絡(luò)到達(dá)認(rèn)證服務(wù)器EAPOL-Start（值為0x01）：認(rèn)證發(fā)起幀這兩種類型的幀僅在客戶端和設(shè)備端之間存在EAPOL-Logoff（值為0x02）：退出請求幀Length：表示數(shù)據(jù)長度，也就是“Packet Body”字段的長度，單位為字節(jié)。如果為0，則表示沒有后面的數(shù)據(jù)域。Packet Body：表示數(shù)據(jù)內(nèi)容，根據(jù)不同的Type有不同的格式。2. EAP數(shù)據(jù)包的格式當(dāng)EAPOL數(shù)據(jù)包格式Type域為EAP-Packet時，Packet Body為EAP數(shù)據(jù)包結(jié)構(gòu)，如圖1-4所示。圖1-4 EAP數(shù)據(jù)包格式Code：指明EAP包的類型，共有4種：Request、Response、Success、Failure。l Success和Failure類型的包沒有Data域，相應(yīng)的Length域的值為4。l Request和Response類型數(shù)據(jù)包的Data域的格式如圖1-5所示。Type為EAP的認(rèn)證類型，Type data的內(nèi)容由類型決定。例如，Type值為1時代表Identity，用來查詢對方的身份；Type值為4時，代表MD5-Challenge，類似于PPP CHAP協(xié)議，包含質(zhì)詢消息。圖1-5 Request和Response類型數(shù)據(jù)包的Data域的格式Identifier：輔助進(jìn)行Request和Response消息的匹配。Length：EAP包的長度，包含Code、Identifier、Length和Data域，單位為字節(jié)。Data：EAP包的內(nèi)容，由Code類型決定。1.1.4 EAP屬性的封裝RADIUS為支持EAP認(rèn)證增加了兩個屬性：EAP-Message（EAP消息）和Message-Authenticator（消息認(rèn)證碼）。RADIUS協(xié)議的報文格式請參見“安全分冊”中的“AAA配置”的RADIUS協(xié)議簡介部分。1. EAP-Message如圖1-6所示，這個屬性用來封裝EAP數(shù)據(jù)包，類型代碼為79，String域最長253字節(jié)，如果EAP數(shù)據(jù)包長度大于253字節(jié)，可以對其進(jìn)行分片，依次封裝在多個EAP-Message屬性中。圖1-6 EAP-Message屬性封裝2. Message-Authenticator如圖1-7所示，這個屬性用于在使用EAP、CHAP等認(rèn)證方法的過程中，避免接入請求包被竊聽。在含有EAP-Message屬性的數(shù)據(jù)包中，必須同時也包含Message-Authenticator，否則該數(shù)據(jù)包會被認(rèn)為無效而被丟棄。圖1-7 Message-Authenticator屬性1.1.5 802.1x的認(rèn)證觸發(fā)方式802.1x的認(rèn)證過程可以由客戶端主動發(fā)起，也可以由設(shè)備端發(fā)起。設(shè)備支持的認(rèn)證觸發(fā)方式包括以下兩種：1. 標(biāo)準(zhǔn)EAP觸發(fā)方式客戶端主動向設(shè)備端發(fā)送EAPOL-Start報文來觸發(fā)認(rèn)證，該報文目的地址為IEEE 802.1x協(xié)議分配的一個組播MAC地址：01-80-C2-00-00-03。另外，由于網(wǎng)絡(luò)中有些設(shè)備不支持上述的組播報文，使得認(rèn)證設(shè)備無法收到客戶端的認(rèn)證請求，因此設(shè)備端還支持廣播觸發(fā)方式，即，可以接收客戶端發(fā)送的目的地址為廣播MAC地址的EAPOL-Start報文。這種觸發(fā)方式需要H3C iNode的802.1x客戶端的配合。2. 設(shè)備主動觸發(fā)方式設(shè)備會每隔N秒（缺省為30秒）主動向客戶端發(fā)送EAP-Request/Identity報文來觸發(fā)認(rèn)證，這種觸發(fā)方式用于支持不能主動發(fā)送EAPOL-Start報文的客戶端，例如Windows XP自帶的802.1x客戶端。