8021x介绍教程(h3c经典教程)_第1页
8021x介绍教程(h3c经典教程)_第2页
8021x介绍教程(h3c经典教程)_第3页
8021x介绍教程(h3c经典教程)_第4页
8021x介绍教程(h3c经典教程)_第5页
已阅读5页,还剩64页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、802.1X 介绍培训培训目的了解802.1x基本概念及协议了解802.1x相关功能及应用学会802.1x基本配置802.1x基本概念简介802.1x认证方式EAP和RADIUS协议介绍802.1x配置实例802.1x相关特性测试中遇到的问题和体会内容介绍1、802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题, 但由于它的原理对于所有符合IEEE 802标准的局域网具有普适性,因此后来它在有线局域网中也得到了广泛的应用。 该协议是IEEE在2001.6通过的正式标准,标准的起草者包括Microsoft,Cisco

2、,Extreme,Nortel等;2、IEEE 802.1x定义了基于端口的网络接入控制协议(port based network access control),其中端口可以是物理端口,也可以是逻辑端口,对于无线局域网来说 “端口”就是一条信道。3、802.1x认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LANs)通过。802.1x的背景802.1X基本概念简介80

3、2.1x和其它认证的比较 801.1x优势较为明显,是理想的低成本运营解决方案。适用于接入设备与接入端口间点到点的连接方式,实现对局域网用户接入的认证与服务管理,常用于运营管理相对简单,业务复杂度较低的企业以及园区。 802.1X基本概念简介受控端口是802.1x系统的核心概念1、 认证系统Autheticator内部有受控端口(Controlled Port)和非受控端口(Uncontrolled Port) 1)非受控端口始终处于双向连通状态,不必经过任何授权就可以访问或传递网络资源和服务;受控端口则反之,必须经过授权才能访问或传递网络资源和服务。启动802.1X的端口就是受控端口,用户通

4、过认证获得授权。 2)受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用环境。双向受控对受控端口的输入流和输出流都进行控制,在端口未授权前,两个方向的流量都不能通过受控端口。输入受控仅对端口的输入流进行控制,不管端口是否授权,出端口流量不受限制。 3) 目前我们的交换机上的实现仅支持输入受控。802.1x的核心概念802.1X基本概念简介802.1x的核心概念(续)802.1X基本概念简介2、端口接入控制的模式(目前我司设备有以下三种):Authorized-force:常开模式 端口一直维持控制模式,下挂用户无需认证过程就可访问网络资源 Auto:协议控制模式 初始状态为非授权状

5、态,仅允许EAPOL报文收发。802.1X认证通过后,将此端口状态切换到授权状态,这时用户才可访问网络资源Unauthorized-force:常关模式 端口一直维持非授权状态,忽略所有客户端发起的认证请求,用户不能访问网络资源。802.1x的核心概念(续)配置命令:Quidwaydot port-control ? authorized-force Port authorized unconditionally auto Authorized status controlled by Finite State Machine unauthorized-force Port unauthori

6、zed unconditionally 802.1X基本概念简介3、端口接入控制方式(目前我司设备支持以下两种) :Macbased : 基于MAC地址的认证方式 对共用同一个物理端口的多个用户分别进行认证控制,限制同时使用同一个物理端口的用户数目(限制MAC地址数目),但不指定MAC地址,让系统根据先到先得原则进行MAC地址学习,系统将拒绝超过限制数目的请求,若有用户退出,则可以覆盖已退出的MAC地址。 只有认证通过的用户可以访问网络资源。Portbased:基于PORT的认证方式仅对使用同一物理端口的任何一个用户进行认证(仅对一个用户进行认证,认证过程中忽略其他用户的认证请求),认证通过后

7、其他用户也就可以利用该物理端口访问网络资源。802.1x的核心概念(续)配置命令:Quidwaydot port-method ? macbased Method based on MAC address portbased Method based on port 802.1X基本概念简介802.1x的体系结构802.1X基本概念简介 IEEE 802.1x的体系结构中包括三个部分:Supplicant System-接入系统;即认证客户端Authenticator System-认证系统;即NAS(Network Access Server)Authentication Sever Sys

