- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
22-802.1X Client配置
本章節下載: 22-802.1X Client配置 (229.84 KB)
目 錄
1.3.3 配置802.1X Client認證使用的MAC地址
1.3.4 配置802.1X Client采用的EAP認證方法
1.3.5 配置802.1X Client認證使用的報文發送方式
1.3.7 配置802.1X Client引用的SSL客戶端策略
802.1X的體係結構包括客戶端、設備端和認證服務器。客戶端通常有兩種表現形式:安裝了802.1X客戶端軟件的終端和網絡設備。802.1X Client功能允許網絡設備作為客戶端。有關802.1X體係的詳細介紹請參見“安全配置指導”中的“802.1X”。
應用了802.1X Client功能的典型組網圖如圖1-1所示:
表1-1 802.1X Client功能配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
開啟802.1X Client功能 |
必選 |
|
|
配置802.1X Client認證用戶名和密碼 |
必選 |
|
|
配置802.1X Client采用的EAP認證方法 |
必選 |
|
|
配置802.1X Client認證使用的報文發送方式 |
可選 |
|
|
配置802.1X Client匿名認證用戶名 |
可選 |
|
|
配置802.1X Client引用的SSL客戶端策略 |
可選 |
開啟802.1X Client功能前,請確保認證設備端上關於802.1X認證的配置已完成。有關802.1X認證的配置請參見“安全配置指導”中的“802.1X”。
表1-2 開啟802.1X Client功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入以太網接口視圖 |
interface interface-type interface-number |
- |
|
開啟802.1X Client功能 |
dot1x supplicant enable |
缺省情況下,802.1X Client功能處於關閉狀態 |
開啟了802.1X Client功能的接入設備在進行802.1X認證時,會使用已配置的用戶名和密碼進行認證。
請確保接入設備上配置的用戶名和密碼與認證服務器上配置的用戶名和密碼保持一致,否則會導致802.1X認證失敗,最終造成被認證設備無法接入網絡。
表1-3 配置802.1X Client認證用戶名和密碼
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入以太網接口視圖 |
interface interface-type interface-number |
- |
|
配置802.1X Client認證用戶名 |
dot1x supplicant username username |
缺省情況下,不存在802.1X Client認證用戶名 |
|
配置802.1X Client認證密碼 |
dot1x supplicant password { cipher | simple } string |
缺省情況下,不存在802.1X Client認證密碼 |
802.1X Client認證通過後,接入設備的接口上將802.1X Client的MAC地址加入到MAC地址表項中,使用戶具有相應的訪問權限。當802.1X Client上有多個端口同時進行802.1X認證時,可通過以太網接口視圖下的mac-address命令為接口配置不同的MAC地址,或通過本命令為以太網接口配置不同的802.1X Client認證使用的MAC地址。關於mac-address命令的詳細介紹請參見“二層技術-以太網交換命令參考”中的“MAC地址表”。
表1-4 配置802.1X Client認證使用的MAC地址
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入以太網接口視圖 |
interface interface-type interface-number |
- |
|
配置802.1X Client認證使用的MAC地址 |
dot1x supplicant mac-address mac-address |
缺省情況下,802.1X Client認證使用接口的MAC地址,若獲取不到接口MAC地址則使用設備的MAC地址 |
802.1X Client支持的EAP認證方法分為以下幾種:
· MD5-Challenge(MD5-質詢)
· PEAP-MSCHAPv2(Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol v2,受保護的擴展認證協議-Microsoft質詢握手身份驗證協議版本2)
· PEAP-GTC(Protected Extensible Authentication Protocol-Microsoft Generic Token Card,受保護的擴展認證協議-通用令牌卡)
· TTLS-MSCHAPv2(Tunneled Transport Layer Security-Microsoft Challenge Handshake Authentication Protocol v2,管道式傳輸層安全-Microsoft質詢握手身份驗證協議版本2)
