- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-802.1X配置
本章節下載: 02-802.1X配置 (526.03 KB)
目 錄
本章節主要描述了802.1X的相關概念及配置步驟。由於通過配置端口安全特性也可以為用戶提供802.1X認證服務,且還可以提供802.1X和MAC地址認證的擴展和組合應用,因此在需要靈活使用以上兩種認證方式的組網環境下,推薦使用端口安全特性。無特殊組網要求的情況下,無線環境中通常使用端口安全特性。而在僅需要802.1X特性來完成接入控製的組網環境下,推薦單獨使用802.1X特性。關於端口安全特性的詳細介紹和具體配置請參見“安全配置指導”中的“端口安全配置”。
最初,IEEE802 LAN/WAN委員會為解決無線局域網的網絡安全問題,提出了802.1X協議。後來,802.1X協議作為局域網的一個普通接入控製機製在以太網中被廣泛應用,主要解決以太網內認證和安全方麵的問題。
802.1X協議是一種基於端口的網絡接入控製協議,即在局域網接入設備的端口上對所接入的用戶設備進行認證,以便用戶設備控製對網絡資源的訪問。
802.1X係統中包括三個實體:客戶端(Client)、設備端(Device)和認證服務器(Authentication server),如圖1-1所示。
圖1-1 802.1X體係結構圖
· 客戶端是請求接入局域網的用戶終端設備,它由局域網中的設備端對其進行認證。客戶端上必須安裝支持802.1X認證的客戶端軟件。
· 設備端是局域網中控製客戶端接入的網絡設備,位於客戶端和認證服務器之間,為客戶端提供接入局域網的端口(物理端口或邏輯端口),並通過與服務器的交互來對所連接的客戶端進行認證。
· 認證服務器用於對客戶端進行認證、授權和計費,通常為RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)服務器。認證服務器根據設備端發送來的客戶端認證信息來驗證客戶端的合法性,並將驗證結果通知給設備端,由設備端決定是否允許客戶端接入。在一些規模較小的網絡環境中,認證服務器的角色也可以由設備端來代替,即由設備端對客戶端進行本地認證、授權和計費。
設備端為客戶端提供接入局域網的端口被劃分為兩個邏輯端口:受控端口和非受控端口。任何到達該端口的幀,在受控端口與非受控端口上均可見。
· 非受控端口始終處於雙向連通狀態,主要用來傳遞EAPOL協議幀,保證客戶端始終能夠發出或接收認證報文。
· 受控端口在授權狀態下處於雙向連通狀態,用於傳遞業務報文;在非授權狀態下禁止從客戶端接收任何報文。
設備端利用認證服務器對需要接入局域網的客戶端進行認證,並根據認證結果(Accept或Reject)對受控端口的授權狀態進行相應地控製。
圖1-2顯示了受控端口上不同的授權狀態對通過該端口報文的影響。圖中對比了兩個802.1X認證係統的端口狀態。係統1的受控端口處於非授權狀態,不允許報文通過;係統2的受控端口處於授權狀態,允許報文通過。
在非授權狀態下,受控端口可以處於單向受控或雙向受控狀態。
· 處於雙向受控狀態時,禁止幀的發送和接收;
· 處於單向受控狀態時,禁止從客戶端接收幀,但允許向客戶端發送幀。
目前,設備上的受控端口隻能處於單向受控狀態。
802.1X係統使用EAP(Extensible Authentication Protocol,可擴展認證協議)來實現客戶端、設備端和認證服務器之間認證信息的交互。EAP是一種C/S模式的認證框架,它可以支持多種認證方法,例如MD5-Challenge、EAP-TLS、PEAP等。在客戶端與設備端之間,EAP報文使用EAPOL(Extensible Authentication Protocol over LAN,局域網上的可擴展認證協議)封裝格式承載於數據幀中傳遞。在設備端與RADIUS服務器之間,EAP報文的交互有以下兩種處理機製。
設備對收到的EAP報文進行中繼,使用EAPOR(EAP over RADIUS)封裝格式將其承載於RADIUS報文中發送給RADIUS服務器進行認證。
圖1-3 EAP中繼原理示意圖
該處理機製下,EAP認證過程在客戶端和RADIUS服務器之間進行,RADIUS服務器作為EAP服務器來處理客戶端的EAP認證請求,設備相當於一個代理,僅對EAP報文做中轉,因此設備處理簡單,並能夠支持EAP的各種認證方法,但要求RADIUS服務器支持相應的EAP認證方法。
在RADIUS服務器不能支持EAP認證,或者實際網絡環境中未部署RADIUS服務器的情況下,如果希望使用EAP中繼模式來支持多種EAP認證方法,則還需要在設備上配置專門的本地EAP服務器來協助完成EAP認證。關於本地EAP認證的具體配置請參見“安全配置指導”中的“AAA配置”。
設備對EAP認證過程進行終結,將收到的EAP報文中的客戶端認證信息封裝在標準的RADIUS報文中,與服務器之間采用PAP(Password Authentication Protocol,密碼驗證協議)或CHAP(Challenge Handshake Authentication Protocol,質詢握手驗證協議)方法進行認證。
圖1-4 EAP終結原理示意圖
該處理機製下,由於現有的RADIUS服務器基本均可支持PAP認證和CHAP認證,因此對服務器無特殊要求,但設備處理較為複雜,它需要作為EAP服務器來解析與處理客戶端的EAP報文,且目前僅能支持MD5-Challenge類型的EAP認證以及iNode 802.1X客戶端發起的“用戶名+密碼”方式的EAP認證。
如果客戶端采用了MD5-Challenge類型的EAP認證,則設備端隻能采用CHAP認證;如果iNode 802.1X客戶端采用了“用戶名+密碼”方式的EAP認證,設備上可選擇使用PAP認證或CHAP認證,從安全性上考慮,通常使用CHAP認證。
(1) EAPOL數據幀的格式
EAPOL是802.1X協議定義的一種承載EAP報文的封裝協議,主要用於在局域網中傳送客戶端和設備端之間的EAP協議報文。EAPOL數據包的格式如圖1-5所示。
圖1-5 EAPOL數據包格式
· PAE Ethernet Type:表示協議類型。EAPOL的協議類型為0x888E。
· Protocol Version:表示EAPOL數據幀的發送方所支持的EAPOL協議版本號。
· Type:表示EAPOL數據幀類型。目前設備上支持的EAPOL數據幀類型見表1-1。
表1-1 EAPOL數據幀類型
|
類型值 |
數據幀類型 |
說明 |
|
0x00 |
EAP-Packet |
認證信息幀,用於承載客戶端和設備端之間的EAP報文。 · 在終結方式下,該幀中的客戶端認證信息會被設備端重新封裝並承載於RADIUS報文中發送給認證服務器 · 在中繼方式下,該幀承載的EAP報文會被設備端直接封裝在RADIUS報文的EAP屬性中發送給認證服務器 |
|
0x01 |
EAPOL-Start |
認證發起幀,用於客戶端向設備端發起認證請求 |
|
0x02 |
EAPOL-Logoff |
退出請求幀,用於客戶端向設備端發起下線請求 |
· Length:表示數據域的長度,也就是Packet Body字段的長度,單位為字節。當EAPOL數據幀的類型為EAPOL-Start或EAPOL-Logoff時,該字段值為0,表示後麵沒有Packet Body字段。
· Packet Body:數據域的內容。
(2) EAP報文的格式
當EAPOL數據幀的類型為EAP-Packet時,Packet Body字段的內容就是一個EAP報文,格式如圖1-6所示。
圖1-6 EAP報文格式
· Code:EAP報文的類型,包括Request(1)、Response(2)、Success(3)和Failure(4)。
· Identifier:用於匹配Request消息和Response消息的標識符。
