- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
05-端口安全配置
本章節下載: 05-端口安全配置 (521.17 KB)
目 錄
1.1.5 端口安全對Guest VLAN和Auth-Fail VLAN的支持
1.11.1 端口安全userLoginWithOUI模式配置舉例
1.11.2 端口安全支持WLAN的userLoginSecureExt模式配置舉例
1.11.3 端口安全支持MAC-based 的802.1X Guest VLAN配置舉例
1.11.4 Guest VLAN、授權VLAN下發的典型配置舉例
端口安全中對於接口的相關配置,目前可以在以太網接口及WLAN接口上進行。各命令支持接口類型的情況不同,具體請參見“端口安全配置命令”。
端口安全是一種基於MAC地址對網絡接入進行控製的安全機製,是對已有的802.1X認證和MAC地址認證的擴充。這種機製通過檢測端口收到的數據幀中的源MAC地址來控製非授權設備對網絡的訪問,通過檢測從端口發出的數據幀中的目的MAC地址來控製對非授權設備的訪問。
端口安全的主要功能是通過定義各種端口安全模式,讓設備學習到合法的源MAC地址,以達到相應的網絡管理效果。啟動了端口安全功能之後,當發現非法報文時,係統將觸發相應特性,並按照預先指定的方式進行處理,既方便用戶的管理又提高了係統的安全性。這裏的非法報文是指:
· MAC地址未被端口學習到的用戶報文;
· 未通過認證的用戶報文。
由於端口安全特性通過多種安全模式提供了802.1X和MAC地址認證的擴展和組合應用,因此在需要靈活使用以上兩種認證方式的組網環境下,推薦使用端口安全特性。無特殊組網要求的情況下,無線環境中通常使用端口安全特性。而在僅需要802.1X、MAC地址認證特性來完成接入控製的組網環境下,推薦單獨使用以上兩個特性。關於802.1X、MAC地址認證特性的詳細介紹和具體配置請參見“安全配置指導”中的“802.1X配置”、“MAC地址認證配置”。
Need To Know特性通過檢測從端口發出的數據幀的目的MAC地址,保證數據幀隻能被發送到已經通過認證或被端口學習到的MAC所屬的設備或主機上,從而防止非法設備竊聽網絡數據。
入侵檢測特性指通過檢測從端口收到的數據幀的源MAC地址,對接收非法報文的端口采取相應的安全策略,包括端口被暫時斷開連接、永久斷開連接或MAC地址被過濾(默認3分鍾,不可配),以保證端口的安全性。
Trap特性是指當端口有特定的數據包(由非法入侵,用戶上下線等原因引起)傳送時,設備將會發送Trap信息,便於網絡管理員對這些特殊的行為進行監控。
基本的端口安全模式可大致分為兩大類:控製MAC學習類和認證類。
· 控製MAC學習類無需認證,目前僅支持禁止MAC地址學習模式。在這種模式下,隻有源MAC地址為手工配置的MAC地址的報文,才能通過該端口。
· 認證類利用MAC地址認證和802.1X認證機製來實現,包括單獨認證和組合認證等多種模式。
配置了安全模式的端口上收到用戶報文後,首先查找MAC地址表,如果該報文的源MAC地址已經存在於MAC地址表中,則端口轉發該報文,否則根據端口所在安全模式進行相應的處理(學習、認證),並在發現非法報文後觸發端口執行相應的安全防護措施(Need To Know、入侵檢測)或發送Trap告警。關於各模式的具體工作機製,以及是否觸發Need To Know、入侵檢測的具體情況請參見表1-1。
|
安全模式 |
工作機製 |
NTK/入侵檢測 |
||
|
缺省情況 |
noRestrictions |
表示端口的安全功能關閉,端口處於無限製狀態 |
無效 |
|
|
端口控製MAC地址學習 |
secure |
禁止端口學習MAC地址,隻有源MAC地址為手工配置的MAC地址的報文,才能通過該端口 |
可觸發 |
|
|
端口采用802.1X認證 |
userLogin |
對接入用戶采用基於端口的802.1X認證 此模式下,端口下的第一個802.1X用戶認證成功後,其它用戶無須認證就可接入 |
無效 |
|
|
userLoginSecure |
對接入用戶采用基於MAC地址的802.1X認證 此模式下,端口最多隻允許一個802.1X認證用戶接入 |
可觸發 |
||
|
userLoginWithOUI |
該模式與userLoginSecure模式類似,但端口上除了允許一個802.1X認證用戶接入之外,還額外允許一個特殊用戶接入,該用戶報文的源MAC的OUI與設備上配置的OUI值相符 · 在用戶接入方式為有線的情況下,802.1X報文進行802.1X認證,非802.1X報文直接進行OUI匹配,802.1X認證成功和OUI匹配成功的報文都允許通過端口; · 在用戶接入方式為無線的情況下,報文首先進行OUI匹配,OUI匹配失敗的報文再進行802.1X認證,OUI匹配成功和802.1X認證成功的報文都允許通過端口 |
|||
|
userLoginSecureExt |
對接入用戶采用基於MAC的802.1X認證,且允許端口下有多個802.1X用戶 |
|||
|
端口采用MAC地址認證 |
macAddressWithRadius |
對接入用戶采用MAC地址認證 此模式下,端口允許多個用戶接入 |
可觸發 |
|
|
端口采用802.1X和MAC地址認證組合認證 |
macAddressOrUserLoginSecure |
端口同時處於userLoginSecure模式和macAddressWithRadius模式 · 在用戶接入方式為有線的情況下,非802.1X報文直接進行MAC地址認證,802.1X報文直接進行802.1X認證; · 在用戶接入方式為無線的情況下,802.1X認證優先級大於MAC地址認證:報文首先進行802.1X認證,如果802.1X認證失敗再進行MAC地址認證 |
可觸發 |
|
|
macAddressElseUserLoginSecure |
端口同時處於macAddressWithRadius模式和userLoginSecure模式,但MAC地址認證優先級大於802.1X認證; 非802.1X報文直接進行MAC地址認證。802.1X報文先進行MAC地址認證,如果MAC地址認證失敗再進行802.1X認證 |
|||
|
macAddressOrUserLoginSecureExt |
與macAddressOrUserLoginSecure類似,但允許端口下有多個802.1X和MAC地址認證用戶 |
|||
|
macAddressElseUserLoginSecureExt |
與macAddressElseUserLoginSecure類似,但允許端口下有多個802.1X和MAC地址認證用戶 |
|||
· 當多個用戶通過認證時,端口下所允許的最大用戶數根據不同的端口安全模式,取端口安全所允許的最大MAC地址數與相應模式下允許認證用戶數的最小值。例如,userLoginSecureExt模式下,端口下所允許的最大用戶為配置的端口安全所允許的最大MAC地址數與802.1X認證所允許的最大用戶數的最小值。
· 手工配置MAC地址的具體介紹請參見“二層技術命令參考”中的“MAC地址表配置命令”。
由於安全模式種類較多,為便於記憶,部分端口安全模式名稱的構成可按如下規則理解:
· “userLogin”表示基於端口的802.1X認證;
· “macAddress”表示MAC地址認證;
· “Else”之前的認證方式先被采用,失敗後根據請求認證的報文協議類型決定是否轉為“Else”之後的認證方式。
· “Or”連接的兩種認證方式無固定生效順序,設備根據請求認證的報文協議類型決定認證方式,但無線接入的用戶先采用802.1X認證方式;
· 攜帶“Secure”的userLogin表示基於MAC地址的802.1X認證。
· 攜帶“Ext”表示可允許多個802.1X用戶認證成功,不攜帶則表示僅允許一個802.1X用戶認證成功。