1.1.6 802.1x的認(rèn)證過程802.1x系統(tǒng)支持EAP中繼方式和EAP終結(jié)方式與遠(yuǎn)端RADIUS服務(wù)器交互完成認(rèn)證。以下關(guān)于兩種認(rèn)證方式的過程描述，都以客戶端主動發(fā)起認(rèn)證為例。1. EAP中繼方式這種方式是IEEE 802.1x標(biāo)準(zhǔn)規(guī)定的，將EAP（可擴展認(rèn)證協(xié)議）承載在其它高層協(xié)議中，如EAP over RADIUS，以便擴展認(rèn)證協(xié)議報文穿越復(fù)雜的網(wǎng)絡(luò)到達(dá)認(rèn)證服務(wù)器。一般來說，EAP中繼方式需要RADIUS服務(wù)器支持EAP屬性：EAP-Message和Message-Authenticator，分別用來封裝EAP報文及對攜帶EAP-Message的RADIUS報文進(jìn)行保護。下面以EAP-MD5方式為例介紹基本業(yè)務(wù)流程，如圖1-8所示。圖1-8 IEEE 802.1x認(rèn)證系統(tǒng)的EAP中繼方式業(yè)務(wù)流程認(rèn)證過程如下：(1) 當(dāng)用戶有訪問網(wǎng)絡(luò)需求時打開802.1x客戶端程序，輸入已經(jīng)申請、登記過的用戶名和密碼，發(fā)起連接請求（EAPOL-Start報文）。此時，客戶端程序?qū)l(fā)出請求認(rèn)證的報文給設(shè)備端，開始啟動一次認(rèn)證過程。(2) 設(shè)備端收到請求認(rèn)證的數(shù)據(jù)幀后，將發(fā)出一個請求幀（EAP-Request/Identity報文）要求用戶的客戶端程序發(fā)送輸入的用戶名。(3) 客戶端程序響應(yīng)設(shè)備端發(fā)出的請求，將用戶名信息通過數(shù)據(jù)幀（EAP-Response/Identity報文）發(fā)送給設(shè)備端。設(shè)備端將客戶端發(fā)送的數(shù)據(jù)幀經(jīng)過封包處理后（RADIUS Access-Request報文）送給認(rèn)證服務(wù)器進(jìn)行處理。(4) RADIUS服務(wù)器收到設(shè)備端轉(zhuǎn)發(fā)的用戶名信息后，將該信息與數(shù)據(jù)庫中的用戶名表對比，找到該用戶名對應(yīng)的密碼信息，用隨機生成的一個加密字對它進(jìn)行加密處理，同時也將此加密字通過RADIUS Access-Challenge報文發(fā)送給設(shè)備端，由設(shè)備端轉(zhuǎn)發(fā)給客戶端程序。(5) 客戶端程序收到由設(shè)備端傳來的加密字（EAP-Request/MD5 Challenge報文）后，用該加密字對密碼部分進(jìn)行加密處理（此種加密算法通常是不可逆的，生成EAP-Response/MD5 Challenge報文），并通過設(shè)備端傳給認(rèn)證服務(wù)器。(6) RADIUS服務(wù)器將收到的已加密的密碼信息（RADIUS Access-Request報文）和本地經(jīng)過加密運算后的密碼信息進(jìn)行對比，如果相同，則認(rèn)為該用戶為合法用戶，反饋認(rèn)證通過的消息（RADIUS Access-Accept報文和EAP-Success報文）。(7) 設(shè)備收到認(rèn)證通過消息后將端口改為授權(quán)狀態(tài)，允許用戶通過端口訪問網(wǎng)絡(luò)。在此期間，設(shè)備端會通過向客戶端定期發(fā)送握手報文的方法，對用戶的在線情況進(jìn)行監(jiān)測。缺省情況下，兩次握手請求報文都得不到客戶端應(yīng)答，設(shè)備端就會讓用戶下線，防止用戶因為異常原因下線而設(shè)備無法感知。(8) 客戶端也可以發(fā)送EAPOL-Logoff報文給設(shè)備端，主動要求下線。設(shè)備端把端口狀態(tài)從授權(quán)狀態(tài)改變成未授權(quán)狀態(tài)，并向客戶端發(fā)送EAP-Failure報文。EAP中繼方式下，需要保證在客戶端和RADIUS服務(wù)器上選擇一致的EAP認(rèn)證方法，而在設(shè)備上，只需要通過dot1x authentication-method eap命令啟動EAP中繼方式即可。