· Length:EAP報文的長度,包含Code、Identifier、Length和Data域,單位為字節。
· Data:EAP報文的內容,該字段僅在EAP報文的類型為Request和Response時存在,它由類型域和類型數據兩部分組成,例如,類型域為1表示Identity類型,類型域為4表示MD5 challenge類型。
RADIUS為支持EAP認證增加了兩個屬性:EAP-Message(EAP消息)和Message-Authenticator(消息認證碼)。在含有EAP-Message屬性的數據包中,必須同時包含Message-Authenticator屬性。關於RADIUS報文格式的介紹請參見“安全配置指導”中的“AAA”的RADIUS協議簡介部分。
(1) EAP-Message
如圖1-7所示,EAP-Message屬性用來封裝EAP報文,Value域最長253字節,如果EAP報文長度大於253字節,可以對其進行分片,依次封裝在多個EAP-Message屬性中。
圖1-7 EAP-Message屬性封裝
(2) Message-Authenticator
如圖1-8所示,Message-Authenticator屬性用於在EAP認證過程中驗證攜帶了EAP-Message屬性的RADIUS報文的完整性,避免報文被竄改。如果接收端對接收到的RADIUS報文計算出的完整性校驗值與報文中攜帶的Message-Authenticator屬性的Value值不一致,該報文會被認為無效而丟棄。
圖1-8 Message-Authenticator屬性封裝
802.1X的認證過程可以由客戶端主動發起,也可以由設備端發起。
· 組播觸發:客戶端主動向設備端發送EAPOL-Start報文來觸發認證,該報文目的地址為組播MAC地址01-80-C2-00-00-03。
· 廣播觸發:客戶端主動向設備端發送EAPOL-Start報文來觸發認證,該報文的目的地址為廣播MAC地址。該方式可解決由於網絡中有些設備不支持上述的組播報文,而造成認證設備無法收到客戶端認證請求的問題。
目前,iNode的802.1X客戶端可支持廣播觸發方式。
設備端主動觸發方式用於支持不能主動發送EAPOL-Start報文的客戶端,例如Windows XP自帶的802.1X客戶端。設備主動觸發認證的方式分為以下兩種:
· 組播觸發:設備每隔N秒(缺省為30秒)主動向客戶端組播發送Identity類型的EAP-Request幀來觸發認證。
· 單播觸發:當設備收到源MAC地址未知的報文時,主動向該MAC地址單播發送Identity類型的EAP-Request幀來觸發認證。若設備端在設置的時長內沒有收到客戶端的響應,則重發該報文。
802.1X係統支持采用EAP中繼方式或EAP終結方式與遠端RADIUS服務器交互。以下關於兩種認證方式的過程描述,都以客戶端主動發起認證為例。
這種方式是IEEE 802.1X標準規定的,將EAP承載在其它高層協議中,如EAP over RADIUS,以便擴展認證協議報文穿越複雜的網絡到達認證服務器。一般來說,需要RADIUS服務器支持EAP屬性:EAP-Message和Message-Authenticator,分別用來封裝EAP報文及對攜帶EAP-Message的RADIUS報文進行保護。
下麵以MD5-Challenge認證方法為例介紹基本業務流程,認證過程如圖1-9所示。
圖1-9 IEEE 802.1X認證係統的EAP中繼方式業務流程
(1) 當用戶需要訪問外部網絡時打開802.1X客戶端程序,輸入已經申請、登記過的用戶名和密碼,發起連接請求。此時,客戶端程序將向設備端發出認證請求幀(EAPOL-Start),開始啟動一次認證過程。
(2) 設備端收到認證請求幀後,將發出一個Identity類型的請求幀(EAP-Request/Identity)要求用戶的客戶端程序發送輸入的用戶名。
(3) 客戶端程序響應設備端發出的請求,將用戶名信息通過Identity類型的響應幀(EAP-Response/Identity)發送給設備端。
(4) 設備端將客戶端發送的響應幀中的EAP報文封裝在RADIUS報文(RADIUS Access-Request)中發送給認證服務器進行處理。
(5) RADIUS服務器收到設備端轉發的用戶名信息後,將該信息與數據庫中的用戶名列表中對比,找到該用戶名對應的密碼信息,用隨機生成的一個MD5 Challenge對密碼進行加密處理,同時將此MD5 Challenge通過RADIUS Access-Challenge報文發送給設備端。
(6) 設備端將RADIUS服務器發送的MD5 Challenge轉發給客戶端。
(7) 客戶端收到由設備端傳來的MD5 Challenge後,用該Challenge對密碼部分進行加密處理,生成EAP-Response/MD5 Challenge報文,並發送給設備端。
(8) 設備端將此EAP-Response/MD5 Challenge報文封裝在RADIUS報文(RADIUS Access-Request)中發送給RADIUS服務器。
(9) RADIUS服務器將收到的已加密的密碼信息和本地經過加密運算後的密碼信息進行對比,如果相同,則認為該用戶為合法用戶,並向設備端發送認證通過報文(RADIUS Access-Accept)。
(10) 設備收到認證通過報文後向客戶端發送認證成功幀(EAP-Success),並將端口改為授權狀態,允許用戶通過端口訪問網絡。
(11) 用戶在線期間,設備端會通過向客戶端定期發送握手報文的方法,對用戶的在線情況進行監測。
(12) 客戶端收到握手報文後,向設備發送應答報文,表示用戶仍然在線。缺省情況下,若設備端發送的兩次握手請求報文都未得到客戶端應答,設備端就會讓用戶下線,防止用戶因為異常原因下線而設備無法感知。
(13) 客戶端可以發送EAPOL-Logoff幀給設備端,主動要求下線。
(14) 設備端把端口狀態從授權狀態改變成未授權狀態,並向客戶端發送EAP-Failure報文。
EAP中繼方式下,需要保證在客戶端和RADIUS服務器上選擇一致的EAP認證方法,而在設備上,隻需要通過dot1x authentication-method eap命令啟動EAP中繼方式即可。
這種方式將EAP報文在設備端終結並映射到RADIUS報文中,利用標準RADIUS協議完成認證、授權和計費。設備端與RADIUS服務器之間可以采用PAP或者CHAP認證方法。下麵以CHAP認證方法為例介紹基本業務流程,如圖1-10所示。
圖1-10 IEEE 802.1X認證係統的EAP終結方式業務流程
EAP終結方式與EAP中繼方式的認證流程相比,不同之處在於步驟(4)中用來對用戶密碼信息進行加密處理的隨機MD5 challenge由設備端生成,之後設備端會把用戶名、MD5 challenge和客戶端加密後的密碼信息一起送給RADIUS服務器,進行相關的認證處理。
設備不僅支持協議所規定的基於端口的接入認證方式(Port-based),還對其進行了擴展、優化,支持基於MAC的接入控製方式(MAC-based)。
· 當采用基於端口的接入控製方式時,隻要該端口下的第一個用戶認證成功後,其它接入用戶無須認證就可使用網絡資源,但是當第一個用戶下線後,其它用戶也會被拒絕使用網絡。
· 采用基於MAC的接入控製方式時,該端口下的所有接入用戶均需要單獨認證,當某個用戶下線時,也隻有該用戶無法使用網絡。
802.1X用戶在服務器上通過認證時,服務器會把授權信息傳送給設備端。如果服務器上指定了授權給該用戶的下發VLAN,則服務器發送給設備的授權信息中將含有下發的VLAN信息,設備根據用戶認證上線的端口鏈路類型,按以下三種情況將端口加入下發VLAN中。
· 端口的鏈路類型為Access:當前Access端口離開用戶配置的VLAN並加入下發的VLAN中。
· 端口的鏈路類型為Trunk:設備允許授權下發的VLAN通過當前Trunk端口,並且端口的缺省VLAN ID為下發VLAN的VLAN ID。