端口安全針對WLAN(Wireless Local Area Network,無線局域網)類型的接口,在原有安全模式的基礎上增加presharedKey、macAddressAndPresharedKey、userlLoginSecureExtOrPresharedKey和WAPI(WLAN Authentication and Privacy Infrastructure,無線局域網鑒別與保密基礎結構)四種安全模式,實現了訪問無線接入設備的鏈路層安全機製。
其中,WAPI模式主要是對未通過WAPI鑒別的無線用戶進行訪問限製:
· 當用戶鑒別失敗後,不允許該用戶訪問任何網絡資源;
· 當用戶鑒別成功後,開啟該用戶訪問網絡資源的權限。
有關WAPI的相關介紹,請參見“WLAN配置指導”中的“WAPI配置”。
表1-2 端口安全支持WLAN模式描述表
|
安全模式 |
工作機製 |
NTK/入侵檢測 |
|
presharedKey |
接入用戶必須使用設備上預先配置的靜態密鑰,即PSK(Pre-Shared Key,預共享密鑰)與設備進行會話密鑰協商,協商成功後可訪問端口 |
可觸發 |
|
macAddressAndPresharedKey |
接入用戶必須先進行MAC地址認證,通過認證後使用預先配置的預共享密鑰與設備協商,協商成功後可訪問端口 |
|
|
userLoginSecureExtOrPresharedKey |
接入用戶與設備進行交互,選擇進行基於MAC(macbased)的802.1X認證或者僅進行預共享密鑰協商 |
|
|
WAPI |
對接入用戶采用WAPI認證 |
無效 |
PSK用戶是指通過presharedKey安全模式認證上線的用戶。不同端口安全模式下,端口可允許接入的最大用戶數受到不同的限製,具體情況如下:
· presharedKey模式下,單個端口上允許的最大PSK用戶數由無線接口可支持的最大用戶數決定,如果端口上還設置了端口安全所允許的最大MAC地址數,則端口上的最大PSK用戶數取兩者的最小值。另外,整個係統所允許的最大PSK用戶總數受係統規格限製,請參見“配置指導導讀”中的“特性差異情況”部分的介紹;
· macAddressAndPresharedKey模式下,係統所允許的認證用戶總數及單個端口上的最大用戶數受MAC地址認證接入用戶數限製,如果端口上還設置了端口安全所允許的最大MAC地址數,則端口上的最大用戶數取兩者的最小值。
· userLoginSecureExtOrPresharedKey模式下,單個端口以及係統所允許的最大PSK用戶數限製與presharedKey模式同;係統所允許的802.1X認證用戶總數及單個端口上的用戶數受802.1X認證接入用戶數限製;此外,如果端口上還設置了端口安全所允許的最大MAC地址數,則允許的PSK用戶數及802.1X認證用戶數之和不能超過該限製。
新增的模式目前隻適用於無線產品接口類型。
在無線接入的情況下,若802.1X或MAC地址認證用戶的MAC地址及所屬的VLAN與靜態MAC及所屬的VLAN相同,則由於無線鏈路無法建立,會導致用戶不能接入無線網絡。
802.1X認證的Guest VLAN是指允許用戶在未認證的情況下,可以訪問的指定VLAN。802.1X的Auth-Fail VLAN與MAC地址認證的Guest VLAN是指允許用戶在認證失敗的情況下,可以訪問的指定VLAN。
· 對於支持802.1X認證的安全模式來說,可配置Guest VLAN和Auth-Fail VLAN。關於802.1X認證的Guest VLAN和Auth-Fail VLAN的具體介紹請參見“安全配置指導”中的“802.1X配置”。
· 對於支持MAC地址認證的安全模式來說,可配置Guest VLAN。關於MAC地址認證Guest VLAN的具體介紹請參見“安全配置指導”中的“MAC地址認證配置”。
若端口上同時配置了802.1X認證的Auth-Fail VLAN與MAC地址認證的Guest VLAN,則後生成的Auth-Fail VLAN表項會覆蓋先生成的Guest VLAN表項,但後生成的Guest VLAN表項不能覆蓋先生成的Auth-Fail VLAN表項。
表1-3 端口安全配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
|
使能端口安全功能 |
必選 |
||
|
配置端口允許的最大安全MAC地址數 |
可選 |
||
|
配置端口安全模式 |
必選 |
||
|
配置端口安全的特性 |
配置Need To Know特性 |
可選 根據實際組網需求選擇其中一種或多種特性 |
|
|
配置入侵檢測特性 |
|||
|
配置Trap特性 |
|||
|
配置端口安全支持WLAN |
配置支持WLAN的端口安全模式 |
無線端口必選 |
|
|
使能密鑰協商功能 |
|||
|
配置預共享密鑰 |
|||
|
配置當前端口不應用服務器下發的授權信息 |
可選 |
||
在使能端口安全功能之前,需要關閉全局的802.1X和MAC地址認證功能。
表1-4 使能端口安全功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能端口安全功能 |
port-security enable |
必選 缺省情況下,端口安全功能處於開啟狀態 |
執行使能或關閉端口安全功能的命令後,端口上的如下配置會被自動恢複為以下缺省情況:
· 802.1X端口接入控製方式為macbased、802.1X端口接入控製模式為auto。
· 端口安全模式為noRestrictions。
當端口安全功能處於使能狀態時,端口上的802.1X功能以及MAC地址認證功能將不能被手動開啟,且802.1X端口接入控製方式和端口接入控製模式也不能被修改,隻能隨端口安全模式的改變由係統更改。
在端口上有用戶在線的情況下,端口安全功能無法關閉。
· 有關802.1X認證配置的詳細介紹可參見“安全配置指導”中的“802.1X配置”。
· 有關MAC地址認證配置的詳細介紹可參見“安全配置指導”中的“MAC地址認證配置”。
端口安全允許某個端口下有多個用戶通過認證,但是允許的用戶數不能超過規定的最大值。
配置端口允許的最大MAC地址數,可以控製能夠通過某端口接入網絡的最大用戶數。
表1-5 配置端口安全允許的最大MAC地址數
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置端口安全允許的最大MAC地址數 |
port-security max-mac-count count-value |
必選 缺省情況下,最大MAC地址數不受限製 |
該配置與“二層技術-以太網交換配置指導/MAC地址表”中配置的端口最多可以學習到的MAC地址數無關。
在配置端口安全模式之前,端口上需要滿足以下條件:
· 802.1X認證關閉。
· MAC地址認證關閉。
· 端口未加入聚合組或業務環回組。
(如果以上條件不滿足,則係統會提示錯誤信息,且不能進行端口安全模式的配置;如果端口上已經配置了端口安全模式,則以上配置就不允許改變。)
· 在端口安全功能未使能的情況下,端口安全模式可以進行配置但不會生效。
· 端口上有用戶在線的情況下,端口安全模式無法改變。
表1-6 配置端口安全安全模式
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置允許通過認證的用戶OUI值 |
port-security oui oui-value index index-value |
可選 缺省情況下,沒有配置允許通過認證的用戶OUI值 該命令僅在配置userlogin-withoui安全模式時必選 |
|
進入接口視圖 |
interface interface-type interface-number |
