- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
24-802.1X Client配置
本章節下載: 24-802.1X Client配置 (202.06 KB)
802.1X的體係結構包括客戶端、設備端和認證服務器。客戶端通常有兩種表現形式:安裝了802.1X客戶端軟件的終端和網絡設備。802.1X Client功能允許網絡設備作為客戶端。有關802.1X體係的詳細介紹請參見“安全配置指導”中的“802.1X”。
應用了802.1X Client功能的典型組網圖如圖1-1所示:
(4) (可選)配置802.1X Client認證使用的MAC地址
(5) (可選)配置802.1X Client認證使用的報文發送方式
(6) (可選)配置802.1X Client匿名認證用戶名
(7) 配置802.1X Client引用的SSL客戶端策略
當802.1X Client認證采用PEAP-MSCHAPv2、PEAP-GTC、TTLS-MSCHAPv2或TTLS-GTC認證方式時,需要引用SSL客戶端策略。
system-view
(2) 進入以太網接口視圖。
interface interface-type interface-number
(3) 開啟802.1X Client功能。
dot1x supplicant enable
缺省情況下,802.1X Client功能處於關閉狀態。
為確保認證成功,請將接入設備上配置的用戶名和密碼與認證服務器上配置的用戶名和密碼保持一致。
(1) 進入係統視圖。
system-view
(2) 進入以太網接口視圖。
interface interface-type interface-number
(3) 配置802.1X Client認證用戶名。
dot1x supplicant username username
(4) 配置802.1X Client認證密碼。
dot1x supplicant password { cipher | simple } string
802.1X Client支持的EAP認證方法分為MD5-Challenge、PEAP-MSCHAPv2、PEAP-GTC、TTLS-MSCHAPv2和TTLS-GTC。
若802.1X Client采用MD5-Challenge認證方法,則設備端(Authenticator)的802.1X認證方法可以配置為PAP、CHAP或EAP。
若802.1X Client采用其它認證方法,則設備端的認證方法必須配置為EAP。
有關設備端認證方法的詳細介紹,請參見“安全配置指導”中的“802.1X”。
配置的802.1X Client認證方法必須和認證服務器端支持的EAP認證方法保持一致。
(1) 進入係統視圖。
system-view
(2) 進入以太網接口視圖。
interface interface-type interface-number
(3) 配置802.1X Client認證方法。
dot1x supplicant eap-method { md5 | peap-gtc | peap-mschapv2 | ttls-gtc | ttls-mschapv2 }
缺省情況下,802.1X Client采用的EAP認證方法為MD5-Challenge。
802.1X Client通過認證後,認證設備上接入802.1X Client的接口會將802.1X Client的MAC地址加入到MAC地址表項中,使802.1X Client具有相應的訪問權限。當802.1X Client上有多個接口同時進行802.1X認證時,為保證各接口能順利通過認證,需要為各接口配置不同的MAC地址。可通過以太網接口視圖下的mac-address命令為接口配置不同的MAC地址,或通過本命令為以太網接口配置不同的802.1X Client認證使用的MAC地址。關於mac-address命令的詳細介紹請參見“二層技術-以太網交換命令參考”中的“MAC地址表”。
(1) 進入係統視圖。
system-view
(2) 進入以太網接口視圖。
interface interface-type interface-number
(3) 配置802.1X Client認證使用的MAC地址。
dot1x supplicant mac-address mac-address
缺省情況下,802.1X Client認證使用接口的MAC地址,若獲取不到接口MAC地址則使用設備的MAC地址。
設備作為802.1X Client進行802.1X認證時,如果網絡中的NAS設備不支持接收單播EAP-Response或EAPOL-Logoff報文,會導致802.1X認證失敗,此時建議開啟組播發送方式。
(1) 進入係統視圖。
system-view
(2) 進入以太網接口視圖。
interface interface-type interface-number
(3) 配置802.1X Client認證使用的報文發送方式。
dot1x supplicant transmit-mode { multicast | unicast }
缺省情況下,802.1X Client認證使用單播方式發送EAP-Response和EAPOL-Logoff報文。
僅在采用PEAP-MSCHAPv2、PEAP-GTC、TTLS-MSCHAPv2和TTLS-GTC認證方法時,才需要配置匿名認證用戶名。802.1X Client在第一階段的認證過程中,優先發送匿名認證用戶名,而在第二階段將在被加密的報文中發送配置的認證用戶名。配置了802.1X Client匿名認證用戶名可有效保護認證用戶名不在第一階段的認證過程中被泄露。如果設備上沒有配置匿名認證用戶名,則兩個認證階段均使用配置的認證用戶名進行認證。
當802.1X Client認證采用的認證方法為MD5-Challenge時,被認證設備不會使用配置的匿名認證用戶名認證,而是使用配置的認證用戶名進行認證。
如果認證服務器廠商不支持匿名認證用戶名,則不要配置匿名認證用戶名。
(1) 進入係統視圖。
system-view
(2) 進入以太網接口視圖。
interface interface-type interface-number
(3) 配置802.1X Client匿名認證用戶名。
dot1x supplicant anonymous identify identifier
當802.1X Client認證采用PEAP-MSCHAPv2、PEAP-GTC、TTLS-MSCHAPv2或TTLS-GTC時,被認證設備作為SSL客戶端會在802.1X Client第一階段認證過程中,與對端SSL服務器進行SSL協商。在第二階段被認證設備使用SSL協商出來的結果對交互的認證報文進行加密傳輸。
在SSL協商過程中,802.1X Client作為SSL客戶端連接SSL服務器時,需要使用本命令來引用SSL客戶端策略。SSL客戶端策略中配置了SSL客戶端啟動時使用的SSL參數,包括使用的PKI域、支持的加密套件和使用的SSL協議版本。有關SSL客戶端策略的詳細配置請參見“安全配置指導”中的“SSL”。
(1) 進入係統視圖。
system-view
(2) 進入以太網接口視圖。
interface interface-type interface-number
(3) 配置802.1X Client引用的SSL客戶端策略。
dot1x supplicant ssl-client-policy policy-name
缺省情況下,802.1X Client引用係統缺省的SSL客戶端策略。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後802.1X Client功能的運行情況,通過查看顯示信息驗證配置的效果。
表1-1 802.1X Client功能顯示和維護
|
操作 |
命令 |
|
顯示802.1X Client功能的配置信息、運行情況和統計信息 |
display dot1x supplicant [ interface interface-type interface-number ] |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