· 端口的鏈路類型為Hybrid:設備允許授權下發的VLAN以不攜帶Tag的方式通過當前Hybrid端口。在端口的控製方式為MAC-based時,若當前Hybrid端口上開啟了MAC VLAN功能,則設備將根據認證服務器下發的授權VLAN動態地創建基於用戶MAC的VLAN,而端口的缺省VLAN ID並不改變;若當前Hybrid端口上未開啟MAC VLAN功能,則設備會將端口的缺省VLAN ID修改為第一個通過認證的用戶的下發VLAN ID,而後續用戶若要認證成功,其授權VLAN必須與該用戶的下發VLAN相同。在端口的控製方式為Port-based時,設備會將端口的缺省VLAN ID修改為下發VLAN的VLAN ID。
下發的VLAN並不影響端口的配置。但是,下發的VLAN的優先級高於用戶配置的VLAN,即通過認證後起作用的VLAN是下發的VLAN,用戶配置的VLAN在用戶下線後生效。
· 對於Hybrid端口,不建議把服務器將要下發或已經下發的VLAN配置為攜帶Tag的方式加入端口。
· 在啟動了802.1X周期性重認證功能的Hybrid端口上,若用戶在MAC VLAN功能開啟之前上線,則MAC VLAN功能不能對該用戶生效,即係統不會根據服務器下發的VLAN生成該用戶的MAC VLAN表項,隻有該在線用戶重認證成功且服務器下發的VLAN發生變化時,MAC VLAN功能才會對它生效。MAC VLAN功能的詳細介紹請參考“二層技術配置指導”中的“VLAN配置”。
Guest VLAN功能允許用戶在未認證的情況下,訪問某一特定VLAN中的資源。這個特定的VLAN稱之為Guest VLAN,該VLAN內通常放置一些用於用戶下載客戶端軟件或其他升級程序的服務器。
接入控製方式為MAC-based的端口支持Guest VLAN,接入控製方式為Port-based的端口暫不支持Guest VLAN。
在接入控製方式為MAC-based的端口上配置Guest VLAN後,端口上未認證的用戶被授權訪問Guest VLAN裏的資源。
當端口上處於Guest VLAN中的用戶發起認證且失敗時,如果端口配置了Auth-Fail VLAN,則認證失敗的用戶將被加入Auth-Fail VLAN;如果端口未配置Auth-Fail VLAN,則該用戶將仍然處於Guest VLAN內。
當端口上處於Guest VLAN中的用戶發起認證且成功時,設備會根據認證服務器是否下發VLAN決定將該用戶加入到下發的VLAN中,或回到加入Guest VLAN之前端口所在的初始VLAN。
Auth-Fail VLAN功能允許用戶在認證失敗的情況下訪問某一特定VLAN中的資源,這個VLAN稱之為Auth-Fail VLAN。需要注意的是,這裏的認證失敗是認證服務器因某種原因明確拒絕用戶認證通過,比如用戶密碼錯誤,而不是認證超時或網絡連接等原因造成的認證失敗。
接入控製方式為MAC-based的無線端口支持Auth-Fail VLAN,接入控製方式為Port-based的無線端口暫不支持Auth-Fail VLAN。
在接入控製方式為MAC-based的端口上配置Auth-Fail VLAN後,該端口上認證失敗的用戶將被授權訪問Auth-Fail VLAN裏的資源。
當Auth-Fail VLAN中的用戶再次發起認證時,如果認證成功,則設備會根據認證服務器是否下發VLAN決定將該用戶加入到下發的VLAN中,或回到加入Auth-Fail VLAN之前端口所在的初始VLAN;如果認證失敗,則該用戶仍然留在該VLAN中。
802.1X支持ACL(Access Control List,訪問控製列表)下發功能提供了對上線用戶訪問網絡資源的過濾與控製功能。當用戶上線時,如果RADIUS服務器上指定了要下發給該用戶的授權ACL,則設備會根據服務器下發的授權ACL對用戶所在端口的數據流進行過濾,僅允許ACL規則中允許的數據流通過該端口。由於服務器上指定的是授權ACL的編號,因此還需要在設備上創建該ACL並配置該對應的ACL規則。管理員可以通過改變服務器的授權ACL設置或設備上對應的ACL規則來改變用戶的訪問權限。
表1-2 配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
開啟802.1X特性 |
無線端口的802.1X特性需要配合端口安全特性使用,缺省情況下並沒有開啟802.1X特性。 |
- |
|
配置802.1X係統的認證方法 |
若采用EAP中繼模式,則必選 若采用EAP終結模式,則可選 |
|
|
配置端口同時接入用戶數的最大值 |
可選 |
|
|
配置設備向接入用戶發送認證請求報文的最大次數 |
可選 |
|
|
配置802.1X認證超時定時器 |
可選 |
|
|
配置在線用戶握手功能 |
可選 |
|
|
開啟認證觸發功能 |
可選 |
|
|
配置端口的強製認證域 |
可選 |
|
|
配置靜默功能 |
可選 |
|
|
配置重認證功能 |
可選 |
|
|
配置Guest VLAN |
可選 |
|
|
配置Auth-Fail VLAN |
可選 |
|
|
配置802.1X支持的域名分隔符 |
可選 |
|
|
配置計費延時功能 |
可選 |
使用802.1X認證時建議關閉arp-snooping功能。
802.1X需要AAA的配合才能實現對用戶的身份認證。因此,需要首先完成以下配置任務:
· 配置802.1X用戶所屬的ISP認證域及其使用的AAA方案,即本地認證方案或RADIUS方案。
· 如果需要通過RADIUS服務器進行認證,則應該在RADIUS服務器上配置相應的用戶名和密碼。
· 如果需要本地認證,則應該在設備上手動添加認證的用戶名和密碼。配置本地認證時,用戶使用的服務類型必須設置為lan-access。
在RADIUS服務器不能支持EAP認證,或者使用本地認證的情況下,如果希望使用EAP中繼模式來支持多種EAP認證方法,則還需要在設備上配置專門的本地EAP服務器來協助完成EAP認證。關於本地EAP認證以及AAA的具體配置請參見“安全配置指導”中的“AAA配置”。
設備上的802.1X係統采用的認證方法與設備對於EAP報文的處理機製有關,具體如下:
· EAP中繼方式下,設備端對客戶端發送的EAP報文進行中繼處理,設備上需指定authentication-method為eap來啟用EAP中繼方式,並支持客戶端與RADIUS服務器之間所有類型的EAP認證方法。
· EAP終結方式下,設備端對客戶端發送的EAP報文進行本地終結,設備上需指定authentication-method為chap或pap來啟用EAP終結方式,並支持與RADIUS服務器之間采用CHAP或PAP類型的認證方法。
表1-3 配置802.1X係統的認證方法
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置802.1X係統的認證方法 |
dot1x authentication-method { chap | eap | pap } |
可選 缺省情況下,設備啟用EAP終結方式,並采用CHAP認證方法 |
如果采用EAP中繼認證方式,則設備會把客戶端輸入的內容直接封裝後發給服務器,這種情況下user-name-format命令的設置無效,user-name-format的介紹請參見“安全命令參考”中的“AAA配置命令”。
在係統視圖和接口視圖下均可進行端口接入用戶數最大值的配置,前者可針對多個端口,後者僅針對當前端口。若在不同視圖下先後對同一個端口的最大接入用戶數進行了配置,則最後執行的配置生效。
表1-4 配置端口同時接入用戶數的最大值
|
配置步驟 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
配置端口同時接入用戶數的最大值 |
在係統視圖下 |
dot1x max-user user-number [ interface interface-list ] |