- userloginWithOUI模式隻能在二層以太網及WLAN-ESS類型的接口下配置 |
|
配置端口的安全模式 |
port-security port-mode { mac-authentication | mac-else-userlogin-secure | mac-else-userlogin-secure-ext | secure | userlogin | userlogin-secure | userlogin-secure-ext | userlogin-secure-or-mac | userlogin-secure-or-mac-ext | userlogin-withoui } |
必選 缺省情況下,端口處於noRestrictions模式 端口安全模式的支持情況與設備的型號有關,請參見“命令參考導讀”中的“命令行及參數差異情況”部分的介紹 |
· OUI(Organizationally Unique Identifier)是MAC地址的前24位(二進製),是IEEE(Institute of Electrical and Electronics Engineers,電氣和電子工程師學會)為不同設備供應商分配的一個全球唯一的標識符。
· 允許通過認證的用戶OUI值可以配置多個,但在端口安全模式為userLoginWithOUI時,端口除了可以允許一個802.1X的接入用戶通過認證之外,僅允許其中一個OUI值所屬的用戶通過認證。
· 當端口安全已經使能且當前端口安全模式不是noRestrictions時,若要改變端口安全模式,必須首先執行undo port-security port-mode命令恢複端口安全模式為noRestrictions模式。
該功能用來限製認證端口上出方向的報文轉發。即,用戶通過認證後,以此MAC為目的地址的報文都可以正常轉發。可以設置以下三種方式:
· ntkonly:僅允許目的MAC地址為已通過認證的MAC地址的單播報文通過。
· ntk-withbroadcasts:允許目的MAC地址為已通過認證的MAC地址的單播報文或廣播地址的報文通過。
· ntk-withmulticasts:允許目的MAC地址為已通過認證的MAC地址的單播報文,廣播地址或組播地址的報文通過。
配置了Need To Know的端口在以上任何一種方式下都不允許目的MAC地址未知的單播報文通過。
表1-7 配置Need To Know特性
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置端口Need To Know特性 |
port-security ntk-mode { ntk-withbroadcasts | ntk-withmulticasts | ntkonly } |
必選 缺省情況下,端口沒有配置Need To Know特性,即所有報文都可成功發送 |
當設備檢測到一個非法的用戶通過端口試圖訪問網絡時,該特性用於配置設備可能對其采取的安全措施,包括以下三種方式:
· blockmac:表示將非法報文的源MAC地址加入阻塞MAC地址列表中,源MAC地址為阻塞MAC地址的報文將被丟棄。此MAC地址在被阻塞3分鍾(係統默認,不可配)後恢複正常。
· disableport:表示將收到非法報文的端口永久關閉。
· disableport-temporarily:表示將收到非法報文的端口暫時關閉一段時間。關閉時長可通過port-security timer disableport命令配置。
表1-8 配置入侵檢測特性
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置入侵檢測特性 |
port-security intrusion-mode { blockmac | disableport | disableport-temporarily } |
必選 缺省情況下,不進行入侵檢測處理 WLAN-ESS接口下,不支持參數disableport |
|
退回係統視圖 |
quit |
- |
|
配置係統暫時關閉端口連接的時間 |
port-security timer disableport time-value |
可選 缺省情況下,係統暫時關閉端口連接的時間為20秒 |
macAddressElseUserLoginSecure或macAddressElseUserLoginSecureExt安全模式下工作的端口,對於同一個報文,隻有MAC地址認證和802.1X認證均失敗後,才會觸發入侵檢測特性。
該特性用於端口上發生關鍵事件時觸發告警開關輸出對應的Trap信息,包括以下幾種情況:
· addresslearned:端口學習到新MAC地址時發出告警信息。
· dot1xlogfailure/dot1xlogon/dot1xlogoff:802.1X用戶認證失敗/認證成功/下線時發出告警日誌。
· ralmlogfailure/ralmlogon/ralmlogoff:MAC地址認證用戶認證失敗/認證成功/下線時發出告警信息。
· intrusion:發現非法報文時發出告警信息。
表1-9 配置Trap特性
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
打開指定告警信息的開關 |
port-security trap { addresslearned | dot1xlogfailure | dot1xlogoff | dot1xlogon | intrusion | ralmlogfailure | ralmlogoff | ralmlogon } |
必選 缺省情況下,所有告警信息的開關處於關閉狀態 |
不同的端口安全模式對密鑰協商功能的支持情況不同,具體要求如表1-10所示。
|
安全模式 |
說明 |
|
presharedKey、userLoginSecureExt、userLoginSecureExtOrPresharedKey和macAddressAndPresharedKey四種端口安全模式 |
WPA或RSN網絡環境下,在左側列出的安全模式下,用戶接入必須使能密鑰協商功能 · presharedKey和macAddressAndPresharedKey模式下需要配置PSK; · userLoginSecureExt模式下不需要配置PSK; · userLoginSecureExtOrPresharedKey模式下可以選擇是否配置PSK |
|
除presharedKey、userLoginSecureExtOrPresharedKey和macAddressAndPresharedKey之外,其它的端口安全模式 |
用戶接入不需要進行PSK密鑰協商,不用使能密鑰協商功能 |
· 在端口安全全局未使能的情況下,若無線協議相關的服務模板為crypto類型,用戶不能直接上線;若無線協議相關的服務模板為clear類型,用戶可直接上線。
· 關於接口綁定的無線協議相關服務模板類型的具體配置,請參考無線配置的相關手冊。
· 缺省情況下,802.1X認證會周期性的發送組播觸發報文主動對客戶端進行認證,為了節省無線端口的通信帶寬,建議關閉802.1X認證的組播觸發功能。相關配置請參考“安全配置指導”中的“802.1X配置”。
表1-11 配置支持WLAN端口安全模式
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置WLAN端口支持的安全模式 |