· TTLS-GTC(Tunneled Transport Layer Security-Microsoft Generic Token Card,管道式傳輸層安全-通用令牌卡)
設備端(Authenticator)上支持兩種EAP報文交互機製:EAP中繼和EAP終結。MD5-Challenge認證方法支持以上兩種EAP報文交互機製,而其餘認證方法僅支持EAP中繼。
有關EAP報文交互機製的詳細介紹,請參見“安全配置指導”中的“802.1X”。
需要注意的是,配置的802.1X Client認證方法必須和認證服務器端支持的EAP認證方法保持一致。
表1-5 配置802.1X Client采用的EAP認證方法
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入以太網接口視圖 |
interface interface-type interface-number |
- |
|
配置802.1X Client認證方法 |
dot1x supplicant eap-method { md5 | peap-gtc | peap-mschapv2 | ttls-gtc | ttls-mschapv2 } |
缺省情況下,802.1X Client采用的EAP認證方法為MD5-Challenge |
設備作為802.1X Client進行802.1X認證時,如果網絡中的NAS設備不支持接收單播EAP-Response或EAPOL-Logoff報文,會導致802.1X認證失敗,此時建議開啟組播發送方式。
表1-6 配置802.1X Client匿名認證用戶名
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入以太網接口視圖 |
interface interface-type interface-number |
- |
|
配置802.1X Client認證使用的報文發送方式 |
dot1x supplicant transmit-mode { multicast | unicast } |
缺省情況下,802.1X Client認證使用單播方式發送EAP-Response和EAPOL-Logoff報文 |
僅在采用PEAP-MSCHAPv2、PEAP-GTC、TTLS-MSCHAPv2和TTLS-GTC認證方法時,才需要配置匿名認證用戶名。802.1X Client在第一階段的認證過程中,優先發送匿名認證用戶名,而在第二階段將在被加密的報文中發送配置的認證用戶名。配置了802.1X Client匿名認證用戶名可有效保護認證用戶名不在第一階段的認證過程中被泄露。如果設備上沒有配置匿名認證用戶名,則兩個認證階段均使用配置的認證用戶名進行認證。
當802.1X Client認證采用的認證方法為MD5-Challenge時,被認證設備不會使用配置的匿名認證用戶名認證,而是使用配置的認證用戶名進行認證。
如果認證服務器廠商不支持匿名認證用戶名,則不要配置匿名認證用戶名。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入以太網接口視圖 |
interface interface-type interface-number |
- |
|
配置802.1X Client匿名認證用戶名 |
dot1x supplicant anonymous identify identifier |
缺省情況下,不存在802.1X Client匿名認證用戶名 |
當802.1X Client認證采用PEAP-MSCHAPv2、PEAP-GTC、TTLS-MSCHAPv2或TTLS-GTC時,被認證設備作為SSL客戶端會在802.1X Client第一階段認證過程中,與對端SSL服務器進行SSL協商。在第二階段被認證設備使用SSL協商出來的結果對交互的認證報文進行加密傳輸。
在SSL協商過程中,802.1X Client作為SSL客戶端連接SSL服務器時,需要使用本命令來引用SSL客戶端策略。SSL客戶端策略中配置了SSL客戶端啟動時使用的SSL參數,包括使用的PKI域、支持的加密套件和使用的SSL協議版本。有關SSL客戶端策略的詳細配置請參見“安全配置指導”中的“SSL”。
表1-8 配置802.1X Client引用的SSL客戶端策略
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入以太網接口視圖 |
interface interface-type interface-number |
- |
|
配置802.1X Client引用的SSL客戶端策略 |
dot1x supplicant ssl-client-policy policy-name |
缺省情況下,802.1X Client引用係統缺省的SSL客戶端策略 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後802.1X Client功能的運行情況,通過查看顯示信息驗證配置的效果。
表1-9 802.1X Client功能顯示和維護
|
操作 |
命令 |
|
顯示802.1X Client功能的配置信息、運行情況和統計信息 |
display dot1x supplicant [ interface interface-type interface-number ] |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