二者可選其一 缺省情況下,端口同時接入用戶數的最大值與設備的型號有關,請參見“命令參考導讀”中的“命令行及參數差異情況”部分的介紹。 |
|
在二層以太網接口視圖/WLAN-ESS接口視圖下 |
interface interface-type interface-number |
||
|
dot1x max-user user-number |
|||
如果設備向用戶發送認證請求報文後,在規定的時間裏(可通過命令dot1x timer tx-period或者dot1x timer supp-timeout設定)沒有收到用戶的響應,則設備將向用戶重發該認證請求報文,若設備累計發送認證請求報文的次數達到配置的最大值後,仍然沒有得到用戶響應,則停止發送認證請求。
表1-5 配置設備向接入用戶發送認證請求報文的最大次數
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置設備向接入用戶發送認證請求報文的最大次數 |
dot1x retry max-retry-value |
可選 缺省情況下,設備最多可向接入用戶發送2次認證請求報文 |
802.1X認證過程中會啟動多個定時器以控製接入用戶、設備以及RADIUS服務器之間進行合理、有序的交互。可配置的802.1X認證定時器包括以下兩種:
· 客戶端認證超時定時器:當設備端向客戶端發送了EAP-Request/MD5 Challenge請求報文後,設備端啟動此定時器,若在該定時器設置的時長內,設備端沒有收到客戶端的響應,設備端將重發該報文。
· 認證服務器超時定時器:當設備端向認證服務器發送了RADIUS Access-Request請求報文後,設備端啟動該定時器,若在該定時器設置的時長內,設備端沒有收到認證服務器的響應,設備端將重發認證請求報文。
表1-6 配置802.1X定時器參數
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置客戶端認證超時定時器 |
dot1x timer supp-timeout supp-timeout-value |
可選 缺省情況下,客戶端認證超時定時器的值為30秒 |
|
配置認證服務器超時定時器 |
dot1x timer server-timeout server-timeout-value |
可選 缺省情況下,認證服務器超時定時器的值為100秒 |
一般情況下,無需改變認證超時定時器的值,除非在一些特殊或惡劣的網絡環境下,才需要通過命令來調節。例如,用戶網絡狀況比較差的情況下,可以適當地將客戶端認證超時定時器值調大一些;還可以通過調節認證服務器超時定時器的值來適應不同認證服務器的性能差異。
開啟設備的在線用戶握手功能後,設備會定期(時間間隔通過命令dot1x timer handshake-period設置)向通過802.1X認證的在線用戶發送握手報文,以定期檢測用戶的在線情況。如果設備連續多次(通過命令dot1x retry設置)沒有收到客戶端的響應報文,則會將用戶置為下線狀態。
在線用戶握手功能處於開啟狀態的前提下,還可以通過開啟在線用戶握手安全功能,來防止在線的802.1X認證用戶使用非法的客戶端與設備進行握手報文的交互,而逃過雙網卡檢測等iNode客戶端的安全檢查功能。開啟了在線用戶握手安全功能的設備通過檢驗客戶端上傳的握手報文中攜帶的驗證信息,來確認用戶是否使用iNode客戶端進行握手報文的交互。如果握手檢驗不通過,則會將用戶置為下線狀態。
需要注意的是:在線用戶握手安全功能的實現依賴於在線用戶握手功能。為使在線用戶握手安全功能生效,請保證在線用戶握手功能處於開啟狀態。
表1-7 配置在線用戶握手功能
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置握手定時器 |
dot1x timer handshake-period handshake-period-value |
可選 缺省情況下,握手定時器的值為15秒 |
|
進入二層以太網接口/WLAN-ESS接口視圖 |
interface interface-type interface-number |
- |
|
開啟在線用戶握手功能 |
dot1x handshake |
可選 缺省情況下,在線用戶握手功能處於開啟狀態 |
|
開啟在線用戶握手功能的安全功能 |
dot1x handshake secure |
可選 缺省情況下,在線用戶握手安全功能處於關閉狀態 |
· 部分802.1X客戶端不支持與設備進行握手報文的交互,因此建議在這種情況下,關閉設備的在線用戶握手功能,避免該類型的在線用戶因沒有回應握手報文而被強製下線。
· 建議在線用戶握手安全功能與iNode客戶端以及iMC服務器配合使用,以保證該功能可以正常運行。
開啟了802.1X的組播觸發功能的端口會定期(間隔時間通過命令dot1x timer tx-period設置)向客戶端組播發送EAP-Request/Identity報文來檢測客戶端並觸發認證。該功能用於支持不能主動發送EAPOL-Start報文來發起認證的客戶端。
表1-8 開啟組播觸發功能
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置用戶名請求超時定時器 |
dot1x timer tx-period tx-period-value |
可選 缺省情況下,用戶名請求超時定時器的值為30秒 |
|
進入二層以太網接口視圖/WLAN-ESS接口視圖 |
interface interface-type interface-number |
- |
|
開啟組播觸發功能 |
dot1x multicast-trigger |
可選 缺省情況下,組播觸發功能處於開啟狀態 |
· 對於無線局域網來說,可以由客戶端主動發起認證,或由無線模塊發現用戶並觸發認證,而不必端口定期發送802.1X的組播報文來觸發。同時,組播觸發報文會占用無線的通信帶寬,因此建議無線局域網中的接入設備關閉該功能。
· 建議開啟組播觸發功能的同時,不要開啟單播觸發功能,以免認證報文重複發送。
開啟了802.1X的單播觸發功能的端口收到源MAC未知的報文時,會主動向該MAC地址單播發送EAP-Request/Identity報文來觸發認證。若設備端在指定的時間內(通過命令dot1x timer tx-period設置)沒有收到客戶端的響應,則重發該報文(重發次數通過命令dot1x retry設置)。
該功能適用於客戶端不支持主動認證,且僅部分客戶端需要進行認證的組網環境,可避免不希望認證或已認證的客戶端收到多餘的認證觸發報文。若設備端在設置的時長內沒有收到客戶端的響應,則重發該報文。
表1-9 開啟單播觸發功能
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置用戶名請求超時定時器 |
dot1x timer tx-period tx-period-value |
可選 缺省情況下,用戶名請求超時定時器的值為30秒 |
|
進入二層以太網接口視圖 |
interface interface-type interface-number |
- |
|
開啟單播觸發功能 |
dot1x unicast-trigger |
必選 缺省情況下,單播觸發功能處於關閉狀態 |
建議開啟單播觸發功能的同時,不要開啟組播觸發功能,以免認證報文重複發送。
配置端口的強製認證域(mandatory domain)為802.1X接入提供了一種安全控製策略。所有從該端口接入的802.1X用戶將被強製使用指定的認證域來進行認證、授權和計費,從而防止用戶通過惡意假冒其它域賬號從本端口接入網絡。另外,管理員也可以通過配置強製認證域對不同端口接入的用戶指定不同的認證域,從而增加了管理員部署802.1X接入策略的靈活性。
表1-10 配置端口的強製認證域