port-security port-mode { mac-and-psk | mac-authentication | mac-else-userlogin-secure | mac-else-userlogin-secure-ext | psk | userlogin-secure | userlogin-secure-ext | userlogin-secure-ext-or-psk | userlogin-secure-or-mac | userlogin-secure-or-mac-ext | userlogin-withoui | wapi } |
必選 缺省情況下,端口處於noRestrictions模式 端口安全模式的支持情況與設備的型號有關,請參見“命令參考導讀”中的“命令行及參數差異情況”部分的介紹。 |
在無線局域網中,用戶認證通過後,可以利用EAPOL-Key幀與客戶端進行鏈路層會話密鑰的協商。802.1X中的EAPOL-Key幀用於交換加密密鑰信息。
· 如果使能了密鑰協商功能,則用戶認證通過後,隻有完成密鑰協商才能打開端口;
· 如果未使能密鑰協商功能,則用戶認證通過後直接打開端口。
表1-12 使能密鑰協商功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
使能11key類型的密鑰協商功能 |
port-security tx-key-type 11key |
必選 缺省情況下,11key類型的密鑰協商功能處於關閉狀態 |
設備上預先配置的預共享密鑰用於協商接入用戶與設備之間的會話密鑰。
表1-13 配置預共享密鑰
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置預共享密鑰 |
port-security preshared-key { pass-phrase | raw-key } [ cipher | simple ] key |
必選 缺省情況下,無預共享密鑰 |
802.1X用戶或MAC地址認證用戶在RADIUS服務器上通過認證時,服務器會把授權信息下發給設備端。通過此配置可實現基於端口是否忽略RADIUS服務器下發的授權信息。
表1-14 配置當前端口不應用服務器下發的授權信息
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置當前端口不應用RADIUS服務器下發的授權信息 |
port-security authorization ignore |
必選 缺省情況下,端口應用RADIUS服務器下發的授權信息 |
該命令用來在WLAN-ESS接口上啟動遠程認證代理功能,即802.1X用戶需要在AC上麵進行11key協商加解密,IAG插卡上麵負責認證和控製報文的轉發。
表1-15 配置遠程認證代理功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置遠程認證代理功能 |
port-security remote-auth-proxy enable |
必選 缺省情況下,接口上未啟動遠程認證代理功能 |
關於IAG設備的相關配置,請參考“H3C SecBlade IAG插卡 用戶指導”中的“端口安全”。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後端口安全的運行情況,通過查看顯示信息驗證配置的效果。
表1-16 端口安全顯示和維護
|
操作 |
命令 |
|
顯示端口安全的配置信息、運行情況和統計信息 |
display port-security [ interface interface-list ] [ | { begin | exclude | include } regular-expression ] |
|
顯示阻塞MAC地址信息 |
display port-security mac-address block [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ] [ | { begin | exclude | include } regular-expression ] |
|
顯示端口安全的PSK用戶信息 |
display port-security preshared-key user [ interface interface-type interface-number ] [ | { begin | exclude | include } regular-expression ] |
無線客戶端Client通過端口WLAN-ESS1連接到無線控製器AC上,無線控製器通過RADIUS服務器對客戶端進行身份認證,如果認證成功,客戶端被授權允許訪問Internet資源。
· IP地址為192.168.1.2/24的RADIUS服務器作為主認證/備份計費服務器,IP地址為192.168.1.3/24的RADIUS服務器作為備份認證/主計費服務器。認證共享密鑰為name,計費共享密鑰為money。
· 所有接入用戶都使用ISP域sun的缺省認證/授權/計費方案,該域最多可容納30個用戶;
· 係統向RADIUS服務器重發報文的時間間隔為5秒,重發次數為5次,發送實時計費報文的時間間隔為15分鍾,發送的用戶名不帶域名。
無線控製器的管理者希望對接入用戶的端口WLAN-ESS1做如下限製:
· 允許一個802.1X用戶上線;
· 最多可以配置16個OUI值,還允許端口上有一個與OUI值匹配的MAC地址用戶通過。
圖1-1 端口安全userLoginWithOUI模式組網圖
· 下述配置步驟包含了部分AAA/RADIUS協議配置命令,具體介紹請參見“AAA配置”。
· 接入用戶和RADIUS服務器上的配置略。
(1) 具體的配置步驟
· 配置RADIUS協議
<AC> system-view
# 創建名為radsun的RADIUS方案。
[AC] radius scheme radsun
# 設置主認證RADIUS服務器的IP地址為192.168.1.2/24,主計費RADIUS服務器的IP地址為192.168.1.3/24。
[AC-radius-radsun] primary authentication 192.168.1.2
[AC-radius-radsun] primary accounting 192.168.1.3
# 設置從認證RADIUS服務器的IP地址為192.168.1.3/24,從計費RADIUS服務器的IP地址為192.168.1.2/24。
[AC-radius-radsun] secondary authentication 192.168.1.3
[AC-radius-radsun] secondary accounting 192.168.1.2
# 設置與認證RADIUS服務器交互報文時的加密密碼為name。
[AC-radius-radsun] key authentication name
# 設置與計費RADIUS服務器交互報文時的加密密碼為money。
[AC-radius-radsun] key accounting money
# 設置RADIUS服務器應答超時時間為5秒,RADIUS報文的超時重傳次數的最大值為5。
[AC-radius-radsun] timer response-timeout 5
[AC-radius-radsun] retry 5
# 設置向RADIUS服務器發送實時計費報文的時間間隔為15分鍾。
[AC-radius-radsun] timer realtime-accounting 15
# 設置將去除域名的用戶名發送給RADIUS服務器。
[AC-radius-radsun] user-name-format without-domain
[AC-radius-radsun] quit
# 創建名為sun的ISP域,並進入其視圖。
[AC] domain sun
# 指定名為radsun的RADIUS方案為該域用戶的缺省RADIUS方案。
[AC-isp-sun] authentication default radius-scheme radsun