2. EAP終結(jié)方式這種方式將EAP報文在設(shè)備端終結(jié)并映射到RADIUS報文中，利用標(biāo)準(zhǔn)RADIUS協(xié)議完成認(rèn)證、授權(quán)和計費。設(shè)備端與RADIUS服務(wù)器之間可以采用PAP或者CHAP認(rèn)證方法。以下以CHAP認(rèn)證方法為例介紹基本業(yè)務(wù)流程，如圖1-9所示。圖1-9 IEEE 802.1x認(rèn)證系統(tǒng)的EAP終結(jié)方式業(yè)務(wù)流程EAP終結(jié)方式與EAP中繼方式的認(rèn)證流程相比，不同之處在于用來對用戶密碼信息進(jìn)行加密處理的隨機加密字由設(shè)備端生成，之后設(shè)備端會把用戶名、隨機加密字和客戶端加密后的密碼信息一起送給RADIUS服務(wù)器，進(jìn)行相關(guān)的認(rèn)證處理。1.1.7 802.1x的定時器802.1x認(rèn)證過程中會啟動多個定時器以控制接入用戶、設(shè)備以及RADIUS服務(wù)器之間進(jìn)行合理、有序的交互。802.1x的定時器主要有以下幾種：l 用戶名請求超時定時器（tx-period）：該定時器定義了兩個時間間隔。其一，當(dāng)設(shè)備端向客戶端發(fā)送EAP-Request/Identity請求報文后，設(shè)備端啟動該定時器，若在tx-period設(shè)置的時間間隔內(nèi)，設(shè)備端沒有收到客戶端的響應(yīng)，則設(shè)備端將重發(fā)認(rèn)證請求報文；其二，為了兼容不主動發(fā)送EAPOL-Start連接請求報文的客戶端，設(shè)備會定期組播EAP-Request/Identity請求報文來檢測客戶端。tx-period定義了該組播報文的發(fā)送時間間隔。l 客戶端認(rèn)證超時定時器（supp-timeout）：當(dāng)設(shè)備端向客戶端發(fā)送了EAP-Request/MD5 Challenge請求報文后，設(shè)備端啟動此定時器，若在該定時器設(shè)置的時長內(nèi)，設(shè)備端沒有收到客戶端的響應(yīng)，設(shè)備端將重發(fā)該報文。l 認(rèn)證服務(wù)器超時定時器（server-timeout）：當(dāng)設(shè)備端向認(rèn)證服務(wù)器發(fā)送了RADIUS Access-Request請求報文后，設(shè)備端啟動server-timeout定時器，若在該定時器設(shè)置的時長內(nèi)，設(shè)備端沒有收到認(rèn)證服務(wù)器的響應(yīng)，設(shè)備端將重發(fā)認(rèn)證請求報文。l 握手定時器（handshake-period）：此定時器是在用戶認(rèn)證成功后啟動的，設(shè)備端以此間隔為周期發(fā)送握手請求報文，以定期檢測用戶的在線情況。如果配置發(fā)送次數(shù)為N，則當(dāng)設(shè)備端連續(xù)N次沒有收到客戶端的響應(yīng)報文，就認(rèn)為用戶已經(jīng)下線。l 靜默定時器（quiet-period）：對用戶認(rèn)證失敗以后，設(shè)備端需要靜默一段時間（該時間由靜默定時器設(shè)置），在靜默期間，設(shè)備端不處理該用戶的認(rèn)證請求。1.1.8 802.1x在設(shè)備中的實現(xiàn)設(shè)備在802.1x的EAP中繼方式和EAP終結(jié)方式的實現(xiàn)中，不僅支持協(xié)議所規(guī)定的端口接入認(rèn)證方式，還對其進(jìn)行了擴展、優(yōu)化：l 支持一個物理端口下掛接多個用戶的應(yīng)用場合；l 接入控制方式（即對用戶的認(rèn)證方式）可以采用基于MAC和基于端口兩種方式。當(dāng)采用基于MAC方式時，該端口下的所有接入用戶均需要單獨認(rèn)證，當(dāng)某個用戶下線時，也只有該用戶無法使用網(wǎng)絡(luò)。當(dāng)采用基于端口方式時，只要該端口下的第一個用戶認(rèn)證成功后，其它接入用戶無須認(rèn)證就可使用網(wǎng)絡(luò)資源，但是當(dāng)?shù)谝粋€用戶下線后，其它用戶也會被拒絕使用網(wǎng)絡(luò)。