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入二層以太網接口/WLAN-ESS接口視圖 |
interface interface-type interface-number |
- |
|
配置端口的強製認證域 |
dot1x mandatory-domain domain-name |
必選 缺省情況下,未定義強製認證域 |
當802.1X用戶認證失敗以後,設備需要靜默一段時間(通過命令dot1x timer quiet-period設置)後再重新發起認證,在靜默期間,設備不進行802.1X認證的相關處理。
表1-11 開啟靜默定時器功能
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置靜默定時器 |
dot1x timer quiet-period quiet-period-value |
可選 缺省情況下,靜默定時器的值為60秒 |
|
開啟靜默定時器功能 |
dot1x quiet-period |
必選 缺省情況下,靜默定時器功能處於關閉狀態 |
在網絡處在風險位置,容易受攻擊的情況下,可以適當地將靜默定時器值調大一些,反之,可以將其調小一些來提高對用戶認證請求的響應速度。
端口啟動了802.1X的周期性重認證功能後,設備會根據周期性重認證定時器設定的時間間隔(由命令dot1x timer reauth-period設置)定期向該端口在線802.1X用戶發起重認證,以檢測用戶連接狀態的變化、確保用戶的正常在線,並及時更新服務器下發的授權屬性(例如ACL、VLAN、User Profile)。
表1-12 配置重認證功能
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置周期性重認證定時器 |
dot1x timer reauth-period reauth-period-value |
可選 缺省情況下,周期性重認證定時器的值為3600秒 |
|
進入二層以太網接口視圖/WLAN-ESS接口視圖 |
interface interface-type interface-number |
- |
|
開啟周期性重認證功能 |
dot1x re-authenticate |
必選 缺省情況下,周期性重認證功能處於關閉狀態 |
· 認證服務器可以通過下發RADIUS屬性(session-timeout)來指定用戶的重認證周期,且該功能不需要設備上開啟周期性重認證功能來配合,屬性下發成功即可生效。802.1X用戶認證通過後,如果認證服務器對該用戶下發了重認證周期,則設備上配置的周期性重認證時間無效,服務器下發的重認證周期生效。認證服務器下發重認證時間的具體配置以及是否可以下發重認證周期的情況與服務器類型有關,請參考具體的認證服務器實現。
· 在用戶名不改變的情況下,端口允許重認證前後服務器向該用戶下發不同內容的VLAN;但是,若重認證前端口下發了VLAN,而重認證後未下發VLAN,則重認證失敗,用戶下線,反之同樣處理。
· 如果用戶端設備發出的是攜帶Tag的數據流,且接入端口上使能了802.1X認證並配置了Guest VLAN,為保證各種功能的正常使用,請為端口的缺省VLAN和802.1X的Guest VLAN分配不同的VLAN ID。
· 接入控製方式為MAC-based的端口支持Guest VLAN,接入控製方式為Port-based的端口暫不支持Guest VLAN。
配置Guest VLAN之前,需要進行以下配置準備:
· 創建需要配置為Guest VLAN的VLAN。
· 在接入控製方式為MAC-based的端口上,保證端口類型為Hybrid,且端口上的MAC VLAN功能處於使能狀態。MAC VLAN功能的具體配置請參考“二層技術配置指導”中的“VLAN配置”。
表1-13 配置Guest VLAN
|
配置步驟 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
配置指定端口的Guest VLAN |
在係統視圖下 |
dot1x guest-vlan guest-vlan-id [ interface interface-list ] |
二者必選其一 缺省情況下,端口沒有配置Guest VLAN |
|
在二層以太網接口視圖/WLAN-ESS接口視圖下 |
interface interface-type interface-number |
||
|
dot1x guest-vlan guest-vlan-id |
|||
· 不同的端口可以配置不同的Guest VLAN,但一個端口最多隻能配置一個Guest VLAN。
· 在接入控製方式為MAC-based的端口上同時配置了802.1X認證的Guest VLAN與MAC地址認證的Guest VLAN時,則僅802.1X認證的Guest VLAN有效,即用戶觸發MAC地址認證且失敗後,不會加入MAC地址認證的Guest VLAN,若之後未觸發或者未成功通過802.1X認證,則會加入802.1X認證的Guest VLAN中(若端口上還配置了802.1X認證的Auth-Fail VLAN,則用戶認證失敗後加入Auth-Fail VLAN)。關於MAC地址認證Guest VLAN的介紹請參見“安全配置指導”中的“MAC地址認證配置”。
· 在接入控製方式為MAC-based的端口上生成的Guest VLAN表項會覆蓋已生成的阻塞MAC表項,但如果端口因檢測到非法報文而關閉,則802.1X的Guest VLAN功能無法生效。關於端口入侵檢測關閉功能的具體介紹請參見“安全配置指導”中的“端口安全配置”。
· 對於Hybrid端口,不建議將指定的Guest VLAN修改為攜帶Tag的方式。
如果用戶端設備發出的是攜帶Tag的數據流,且接入端口上使能了802.1X認證並配置了Auth-Fail VLAN,為保證各種功能的正常使用,請為端口的缺省VLAN和802.1X的Auth-Fail VLAN分配不同的VLAN ID。
配置Auth-Fail VLAN之前,需要進行以下配置準備:
· 創建需要配置為Auth-Fail VLAN的VLAN。
· 在接入控製方式為Port-based的端口上,保證802.1X的組播觸發功能處於開啟狀態。
· 在接入控製方式為MAC-based的端口上,保證端口類型為Hybrid,且端口上的MAC VLAN功能處於使能狀態。MAC VLAN功能的具體配置請參考“二層技術配置指導”中的“VLAN配置”。
表1-14 配置Auth-Fail VLAN
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入二層以太網接口視圖/WLAN-ESS接口視圖 |
interface interface-type interface-number |
- |
|
配置指定端口的Auth-Fail VLAN |
dot1x auth-fail vlan authfail-vlan-id |
必選 缺省情況下,端口沒有配置Auth-Fail VLAN |
· 不同的端口可以配置不同的Auth-Fail VLAN,但一個端口最多隻能配置一個Auth-Fail VLAN。
· 接入控製方式為MAC-based的無線端口支持Auth-Fail VLAN,接入控製方式為Port-based的無線端口暫不支持Auth-Fail VLAN。
· 在接入控製方式為MAC-based的端口上同時配置了802.1X認證Auth-Fail VLAN與MAC地址認證的Guest VLAN時,若用戶首先進行MAC地址認證且失敗,則加入MAC地址認證的Guest VLAN中,之後若該用戶再進行802.1X認證且失敗,則會離開MAC地址認證的Guest VLAN而加入802.1X認證的Auth-Fail VLAN中;若用戶首先進行802.1X認證且失敗,之後除非成功通過MAC地址認證或者802.1X認證,否則會一直位於802.1X認證的Auth-Fail VLAN中。