[AC-isp-sun] authorization default radius-scheme radsun
[AC-isp-sun] accounting default radius-scheme radsun
# 設置該ISP域最多可容納30個用戶。
[AC-isp-sun] access-limit enable 30
[AC-isp-sun] quit
· 配置802.1X
# 配置802.1X的認證方式為CHAP。(該配置可選,缺省情況下802.1X的認證方式為CHAP)
[AC] dot1x authentication-method chap
· 配置端口安全特性
# 使能端口安全功能。
[AC] port-security enable
# 添加5個OUI值。
[AC] port-security oui 1234-0100-1111 index 1
[AC] port-security oui 1234-0200-1111 index 2
[AC] port-security oui 1234-0300-1111 index 3
[AC] port-security oui 1234-0400-1111 index 4
[AC] port-security oui 1234-0500-1111 index 5
# 在WLAN-ESS接口配置上802.1X用戶的強製認證域,並設置端口安全模式為userLoginWithOUI
[AC] interface WLAN-ESS 1
[AC-WLAN-ESS1]dot1x mandatory-domain sun
[AC-WLAN-ESS1] port-security port-mode userlogin-withoui
#創建服務模板2(明文類型服務模板),配置SSID為mactest,將WLAN-ESS1接口綁定到服務模板2。
[AC] wlan service-template 2 clear
[AC-wlan-st-2] ssid mactest
[AC-wlan-st-2] bind WLAN-ESS 1
[AC-wlan-st-2] authentication-method open-system
[AC-wlan-st-2] service-template enable
[AC-wlan-st-2] quit
# 配置AP 1:創建AP 1的模板,名稱為ap1,型號名稱選擇WA2100,並配置AP 1的序列號。
[AC] wlan ap ap1 model WA2100
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC-wlan-ap-ap1] radio 1 type dot11g
# 將服務模板2綁定到AP 1的radio 1口。
[AC-wlan-ap-ap1-radio-1] service-template 2
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
(2) 驗證配置結果(以實際設備顯示為準)
查看名為radsun的RADIUS方案的配置信息:
<AC> display radius scheme radsun
SchemeName : radsun
Index = 1 Type : standard
Primary Auth Server:
IP: 192.168.1.2 Port: 1812 State: active
Primary Acct Server:
IP: 192.168.1.3 Port: 1813 State: active
Second Auth Server:
IP: 192.168.1.3 Port: 1812 State: active
Second Acct Server:
IP: 192.168.1.2 Port: 1813 State: active
Auth Server Encryption Key : name
Acct Server Encryption Key : money
Accounting-On packet disable, send times = 5 , interval : 3s
Interval for timeout(second) : 5
Retransmission times for timeout : 5
Interval for realtime accounting(minute) : 15
Retransmission times of realtime-accounting packet : 5
Retransmission times of stop-accounting packet : 500
Quiet-interval(min) : 5
Username format : without-domain
Data flow unit : Byte
Packet unit : one
查看名為sun的ISP域的配置信息:
<AC> display domain sun
Domain = sun
State = Active
Access-limit = 30
Accounting method = Required
Default authentication scheme : radius=radsun
Default authorization scheme : radius=radsun
Default accounting scheme : radius=radsun
Domain User Template:
Idle-cut = Disable
Self-service = Disable
查看端口安全的配置信息:
<AC> display port-security interface WLAN-ESS 1
Equipment port-security is enabled
Trap is disabled
Disableport Timeout: 20s
OUI value:
Index is 1, OUI value is 123401
Index is 2, OUI value is 123402
Index is 3, OUI value is 123403
Index is 4, OUI value is 123404
Index is 5, OUI value is 123405
WLAN-ESS 1 is link-up
Port mode is userLoginWithOUI
NeedToKnow mode is disabled
Intrusion Protection mode is NoAction
Max MAC address number is not configured
Stored MAC address number is 0
Authorization is permitted
配置完成後,如果有802.1X用戶上線,則可以看到存儲的安全MAC地址數為1。還可以通過下述命令查看802.1X用戶的情況:
<AC> display connection
Index=1,Username= test@sun
MAC=12-34-01-00-11-11
IP=10.1.0.1
IPv6=N/A
Total 1 connection(s) matched.
<AC> display connection ucibinedx 1
Index=2054, Username= test@sun
MAC=12-34-01-00-11-11
IP=10.1.0.1
IPv6=N/A
Access=8021X ,AuthMethod=CHAP
Port Type=Wireless-802.11,Port Name=WLAN-DBSS1:1