8、tem-认证服务器。 802.1x体系与设备软件对应关系接入系统(如PC)需要安装802.1x客户端软件,例如Windows XP的802.1x客户端,我司提供的802.1x客户端;NAS(如交换机)需要实现 802.1x的认证系统功能认证服务器系统一般驻留在运营商的AAA中心,典型的是传统的Radius服务器。如windows2k/2003自带的Radius服务器。PAE: 端口认证实体(port access entity) 认证机制中负责处理算法和协议的实体。802.1x的体系结构(续)802.1X基本概念简介802.1x的认证过程认证前端口起dot1x,此时端口相当于受控关闭状态,只允

9、许EAP0L报文通过802.1x通过EAP帧承载认证信息进行认证(此处用PAP的认证方式讲解认证过程):首先客户端发起认证 (EAPOL-START)设备向客户端进行用户名请求(EAPOL-Request/Identity) 客户端回应认证用户名(EAPOL-Reponse) 设备向客户端进行密码请求(EAPOL-Request/PAssword)客户端回应密码(EAPOL-Request/PAssword)设备收到后将用户名和密码映射到RADIUS报文传给服务器服务器进行用户名和密码等属性判断都符合后回应设备认证成功(否则返回拒绝,设备再发failue报文给客户端)如果设备配置了计费这时将向

10、服务器发送计费请求服务器判断传递过来的属性,符合后就回应设备计费成功等信息(否则返回拒绝,设备再发failue报文给客户端)设备接收到计费回应后发success报文给交换机至此认证通过,端口被打开,用户可以通过端口访问外部资源如果此时端口起了握手功能,设备将定期和客户端进行握手交互,检测客户端是否在线,如果不在线就会发logoff通知用户下线,端口又被关闭802.1X基本概念简介802.1x与AAA和RADIUS的关系802.1x、AAA、RADIUS三者不是一个概念,但在实际使用中又紧密联系、802.1x是基于端口的网络接入控制协议(前面已讲过),它提供了一个用户身份认证的实现方案,但是仅仅

11、依靠802.1x是不足以实现该方案的接入设备的管理者还要对AAA方法进行配置,选择使用RADIUS或本地认证方法,以配合802.1x完成用户的身份认证。 、AAA的概念)AAA的组成 认证(Authentication): 认证用户是否可以获得访问权。 授权(Authorization) : 授权用户可以使用哪些服务。 计费(Accounting) : 给使用网络资源的用户进行计费)AAA的作用AAA是一种管理框架,它提供了验证,授权和计费三种安全功能。AAA的配置实际上是对网络安全(访问控制)的一种管理。包括哪些用户可以访问网络服务器?具有访问权的用户可以得到哪些服务?如何对正在使用网络资源

12、的用户进行计费。在实践中,人们最常使用RADIUS协议来实现AAA。 802.1X基本概念简介802.1x与AAA和RADIUS的关系(续)、RADIUS的概念)RADIUS 的定义RADIUS是Remote Authentication Dial In User Service (远程认证拨号用户服务)的简称。它是一种分布式的c/s系统,能提供AAA功能。RADIUS技术可以保护网络不受未授权访问的干扰,常被用在既要求较高性能,又要求维持远程用户访问的各种网络环境中。)RADIUS服务包括三部分:协议:RFC2865、2866协议基于UDP/IP层定义了RADIUS帧格式及消息传输机制,并定

13、义了1812作为认证端口,1813作为计费端口。(我司交换机作服务器时仍常用老端口号1645和1646)服务器:RADIUS服务器运行在中心计算机或工作站上,包含了相关的用户认证和网络服务访问信息。客户端:位于拨号访问服务器设备侧(如交换机)。RADIUS基于C/S模型。设备(如交换机)作为RADIUS客户端,负责传输用户信息到指定的RADIUS服务器,然后根据从服务器返回的信息进行相应处理(如接入/挂断用户)。RADIUS服务器负责接收用户连接请求,认证用户,然后给设备返回所有需要的信息。802.1X基本概念简介802.1x与AAA和RADIUS的关系(续)业务控制体系模型及流程802.1X