1.1.9 和802.1x配合使用的特性1. VLAN下發(fā)802.1x用戶在服務(wù)器上通過認(rèn)證時，服務(wù)器會把授權(quán)信息傳送給設(shè)備端。如果服務(wù)器上配置了下發(fā)VLAN功能，則授權(quán)信息中含有授權(quán)下發(fā)的VLAN信息，設(shè)備根據(jù)用戶認(rèn)證上線的端口鏈路類型，按以下三種情況將端口加入下發(fā)VLAN中。l 端口的鏈路類型為Access，當(dāng)前Access端口離開用戶配置的VLAN并加入授權(quán)下發(fā)的VLAN中。l 端口的鏈路類型為Trunk，設(shè)備允許授權(quán)下發(fā)的VLAN通過當(dāng)前Trunk端口，并且端口的缺省VLAN ID為下發(fā)VLAN的VLAN ID。l 端口的鏈路類型為Hybrid，設(shè)備允許授權(quán)下發(fā)的VLAN以不攜帶Tag的方式通過當(dāng)前Hybrid端口，并且端口的缺省VLAN ID為下發(fā)VLAN的VLAN ID。授權(quán)下發(fā)的VLAN并不改變端口的配置，也不影響端口的配置。但是，授權(quán)下發(fā)的VLAN的優(yōu)先級高于用戶配置的VLAN，即通過認(rèn)證后起作用的VLAN是授權(quán)下發(fā)的VLAN，用戶配置的VLAN在用戶下線后生效。關(guān)于不同端口鏈路類型下VLAN的具體配置請參見“接入分冊”中的“VLAN配置”。l 對于Hybrid端口，如果授權(quán)下發(fā)的VLAN已經(jīng)配置為攜帶Tag的方式加入端口，則VLAN下發(fā)失敗。l 對于Hybrid端口，在VLAN下發(fā)之后，不能將授權(quán)下發(fā)的VLAN配置修改為攜帶Tag的方式。2. Guest VLANGuest VLAN功能用來允許未認(rèn)證用戶訪問某些特定資源。用戶認(rèn)證端口在通過802.1x認(rèn)證之前屬于一個缺省VLAN（即Guest VLAN），用戶訪問該VLAN內(nèi)的資源不需要認(rèn)證，但此時不能夠訪問其他網(wǎng)絡(luò)資源；認(rèn)證成功后，端口離開Guest VLAN，用戶可以訪問其他的網(wǎng)絡(luò)資源。用戶在Guest VLAN中可以獲取802.1x客戶端軟件，升級客戶端，或執(zhí)行其他一些用戶升級程序。如果因為沒有專用的認(rèn)證客戶端或者客戶端版本過低等原因，導(dǎo)致在一定的時間內(nèi)（默認(rèn)45秒）端口上無客戶端認(rèn)證成功，接入設(shè)備會把該端口加入到Guest VLAN。開啟802.1x特性并正確配置Guest VLAN后，當(dāng)設(shè)備從某一端口發(fā)送觸發(fā)認(rèn)證報文（EAP-Request/Identity）超過設(shè)定的最大次數(shù)而沒有收到客戶端的任何回應(yīng)報文時，與VLAN下發(fā)類似，該端口將按照各自的鏈路類型情況被加入到Guest VLAN內(nèi)。此時Guest VLAN中端口下的用戶發(fā)起認(rèn)證，如果認(rèn)證失敗，該端口將會仍然處在Guest VLAN內(nèi)；如果認(rèn)證成功，分為以下兩種情況：l 認(rèn)證服務(wù)器下發(fā)一個VLAN，這時端口離開Guest VLAN，加入下發(fā)的VLAN中。用戶下線后，端口會回到配置的VLAN中（加入Guest VLAN之前所在的VLAN，即“初始VLAN”）。l 認(rèn)證服務(wù)器不下發(fā)VLAN，這時端口離開Guest VLAN，加入配置的VLAN中。用戶下線后，端口仍在配置的VLAN中。3. 指定端口的強制認(rèn)證域指定端口的強制認(rèn)證域（mandatory domain）為802.1x接入提供了一種安全控制策略。所有從該端口接入的802.1x用戶將被強制使用該認(rèn)證域來進(jìn)行認(rèn)證、授權(quán)、計費，可以防止用戶通過惡意冒充其它域賬號來接入網(wǎng)絡(luò)。另外，對于采用證書的EAP中繼方式的802.1x認(rèn)證來說，接入用戶的客戶端證書決定了用戶的域名。