Initial VLAN=1, Authorization VLAN= N/A
ACL Group=Disable
User Profile=N/A
CAR=Disable
Priority=Disable
Start=2011-07-01 15:39:49 ,Current=2011-07-01 15:50:07 ,Online=00h10m18s
Total 1 connection matched.
無線客戶端Client通過WLAN-ESS1接口連接到無線控製器AC上。無線控製器通過RADIUS服務器對客戶端進行身份認證。認證成功之後進行密鑰協商,如果密鑰協商成功,客戶端被授權允許訪問Internet資源。
· IP地址為192.168.1.2/24的RADIUS服務器作為主認證/備份計費服務器,IP地址為192.168.1.3/24的RADIUS服務器作為備份認證/主計費服務器。認證和計費的共享密鑰均為name。
· 所有接入用戶都使用ISP域sun的缺省認證/授權/計費方案。
圖1-2 端口安全支持WLAN組網圖
· 下述配置步驟包含了部分AAA/RADIUS協議配置命令,具體介紹請參見“AAA配置”。
· WLAN的相關配置可參見“WLAN配置指導”裏的相關模塊。
· 接入用戶和RADIUS服務器上的配置略。
(1) 配置端口安全
# 開啟全局的端口安全特性。
<AC> system-view
[AC] port-security enable
(2) 配置RADIUS協議
# 創建名為2000的RADIUS方案。
[AC] radius scheme 2000
# 設置主認證RADIUS服務器的IP地址為192.168.1.2/24,主計費RADIUS服務器的IP地址為192.168.1.3/24。
[AC-radius-2000] primary authentication 192.168.1.2
[AC-radius-2000] primary accounting 192.168.1.3
# 設置從認證RADIUS服務器的IP地址為192.168.1.3/24,從計費RADIUS服務器的IP地址為192.168.1.2/24。
[AC-radius-2000] secondary authentication 192.168.1.3
[AC-radius-2000] secondary accounting 192.168.1.2
# 設置與認證、計費RADIUS服務器交互報文時的加密密碼為name。
[AC-radius-2000] key authentication name
[AC-radius-2000] key accounting name
# 設置將去除域名的用戶名發送給RADIUS服務器。
[AC-radius-2000] user-name-format without-domain
[AC-radius-2000] quit
# 創建名為sun的ISP域。
[AC] domain sun
# 指定名為2000的RADIUS方案為該域用戶的缺省RADIUS方案。
[AC-isp-sun] authentication default radius-scheme 2000
[AC-isp-sun] authorization default radius-scheme 2000
[AC-isp-sun] accounting default radius-scheme 2000
[AC-isp-sun] quit
# 創建接口WLAN-ESS1。
[AC] interface WLAN-ESS 1
# 設置端口安全模式為userLoginSecureExt。
[AC-WLAN-ESS1] port-security port-mode userlogin-secure-ext
# 使能端口的密鑰協功能。
[AC-WLAN-ESS1] port-security tx-key-type 11key
# 關閉802.1X多播觸發功能和用戶握手功能。
[AC-WLAN-ESS1] undo dot1x multicast-trigger
[AC-WLAN-ESS1] undo dot1x handshake
[AC-WLAN-ESS1] dot1x mandatory-domain sun
[AC-WLAN-ESS1] quit
# 配置802.1X的認證方式為EAP。
[AC] dot1x authentication-method eap
(3) 配置WLAN的服務模板和AP
# 創建服務模板1(加密類型服務模板),配置SSID為sectest。
[AC] wlan service-template 1 crypto
[AC-wlan-st-1] ssid sectest
[AC-wlan-st-1] bind WLAN-ESS 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] cipher-suite tkip
[AC-wlan-st-1] security-ie wpa
# 開啟服務模板功能。
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 配置AP 1的模板,名稱為ap1,型號名稱選擇WA2100,並配置AP 1的序列號為210235A29G007C000020。
[AC] wlan ap ap1 model WA2100
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
# 將服務模板1綁定到AP 1的radio 1口。
[AC-wlan-ap-ap1] radio 1 type dot11g
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] return
(4) 驗證配置結果(以實際設備顯示為準)
通過下述命令檢查端口安全的配置情況:
<AC> display port-security interface WLAN-ESS1
Equipment port-security is enabled
Trap is disabled
Disableport Timeout: 20s
OUI value:
WLAN-ESS1 is link-up
Port mode is userLoginSecureExt
NeedToKnow mode is disabled
Intrusion Protection mode is NoAction
Max MAC address number is not configured
Stored MAC address number is 0
Authorization is permitted
配置完成後,如果有用戶上線,則可以通過display connection和display wlan client命令查看用戶信息。
<AC> display connection ucibindex 315
Index=315 , [email protected]
MAC=00-17-9A-00-7B-2F
IP=N/A
IPv6=N/A
Access=8021X ,AuthMethod=EAP
Port Type=Wireless-802.11,Port Name=WLAN-DBSS1:0
Initial VLAN=1, Authorization VLAN=N/A
ACL Group=Disable
User Profile=N/A
CAR=Disable
Priority=Disable
Start=2010-11-16 16:58:51 ,Current=2010-11-16 16:59:29 ,Online=00h00m38s
Total 1 connection matched.