· 在接入控製方式為MAC-based的端口上生成的Auth-Fail VLAN表項會覆蓋已生成的阻塞MAC表項,但如果端口因檢測到非法報文而關閉,則802.1X的Auth-Fail VLAN功能無法生效。關於端口入侵檢測關閉功能的具體介紹請參見“安全配置指導”中的“端口安全配置”。
· 對於Hybrid端口,不建議將指定的Auth-Fail VLAN修改為攜帶Tag的方式。
設備對用戶的管理是基於ISP域的,每個接入用戶都屬於一個ISP域。用戶所屬的ISP域是由用戶登錄時提供的用戶名決定的,若用戶名中攜帶域名,則設備使用該域中的AAA配置對用戶進行認證、授權和計費,否則使用係統中的缺省域;若設備指定了802.1X的強製認證域,則無論用戶名中是否攜帶域名,設備均使用指定的強製認證域。因此,設備能夠準確解析用戶名中的純用戶名和域名對於為用戶提供認證服務非常重要。由於不同的802.1X客戶端所支持的用戶名域名分隔符不同,為了更好地管理和控製不同用戶名格式的802.1X用戶接入,需要在設備上指定802.1X可支持的域名分隔符。
目前,802.1X支持的域名分隔符包括@、\和/,對應的用戶名格式分別為username@domain-name, domain-name\username和username/domain-name,其中username為純用戶名、domain-name為域名。如果用戶名中包含有多個域名分隔符字符,則設備僅將第一個出現的域名分隔符識別為實際使用的域名分隔符,其它字符都被認為是域名中的一部分,例如,用戶輸入的用戶名為123/22\@abc,則認為純用戶名為123,域名分隔符為/,域名為22\@abc。
如果用戶輸入的用戶名中不包含任何802.1X可支持的域名分隔符,則設備會認為該用戶名並未攜帶域名,則使用係統中的缺省域對該用戶進行認證。
表1-15 指定802.1X支持的域名分隔符
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
指定802.1X支持的域名分隔符 |
dot1x domain-delimiter string |
可選 缺省情況下,僅支持域名分隔符@ |
若設備上指定發送給認證服務器的用戶名攜帶域名(user-name-format with-domain),則發送給認證服務器的用戶名中攜帶該用戶使用的認證域的域名,並采用設備上指定的802.1X支持的域名分隔符,若設備上指定了多個域名分隔符,則選擇的優先級由高到低依次為@、/、\。另外,為保證用戶信息可在認證服務器上被準確匹配到,設備上指定的802.1X支持的域名分隔符必須與認證服務器支持的域名分隔符保持一致,否則可能會因為服務器匹配用戶失敗而導致用戶認證失敗。關於命令的具體介紹請參考“安全命令參考”中的“AAA”。
由於H3C iNode客戶端具有上傳用戶IP地址的功能,因此不建議在接入H3C iNode客戶端的端口上使能該功能。如果需要與H3C iNode客戶端配合使用,建議配置的計費延時時間不大於20秒或者不啟用安全策略,否則用戶有可能無法上線。
缺省情況下,計費延時功能處於關閉狀態,用戶認證成功後設備無論能否獲取到用戶的IP地址,都會立即向計費服務器發起計費請求。若該計費請求報文中攜帶了用戶IP地址,則計費服務器將記錄下用戶的IP地址,該IP地址可用於管理用戶的資費信息;若該計費請求報文中沒有攜帶用戶的IP地址,則計費服務器無法記錄用戶的IP地址。
如果開啟了計費延時功能,則設備僅在獲取到用戶IP地址後才向計費服務器發送用戶的計費請求報文,如果在指定的計費延時時間之內沒有獲取到用戶的IP地址,則根據配置的計費延時動作來決定用戶能否繼續後續的計費流程。
若用戶通過DHCP動態獲取IP地址,且計費服務器要求記錄用戶IP地址時,建議開啟該功能,確保設備在獲取到用戶的IP地址之後,將用戶IP地址發送給計費服務器。
表1-16 配置計費延時功能
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入以太網接口視圖 |
interface interface-type interface-number |
- |
|
開啟計費延時功能 |
dot1x accounting-delay [ action logoff | time time ] * |
可選 缺省情況下,計費延時功能處於關閉狀態 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後802.1X的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下,執行reset命令可以清除802.1X的統計信息。
表1-17 802.1X顯示和維護
|
操作 |
命令 |
|
顯示802.1X的會話連接信息、相關統計信息或配置信息 |
display dot1x [ sessions | statistics ] [ interface interface-list ] [ | { begin | exclude | include } regular-expression ] |
|
清除802.1X的統計信息 |
reset dot1x statistics [ interface interface-list ] |
· 如圖1-11所示,某無線用戶Client通過AP與AC相連。無線控製器AC的管理者希望在端口WLAN-ESS口上對接入用戶進行認證(目前,缺省支持的接入控製方式要求是macbased)。
· 所有AAA接入用戶都屬於一個缺省的域:example.com,該域最多可容納30個用戶。計費時,如果RADIUS計費失敗則切斷用戶連接使其下線。
· 由兩台RADIUS服務器組成的服務器組與AC相連,其IP地址分別為10.1.1.1和10.1.1.2,要求使用前者作為主認證/備份計費服務器,使用後者作為備份認證/主計費服務器。
· 設置係統與認證RADIUS服務器和計費RADIUS服務器交互報文時的共享密鑰都為name。
· 設置係統在向RADIUS服務器發送報文後5秒種內如果沒有得到響應就向其重新發送報文,發送報文的次數總共為5次,設置係統每15分鍾就向RADIUS服務器發送一次實時計費報文。
· 設置係統從用戶名中去除用戶域名後再將之傳給RADIUS服務器。
· 本地802.1X接入用戶的用戶名為localuser,密碼為localpass,使用明文輸入;閑置切斷功能處於打開狀態,正常連接時用戶空閑時間超過20分鍾,則切斷其連接。
圖1-11 802.1X認證典型組網圖
· 下述各配置步驟包含了大部分AAA協議配置命令,對這些命令的介紹,請參見“安全命令參考”中的“AAA配置命令”。此外,客戶端和RADIUS服務器上的配置略。
· 完成802.1X客戶端的配置。若使用H3C iNode 802.1X客戶端,為保證備選的本地認證可成功進行,請確認802.1X連接屬性中的“上傳客戶端版本號”選項未被選中。
· 完成RADIUS服務器的配置,添加用戶帳戶,保證用戶的認證/授權/計費功能正常運行。
(1) 配置各接口的IP地址(略)。
(2) 配置本地服務器。
· 導入證書
# 配置PKI實體aaa,並配置實體的通用名123。
[AC] pki entity aaa
[AC-pki-entity-aaa] common-name 123
# 配置PKI域,指定設備信任的CA,為實體配置證書申請的注冊受理機構為從RA注冊申請證書,指定申請證書的實體為aaa,並禁止CRL檢查。
[AC ]pki domain bbb
[AC-pki-domain-bbb] ca identifier hp
[AC-pki-domain-bbb] certificate request from ra