因此，即使所有端口上客戶端的用戶證書隸屬于同一證書頒發(fā)機構(gòu)，即輸入的用戶域名相同，管理員也可以通過配置強制認(rèn)證域?qū)Σ煌丝谥付ú煌恼J(rèn)證域，從而增加了管理員部署802.1x接入策略的靈活性。1.2 配置802.1x1.2.1 配置準(zhǔn)備802.1x提供了一個用戶身份認(rèn)證的實現(xiàn)方案，但是僅僅依靠802.1x是不足以實現(xiàn)該方案的。接入設(shè)備的管理者選擇使用RADIUS或本地認(rèn)證方法，以配合802.1x完成用戶的身份認(rèn)證。因此，需要首先完成以下配置任務(wù)：l 配置802.1x用戶所屬的ISP認(rèn)證域及及其使用的AAA方案，即本地認(rèn)證方案或RADIUS方案。l 如果需要通過RADIUS服務(wù)器進(jìn)行認(rèn)證，則應(yīng)該在RADIUS服務(wù)器上配置相應(yīng)的用戶名和密碼。l 如果需要本地認(rèn)證，則應(yīng)該在設(shè)備上手動添加認(rèn)證的用戶名和密碼。配置本地認(rèn)證時，用戶使用的服務(wù)類型必須設(shè)置為lan-access。RADIUS客戶端的具體配置請參見“安全分冊”中的“AAA配置”。1.2.2 配置全局802.1x表1-2 配置全局802.1x配置步驟命令說明進(jìn)入系統(tǒng)視圖system-view-開啟全局的802.1x特性dot1x必選缺省情況下，全局的802.1x特性為關(guān)閉狀態(tài)設(shè)置802.1x用戶的認(rèn)證方法dot1x authentication-method chap | eap | pap 可選缺省情況下，設(shè)備對802.1x用戶的認(rèn)證方法為CHAP認(rèn)證配置端口控制設(shè)置端口接入控制的模式dot1x port-control authorized-force | auto | unauthorized-force interface interface-list 可選缺省情況下，802.1x在端口上進(jìn)行接入控制的模式為auto設(shè)置端口接入控制方式dot1x port-method macbased | portbased interface interface-list 可選缺省情況下，802.1x在端口上進(jìn)行接入控制方式為macbased設(shè)置端口同時接入用戶數(shù)量的最大值dot1x max-user user-number interface interface-list 可選 參數(shù)user-number的缺省值為1024設(shè)置設(shè)備向接入用戶發(fā)送認(rèn)證請求報文的最大次數(shù)dot1x retry max-retry-value可選，缺省情況下，max-retry-value為2，即設(shè)備最多可向接入用戶發(fā)送2次認(rèn)證請求報文配置定時器參數(shù)dot1x timer handshake-period handshake-period-value | quiet-period quiet-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value | tx-period tx-period-value 可選缺省情況下：l 握手定時器的值為15秒l 靜默定時器的值為60秒l 認(rèn)證服務(wù)器超時定時器的值為100秒l 客戶端認(rèn)證超時定時器的值為30秒l 用戶名請求超時定時器的值為30秒開啟靜默定時器功能dot1x quiet-period可選，缺省情況下，靜默定時器功能處于關(guān)閉狀態(tài)l 只有同時開啟全局和端口的802.1x特性后，802.1x的配置才能在端口上生效。l 開啟端口的802.1x特性與配置端口控制（設(shè)置端口接入控制的模式、端口接入控制方式、端口同時接入用戶數(shù)量的最大值）也可在接口視圖下進(jìn)行，具體配置請參見表1-3和表1-4。全局配置與端口配置并無優(yōu)先級之分，僅是作用范圍不一致，后配置的參數(shù)會覆蓋已有的參數(shù)。l 一般情況下，用戶無需使用dot1x timer命令改變部分定時器值，除非在一些特殊或惡劣的網(wǎng)絡(luò)環(huán)境下，可以使用該命令調(diào)節(jié)交互進(jìn)程。