<AC> display wlan client verbose
Total Number of Clients: 1
Total Number of Clients Connected : 1
Client Information
-------------------------------------------------------------------------------
MAC Address : 0017-9a00-7b2f
AID : 1
AP Name : AP1
Radio Id : 1
SSID : sectest
BSSID : 000f-e278-8020
Port : WLAN-DBSS1:0
VLAN : 1
State : Running
Power Save Mode : Active
Wireless Mode : 11g
QoS Mode : WMM
Listen Interval (Beacon Interval) : 10
RSSI : 37
Rx/Tx Rate : 5.5/18
Client Type : WPA
Authentication Method : Open System
AKM Method : 802.1X
4-Way Handshake State : PTKINITDONE
Group Key State : IDLE
Encryption Cipher : TKIP
Roam Status : Normal
Roam Count : 0
Up Time (hh:mm:ss) : 00:43:19
· AP通過Switch與AC建立連接,要求對接入用戶采用基於MAC的802.1X認證,且允許端口下有多個802.1X用戶。
· 在AC接入AP的無線端口上配置Guest VLAN,允許接入用戶在未進行認證之前,可以訪問指定的Guest VLAN 1的資源。
圖1-3 端口安全支持MAC-based的802.1X Guest VLAN配置組網圖
· 下述配置步驟包含了部分AAA/RADIUS協議配置命令,具體介紹請參見“AAA配置”。
· WLAN的相關配置可參見WLAN命令參考裏的相關模塊。
· 接入用戶和RADIUS服務器上的配置略。
(1) 配置RADIUS,請參考1.11.1 中的RADIUS配置
(2) 配置AC
# 創建VLAN 2。
<AC> system-view
[AC] vlan 2
[AC-vlan2] quit
# 使能端口安全功能。
[AC] port-security enable
# 配置802.1X的認證方式為EAP。
[AC] dot1x authentication-method eap
# 配置端口WLAN-ESS1的端口安全模式為userLoginSecureExt模式。該模式下的端口采用基於MAC的802.1X認證,且允許端口下有多個802.1X用戶。
[AC] interface WLAN-ESS 1
[AC-WLAN-ESS1] port-security port-mode userlogin-secure-ext
# 使能端口的MAC VLAN功能,並配置802.1X的Guest VLAN為VLAN 1。
[AC-WLAN-ESS1] port link-type hybrid
[AC-WLAN-ESS1] port hybrid vlan 1 to 2 untagged
[AC-WLAN-ESS1] port hybrid pvid vlan 2
[AC-WLAN-ESS1] mac-vlan enable
[AC-WLAN-ESS1] dot1x guest-vlan 1
[AC-WLAN-ESS1] undo dot1x handshake
[AC-WLAN-ESS1] undo dot1x multicast-trigger
[AC-WLAN-ESS1] quit
# 配置WLAN的服務模板。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid SSID1
[AC-wlan-st-1] bind WLAN-ESS 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 配置AP的管理模板。
[AC] wlan ap 1 model WA2100
[AC-wlan-ap-1] serial-id 210235A29G007C000020
[AC-wlan-ap-1] radio 1
[AC-wlan-ap-1-radio-1] service-template 1
[AC-wlan-ap-1-radio-1] radio enable
[AC-wlan-ap-1-radio-1] quit
(3) 驗證配置結果
# Client 1(用戶名為mac、MAC地址為000f-e2cc-6a21)未進行認證之前,可以訪問Guest VLAN。可以通過display mac-vlan all命令查看到用戶的MAC VLAN表項,該表項中記錄了加入Guest VLAN的MAC地址(000f-e2cc-6a21)與端口上使能的MAC VLAN(VLAN 1)之間的對應關係。
[AC] display mac-vlan all
The following MAC VLAN addresses exist:
S:Static D:Dynamic
MAC ADDR MASK VLAN ID PRIO STATE
--------------------------------------------------------
000f-e2cc-6a21 ffff-ffff-ffff 1 0 D
Total MAC VLAN address count:1
# 如果Client 1發起認證,並認證成功,則可以通過display connection命令查看到該用戶的相關信息;而且執行display mac-vlan all命令發現該用戶的MAC VLAN表項已經被刪除。
[AC] display connection username mac@sun
Index=18 , Username=mac@sun
MAC=000f-e2cc-6a21
IP=8.4.4.199
Access= 8021X ,AuthMethod=EAP
Port Type=Wireless-802.11,Port Name=WLAN-ESS1:2
Initial VLAN=2, Authorization VLAN=N/A
ACL Group=Disable
CAR=Disable
Priority=Disable
Start=2011-01-21 15:16:08 ,Current=2011-01-21 15:16:40 ,Online=00h00m31s
Total 1 connection matched.