[AC-pki-domain-bbb] certificate request entity aaa
[AC-pki-domain-bbb] crl check disable
[AC-pki-domain-bbb] quit
# 配置SSL策略及所使用的PKI域
[AC] ssl server-policy 1
[AC-ssl-server-policy-1] pki-domain bbb
[AC-ssl-server-policy-1] quit
# 把根證書root.cer和server證書server.pfx拷貝到設備上,然後將證書導入到AC上。
[AC] pki import-certificate ca domain bbb der filename root.cer
[AC] pki import-certificate local domain bbb p12 filename server.pfx
· 配置本地服務器
# 配置eap-profile,認證方式為peap-mschapv2
[AC] eap-profile default-profile
[AC-eap-prof-default-profile] ssl-server-policy 1
[AC-eap-prof-default-profile] method peap-mschapv2
[AC-eap-prof-default-profile] quit
# 啟用本地認證
[AC]local-server authentication eap-profile default-profile
(3) 配置本地用戶
# 添加本地接入用戶,用戶名為localuser,密碼為明文輸入的localpass。(此處添加的本地用戶的用戶名和密碼需要與服務器端配置的用戶名和密碼保持一致,本例中的localuser僅為示例,請根據實際情況配置)。
<AC> system-view
[AC] local-user localuser
[AC-luser-localuser] service-type lan-access
[AC-luser-localuser] password simple localpass
# 啟動閑置切斷功能,並指定正常連接時用戶空閑時間超過20分鍾,則切斷其連接。
[AC-luser-localuser] authorization-attribute idle-cut 20
[AC-luser-localuser] quit
(4) 配置RADIUS方案
# 創建RADIUS方案radius1並進入其視圖。
[AC] radius scheme radius1
# 設置主認證/計費RADIUS服務器的IP地址。
[AC-radius-radius1] primary authentication 10.1.1.1
[AC-radius-radius1] primary accounting 10.1.1.1
# 設置備份認證/計費RADIUS服務器的IP地址。
[AC-radius-radius1] secondary authentication 10.1.1.2
[AC-radius-radius1] secondary accounting 10.1.1.2
# 設置係統與認證、計費RADIUS服務器交互報文時的共享密鑰。
[AC-radius-radius1] key authentication name
[AC-radius-radius1] key accounting name
# 設置係統向RADIUS服務器重發報文的時間間隔與次數。
[AC-radius-radius1] timer response-timeout 5
[AC-radius-radius1] retry 5
# 設置係統向RADIUS服務器發送實時計費報文的時間間隔。
[AC-radius-radius1] timer realtime-accounting 15
# 配置發送給RADIUS服務器的用戶名不攜帶域名。
[AC-radius-radius1] user-name-format without-domain
[AC-radius-radius1] quit
發送給服務器的用戶名是否攜帶域名與服務器端是否接受攜帶域名的用戶名以及服務器端的配置有關:
· 若服務器端不接受攜帶域名的用戶名,或者服務器上配置的用戶認證所使用的服務不攜帶域名後綴,則AC上指定不攜帶用戶名(without-domain);
· 若服務器端可接受攜帶域名的用戶名,且服務器上配置的用戶認證所使用的服務攜帶域名後綴,則AC上指定攜帶用戶名(with-domain)。
(5) 配置ISP域
# 創建域example.com並進入其視圖。
[AC] domain example.com
# 指定radius1為該域用戶的RADIUS方案,並采用local作為備選方案。
[AC-isp-example.com] authentication default radius-scheme radius1 local
[AC-isp-example.com] authorization default radius-scheme radius1 local
[AC-isp-example.com] accounting default radius-scheme radius1 local
# 設置該域最多可容納30個用戶。
[AC-isp-example.com] access-limit enable 30
# 啟動閑置切斷功能,並指定正常連接時用戶空閑時間超過20分鍾,則切斷其連接。
[AC-isp-example.com] idle-cut enable 20
[AC-isp-example.com] quit
# 指定域example.com為缺省的ISP域。如果用戶在登錄時沒有提供ISP域名,係統將把它歸於該缺省的ISP域。
[AC] domain default enable example.com
(6) 配置端口安全
# 配置對802.1X用戶采用EAP認證
[AC] dot1x authentication-method eap
# 全局開啟端口安全
[AC] port-security enable
# 配置無線端口安全,使用802.1X認證方式。
[AC] interface WLAN-ESS 1
[AC-WLAN-ESS1] port link-type hybrid
[AC-WLAN-ESS1] port hybrid vlan 2 untagged
[AC-WLAN-ESS1] port hybrid pvid vlan 2
[AC-WLAN-ESS1] mac-vlan enable
[AC-WLAN-ESS1] port-security port-mode userlogin-secure-ext
[AC-WLAN-ESS1] port-security tx-key-type 11key
# 指定dot1x認證強製域
[AC-WLAN-ESS1] dot1x mandatory-domain example.com
# 關閉802.1x多播觸發功能和在線用戶握手功能。
[AC-WLAN-ESS1] undo dot1x multicast-trigger
[AC-WLAN-ESS1] undo dot1x handshake
[AC-WLAN-ESS1] quit
(7) 配置無線服務
# 創建服務模板1(加密類型服務模板),配置SSID為dot1x,加密方式為tkip和ccmp。
[AC] wlan service-template 1 crypto
[AC-wlan-st-1] ssid dot1x
[AC-wlan-st-1] bind WLAN-ESS 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] cipher-suite tkip
[AC-wlan-st-1] cipher-suite ccmp