例如，用戶網(wǎng)絡(luò)狀況比較差的情況下，可以適當(dāng)?shù)貙⒖蛻舳苏J(rèn)證超時定時器值調(diào)大一些；網(wǎng)絡(luò)處在風(fēng)險位置，容易受攻擊的情況下，可以適當(dāng)?shù)貙㈧o默定時器值調(diào)大一些，反之，可以將其調(diào)小一些來提高對用戶認(rèn)證請求的響應(yīng)速度。另外，可以通過調(diào)節(jié)認(rèn)證服務(wù)器超時定時器的值來適應(yīng)認(rèn)證服務(wù)器性能的不同情況。1.2.3 配置端口的802.1x1. 開啟端口802.1x特性表1-3 開啟端口802.1x特性配置步驟命令說明進(jìn)入系統(tǒng)視圖system-view-開啟端口的802.1x特性在系統(tǒng)視圖下dot1x interface interface-list二者必選其一缺省情況下，端口的802.1x特性為關(guān)閉狀態(tài)在以太網(wǎng)接口視圖下interface interface-type interface-numberdot1x2. 配置端口802.1x參數(shù)表1-4 配置端口802.1x參數(shù)配置步驟命令說明進(jìn)入系統(tǒng)視圖system-view-進(jìn)入以太網(wǎng)接口視圖interface interface-type interface-number-設(shè)置端口接入控制的模式dot1x port-control authorized-force | auto | unauthorized-force 可選缺省情況下，802.1x在端口上進(jìn)行接入控制的模式為auto設(shè)置端口接入控制方式dot1x port-method macbased | portbased 可選缺省情況下，802.1x在端口上進(jìn)行接入控制方式為macbased設(shè)置端口同時接入用戶數(shù)量的最大值dot1x max-user user-number 可選參數(shù)user-number的缺省值為1024開啟在線用戶握手功能dot1x handshake可選缺省情況下，開啟在線用戶握手功能開啟組播觸發(fā)功能dot1x multicast-trigger可選缺省情況下，組播觸發(fā)功能處于開啟狀態(tài)配置端口的強制認(rèn)證域dot1x mandatory-domain domain-name可選缺省情況下，未定義強制認(rèn)證域l 端口啟動802.1x與端口加入聚合組互斥。l 對于802.1x用戶，如果采用EAP中繼認(rèn)證方式，則設(shè)備會把客戶端輸入的內(nèi)容直接封裝后發(fā)給服務(wù)器，這種情況下user-name-format命令的設(shè)置無效，user-name-format的介紹請參見“安全分冊”中的“AAA命令”。l 如果802.1x客戶端配置的用戶名攜帶版本號或者用戶名中存在空格，則無法通過用戶名來檢索和切斷用戶連接，但是通過其他方式（如IP地址、連接索引號等）仍然可以檢索和切斷用戶的連接。l 若端口啟動了802.1x的組播觸發(fā)功能，則該端口會定期向客戶端發(fā)送組播觸發(fā)報文來啟動認(rèn)證。1.3 配置802.1x的Guest VLAN1.3.1 配置準(zhǔn)備l 開啟802.1x特性。l 配置端口上進(jìn)行接入控制的方式為portbased。l 配置端口上進(jìn)行接入控制的模式為auto。l 已經(jīng)創(chuàng)建需要配置為Guest VLAN的VLAN。1.3.2 配置Guest VLAN表1-5 配置Guest VLAN配置步驟命令說明進(jìn)入系統(tǒng)視圖system-view-配置指定端口的Guest VLAN在系統(tǒng)視圖下dot1x guest-vlan vlan-id interface interface-list 二者必選其一缺省情況下，端口沒有配置Guest VLAN在以太網(wǎng)端口視圖下interface interface-type interface-numberdot1x guest-vlan vlan-idl 可以指定攜帶Tag方式的VLAN為Hybrid端口的Guest VLAN，但該Guest VLAN不會生效。