[AC] display mac-vlan all
[AC] quit
如圖1-4所示,一台主機通過802.1X認證接入網絡,認證服務器為RADIUS服務器。Client端通過AP設備接入到AC上,AC的接入端口Wlan-ESS 1在VLAN 1內;認證服務器在VLAN 2內;Update Server是用於客戶端軟件下載和升級的服務器,在VLAN 10內;當用戶通過認證後,客戶端被授權允許訪問Internet資源。
圖1-4 Guest VLAN典型組網圖
如圖1-5所示,在Wlan-ESS 1上開啟802.1X特性並設置VLAN 10為端口的Guest VLAN,當設備從端口發送觸發認證報文(EAP-Request/Identity)超過設定的最大次數而沒有收到任何回應報文後,Client的MAC地址被加入Guest VLAN中,此時Client和Update Server都在VLAN 10內,Client可以訪問Update Server並下載802.1X客戶端。
如圖1-6所示,當用戶認證成功上線,認證服務器下發VLAN 5。此時Client被分配到VLAN 5,並授權允許訪問Internet資源。
· 本配置舉例需要使用iNode客戶端,Windows自帶的客戶端不支持該功能。
· 下述各配置步驟包含了大部分AAA/RADIUS協議配置命令,對這些命令的介紹,請參見“AAA配置”。此外,802.1X客戶端和RADIUS服務器上的配置略。
# 配置RADIUS方案2000。
<AC> system-view
[AC] radius scheme 2000
[AC-radius-2000] primary authentication 10.11.1.1 1812
[AC-radius-2000] primary accounting 10.11.1.1 1813
[AC-radius-2000] key authentication abc
[AC-radius-2000] key accounting abc
[AC-radius-2000] user-name-format without-domain
[AC-radius-2000] quit
# 創建一個新的ISP域test,並設置為係統缺省的ISP域(本配置可選,缺省情況下,係統缺省的ISP域是system)。
[AC] domain test
[AC-isp-test] quit
[AC] domain default enable test
# 配置ISP域的RADIUS方案2000。
[AC] domain test
[AC-isp-test] authentication lan-access radius-scheme 2000
[AC-isp-test] authorization lan-access radius-scheme 2000
[AC-isp-test] accounting lan-access radius-scheme 2000
[AC-isp-test] quit
# 全局使能端口安全
[AC] port-security enable
# 配置802.1X的認證方式為PAP。
[AC] dot1x authentication-method pap
# 配置無線接口1
[AC] interface WLAN-ESS 1
[AC-WLAN-ESS1] port link-type hybrid
[AC-WLAN-ESS1] port hybrid vlan 1 to 2 5 10 untagged
[AC-WLAN-ESS1] port-security port-mode userlogin-secure-ext
[AC-WLAN-ESS1] mac-vlan enable
[AC-WLAN-ESS1] dot1x guest-vlan 10
[AC-WLAN-ESS1] dot1x mandatory-domain test
[AC-WLAN-ESS1] quit
# 配置服務模板1(服務模版必須配置為非加密方式)
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid dot1x
[AC-wlan-st-1] bind WLAN-ESS 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 配置AP1模板
[AC] wlan ap 1 model WA2100
[AC-wlan-ap-1] serial-id 210235A29G007C000020
[AC-wlan-ap-1] radio 1
[AC-wlan-ap-1-radio-1] service-template 1
[AC-wlan-ap-1-radio-1] radio enable
[AC-wlan-ap-1-radio-1] quit
Client 1(用戶名為mac、MAC地址為000f-e2cc-6a21)在未進行認證之前會被劃分到Guest VLAN。可以通過display mac-vlan all命令查看到Guest VLAN用戶的MAC VLAN表項,該表項中記錄了加入Guest VLAN的MAC地址(000f-e2cc-6a21)與端口上使能的MAC VLAN(VLAN 10)之間的對應關係。
[AC] display mac-vlan all
The following MAC VLAN addresses exist:
S:Static D:Dynamic
MAC ADDR MASK VLAN ID PRIO STATE
--------------------------------------------------------
000f-e2cc-6a21 ffff-ffff-ffff 10 0 D
Total MAC VLAN address count:1
# 如果Client 1再次發起認證,並認證成功,則可以通過display connection命令查看到該用戶的相關信息。
[AC] display connection username mac@test
Index=18 , Username=mac@test
MAC=000f-e2cc-6a21
IP=8.4.4.199
Access= 8021X ,AuthMethod=PAP
Port Type=Wireless-802.11,Port Name=WLAN-DBSS1:2
Initial VLAN=1, Authorization VLAN=5
ACL Group=Disable
CAR=Disable
Priority=Disable
Start=2011-01-21 15:16:08 ,Current=2011-01-21 15:16:40 ,Online=00h00m31s
Total 1 connection matched.
802.1X或MAC地址認證用戶在線的情況下,更換端口安全模式失敗。
[AC-WLAN-ESS1] undo port-security port-mode
Error:Cannot configure port-security for there is 802.1X user(s) on line on port WLAN-ESS1.
有802.1X或MAC認證用戶在線的情況下,禁止更換端口安全模式。
先去使能綁定此接口的模板,再通過命令cut connection斷開端口與用戶的連接後,再使用命令undo port-security port-mode進行端口安全模式更換。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