[AC-wlan-st-1] security-ie rsn
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 創建AP 1的模板,名稱為ap1,型號名稱選擇WA2100,並配置AP 1的序列號為210235A29G007C000020。
[AC] wlan ap ap1 model WA2100
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
# 將服務模板1綁定到AP 1的radio 1口。
[AC-wlan-ap-ap1] radio 1 type dot11g
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
使用命令display dot1x interface WLAN-ESS1可以查看802.1X的配置情況。當802.1X用戶使用username@example.com形式的用戶名成功通過RADIUS認證上線後,可使用命令display connetion查看到上線用戶的連接情況。若RADIUS認證失敗,則進行本地認證。
如圖1-12所示,無線用戶Client通過802.1X認證接入網絡,認證服務器為RADIUS服務器。Internet網絡中有一台FTP服務器,IP地址為10.0.0.1。
· 在認證服務器上配置授權下發ACL 3000。
· 在無線控製器的 WLAN-ESS1上開啟802.1X認證,並配置ACL 3000。
當無線用戶認證成功上線,認證服務器下發ACL 3000。此時ACL 3000在WLAN-ESS1上生效,Client可以訪問Internet,但不能訪問FTP服務器。
圖1-12 下發ACL典型組網圖
(1) 在AC上配置ACL下發
# 配置各接口的IP地址(略)。
# 配置RADIUS方案。
<AC> system-view
[AC] radius scheme 2000
[AC-radius-2000] primary authentication 10.1.1.1 1812
[AC-radius-2000] primary accounting 10.1.1.2 1813
[AC-radius-2000] key authentication abc
[AC-radius-2000] key accounting abc
[AC-radius-2000] user-name-format without-domain
[AC-radius-2000] quit
# 配置ISP域的AAA方案。
[AC] domain 2000
[AC-isp-2000] authentication default radius-scheme 2000
[AC-isp-2000] authorization default radius-scheme 2000
[AC-isp-2000] accounting default radius-scheme 2000
[AC-isp-2000] quit
# 配置ACL 3000,拒絕目的IP地址為10.0.0.1的報文通過。
[AC] acl number 3000
[AC-acl-adv-3000] rule 0 deny ip destination 10.0.0.1 0
# 設置認證方式為EAP。
[AC] dot1x authentication-method eap
# 全局開啟端口安全
[AC] port-security enable
# 配置無線端口安全,使用802.1X認證方式。
[AC] interface WLAN-ESS 1
[AC-WLAN-ESS1] port link-type hybrid
[AC-WLAN-ESS1] port hybrid vlan 2 untagged
[AC-WLAN-ESS1] port hybrid pvid vlan 2
[AC-WLAN-ESS1] mac-vlan enable
[AC-WLAN-ESS1] port-security port-mode userlogin-secure-ext
[AC-WLAN-ESS1] port-security tx-key-type 11key
# 關閉802.1X多播觸發功能和在線用戶握手功能。
[AC-WLAN-ESS1] undo dot1x multicast-trigger
[AC-WLAN-ESS1] undo dot1x handshake
[AC-WLAN-ESS1] quit
# 創建服務模板1(加密類型服務模板),配置SSID為dot1x,加密方式為tkip和ccmp。
[AC] wlan service-template 1 crypto
[AC-wlan-st-1] ssid dot1x
[AC-wlan-st-1] bind WLAN-ESS 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] cipher-suite tkip
[AC-wlan-st-1] cipher-suite ccmp
[AC-wlan-st-1] security-ie rsn
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 配置AP 1:創建AP 1的模板,名稱為ap1,型號名稱選擇WA2100,並配置AP 1的序列號為210235A29G007C000020。
[AC] wlan ap ap1 model WA2100
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC-wlan-ap-ap1] radio 1 type dot11g
# 將服務模板1綁定到AP 1的radio 1口。
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
(2) 驗證配置結果
用戶認證上線後,使用display connection命令查看802.1X認證授權信息,顯示用戶已認證成功,ACL3000也下發成功。
[AC]display connection
Index=1,[email protected]
MAC=00-40-96-B3-8A-77
IP=N/A
IPv6=N/A
[AC]display connection ucibindex 1
Index=1, Username= [email protected]
MAC=00-40-96-B3-8A-77
IP=N/A
IPv6=N/A
Access=8021X ,AuthMethod=EAP
Port Type=Wireless-802.11,Port Name=WLAN-DBSS1:1
Initial VLAN=2, Authorization VLAN=N/A
ACL Group=3000
User Profile=N/A
CAR=Disable
Priority=Disable
Start=2011-06-30 17:29:39 ,Current=2011-06-30 17:30:51 ,Online=00h01m13s
Total 1 connection matched.
當無線用戶認證成功上線後,Ping FTP服務器。
C:\>ping 10.0.0.1
Pinging 10.0.0.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 10.0.0.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
由以上過程可知,無線用戶無法ping通FTP服務器,說明認證服務器下發的ACL已對該用戶生效。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