同樣當(dāng)Hybrid端口的Guest VLAN生效后，則不能再配置該Guest VLAN為攜帶Tag方式的VLAN。l 不同的端口可以配置不同的Guest VLAN，但一個端口只能配置一個Guest VLAN。l 當(dāng)端口的接入控制方式為portbased時，Guest VLAN才能生效；若端口的接入控制為macbased，Guest VLAN能夠配置成功，但不生效。l 802.1x組播觸發(fā)功能開啟的情況下，Guest VLAN才能生效。如果用戶端設(shè)備發(fā)出的是攜帶Tag的數(shù)據(jù)流，且接入端口上使能了802.1x認(rèn)證和Guest VLAN，為保證各種功能的正常使用，請為端口的缺省VLAN和802.1x的Guest VLAN分配不同的VLAN ID。1.4 802.1x顯示和維護在完成上述配置后，在任意視圖下執(zhí)行display命令可以顯示配置后802.1x的運行情況，通過查看顯示信息驗證配置的效果。在用戶視圖下，執(zhí)行reset命令可以清除802.1x的統(tǒng)計信息。表1-6 802.1x配置的顯示和維護操作命令顯示802.1x的會話連接信息、相關(guān)統(tǒng)計信息或配置信息display dot1x sessions | statistics interface interface-list 清除802.1x的統(tǒng)計信息reset dot1x statistics interface interface-list 1.5 802.1x典型配置舉例1. 組網(wǎng)需求l 要求在各端口上對接入用戶進(jìn)行認(rèn)證，以控制其訪問Internet；接入控制方式要求是基于MAC地址的接入控制。l 所有接入用戶都屬于一個缺省的域：，該域最多可容納30個用戶；認(rèn)證時，先進(jìn)行RADIUS認(rèn)證，如果RADIUS服務(wù)器沒有響應(yīng)再轉(zhuǎn)而進(jìn)行本地認(rèn)證；計費時，如果RADIUS計費失敗則切斷用戶連接使其下線。l 由兩臺RADIUS服務(wù)器組成的服務(wù)器組與Router相連，其IP地址分別為和，要求使用前者作為主認(rèn)證/備份計費服務(wù)器，使用后者作為備份認(rèn)證/主計費服務(wù)器。l 設(shè)置系統(tǒng)與認(rèn)證RADIUS服務(wù)器交互報文時的共享密鑰為name、與計費RADIUS服務(wù)器交互報文時的共享密鑰為money。l 設(shè)置系統(tǒng)在向RADIUS服務(wù)器發(fā)送報文后5秒種內(nèi)如果沒有得到響應(yīng)就向其重新發(fā)送報文，發(fā)送報文的次數(shù)總共為5次，設(shè)置系統(tǒng)每15分鐘就向RADIUS服務(wù)器發(fā)送一次實時計費報文。l 設(shè)置系統(tǒng)從用戶名中去除用戶域名后再將之傳給RADIUS服務(wù)器。l 本地802.1x接入用戶的用戶名為localuser，密碼為localpass，使用明文輸入；閑置切斷功能處于打開狀態(tài)，正常連接時用戶空閑時間超過20分鐘，則切斷其連接。2. 組網(wǎng)圖圖1-10 啟動802.1x和RADIUS對接入用戶進(jìn)行AAA操作3. 配置步驟下述各配置步驟包含了大部分AAA/RADIUS協(xié)議配置命令，對這些命令的介紹，請參見“安全分冊”中的“AAA配置”。此外，客戶端和RADIUS服務(wù)器上的配置略。# 配置各接口的IP地址（略）。# 添加本地接入用戶，啟動閑置切斷功能并設(shè)置相關(guān)參數(shù)。 system-viewSysname local-user localuserSysname-luser-localuser service-type lan-accessSysname-luser-localuser password simple localpasswordSysname-luser-localuser attribute idle-cut 20Sysname-luser-localuser quit# 創(chuàng)建RADIUS方案radius1并進(jìn)入其視圖。Sysname radius scheme radius1# 設(shè)置主認(rèn)證/計費RADIUS服務(wù)器的IP地址。Sysname-radius-radius1 primary authentication Sysname-radius-radius1 primary accounting # 設(shè)置備份認(rèn)證/計費RADIUS服務(wù)器的IP地址。Sysname-radius-radius1 secondary authentication Sysname-radius-radius1 secondary accounting # 設(shè)置系統(tǒng)與認(rèn)證RADIUS服務(wù)器交互報文時的共享密鑰。Sysname-radius-radius1 key authentication name# 設(shè)置系統(tǒng)與計費RADIUS服務(wù)器交互報文時的共享密鑰。Sysname-radius-radius1 key accounting money# 設(shè)置系統(tǒng)向RADIUS服務(wù)器重發(fā)報文的時間間隔與次數(shù)。Sysname-radius-radius1 timer response-timeout 5Sysname-radius-radius1 retry 5# 設(shè)置系統(tǒng)向RADIUS服務(wù)器發(fā)送實時計費報文的時間間隔。Sysname-radius-radius1 timer realtime-accounting 15# 指示系統(tǒng)從用戶名中去除用戶域名后再將之傳給RADIUS服務(wù)器。Sysname-radius-radius1 user-name-format without-domainSysname-radius-radius1 quit# 創(chuàng)建域并進(jìn)入其視圖。Sysname domain # 指定radius1為該域用戶的RADIUS方案，并采用local作為備選方案。S authentication default radius-scheme radius1 localS authorization default radius-scheme radius1 localS accounting default radius-scheme radius1 local# 設(shè)置該域最多可容納30個用戶。S access-limit enable 30# 啟動閑置切斷功能并設(shè)置相關(guān)參數(shù)。S idle-cut enable 20S quit# 配置域為缺省用戶域。Sysname domain default enable # 開啟全局802.1x特性。Sysname dot1x# 開啟指定端口GigabitEthernet2/1/1的802.1x特性。Sysname interface GigabitEthernet 2/1/1Sysname-GigabitEthernet2/1/1 dot1xSysname-GigabitEthernet2/1/1 quit# 設(shè)置接入控制方式（該命令可以不配置，因為端口的接入控制在缺省情況下就是基于MAC地址的）。Sysname dot1x port-method macbased interface GigabitEthernet 2/1/11.6 Guest VLAN、VLAN下發(fā)典型配置舉例1. 組網(wǎng)需求如圖1-11所示，一臺主機通過802.1x認(rèn)證接入網(wǎng)絡(luò)，認(rèn)證服務(wù)器為RADIUS服務(wù)器。Supplicant接入Router的端口GigabitEthernet2/1/2在VLAN1內(nèi)；認(rèn)證服務(wù)器在VLAN2內(nèi)；Update Server是用于客戶端軟件下載和升級的服務(wù)器，在VLAN10內(nèi)；Router連接Internet網(wǎng)絡(luò)的端口GigabitEthernet2/1/3在VLAN5內(nèi)。圖1-11 端口加入Guest VLAN如圖1-12所示，在GigabitEthernet2/1/2上開啟802.1x特性并設(shè)置VLAN10為端口的Guest VLAN，當(dāng)設(shè)備從端口發(fā)送觸發(fā)認(rèn)證報文（EAP-Request/Identity）超過設(shè)定的最大次數(shù)而沒有