14、基本概念简介决定用户采用的认证、计费、授权方案以及该域支持的业务。完成接入认证协议的状态管理和维护、消息转换。根据用户所在域,调用域控制模块提供的接口,确定该域所使用的认证授权计费方案,将用户的认证授权计费消息发送到的相应的认证授权计费协议队列。802.1x基本概念简介802.1x认证方式EAP和RADIUS协议介绍802.1x配置实例802.1x相关特性测试中遇到的问题和体会内容介绍认证方式1、认证方式种类: PAP、CHAP、EAP(MD5-Challenge、EAP_TLS、PEAP等)2、对认证服务器的兼容支持1)第一种是802.1x标准规定的,将EAP承载在其他高层协议中,如ERPO

15、R(EAP over Radius),以便EAP报文穿越复杂的网络到达认证服务器 ,,这种方式称为EAP Relay或中继方式。优点是LANSWITCH设备处理更简单,支持更多的认证方式;缺点是认证服务器必须支持EAP。 ( MD5-Challenge,EAP_TLS,PEAP ) 2)第二种是VRP平台802.1x子系统扩展的,将EAP在LANSWITCH设备终结并映射到Radius报文,利用Radius协议完成认证和计费,这种方式称为EAP终结方式。优点是认证服务器无需升级,现有的Radius Server可以继续使用;缺点是LANSWITCH设备处理更复杂。(我司实现CHAP,PAP )

16、802.1X认证方式配置命令:Quidwaydot authentication-method ? chap CHAP(Challenge Handshake Authentication Protocol) authentication method.Its default. eap EAP(Extensible Authentication Protocol) authentication method(support eap-tls, eap-md5, peap) pap PAP(Password Authentication Protocol) authentication metho

17、d PAP 认证方式1、PAP验证原理: 1) PAP即密码验证协议( Password Authentication Protocol)2) 密码通过明文的方式传输 用户以明文的形式把用户名和他的密码传递给路由器。 使用本地认证时,NAS会根据用户名在NAS端查找本地数据库,如果存在相同的用户名和密码表明验证通过,否则表明验证未通过。如果使用远程认证,NAS会把信息传到server上进行验证。802.1X认证方式PAP 认证方式(续)2、PAP认证过程802.1X认证方式CHAP 认证方式1、CHAP验证原理1)CHAP即质询握手验证协议(Challenge Handshake Authen

18、tication Protocol)2) 密码是通过密文方式 当用户请求上网时,NAS产生一个16字节的随机码给用户(同时还有一个ID号,本地路由器的 hostname)。用户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密,生成一个response传给NAS。如果使用本地验证,NAS根据用户名在NAS端查找本地数据库,得到和用户端进行加密所用的一样的密码,然后根据原来的16字节的随机码进行加密,将其结果与Response作比较,如果相同表明验证通过,如果不相同表明验证失败。如果使用远程认证,则信息送到server上进行验证。802.1X认证方式CHAP 认证方式(续)2、CHAP认

19、证过程802.1X认证方式EAP认证方式1、EAP验证原理 1)EAP即扩展验证协议(Extensible Authentication Protocol),见RFC2284定义 2)这种认证方式的质询和计算过程交由服务器完成,从一定程度上减轻了设备的负担。至于具体采用的质询和算法视认证机制而定, EAP 支持多种认证机制:Eap-Md5、 Eap-TLS、Eap-TTLS、 PEAP等。 3)我司设备COMWAREV500R002目前支持Eap-Md5、 Eap-TLS、 PEAP。802.1X认证方式EAP-Md5EAP-Md5认证过程802.1X认证方式EAP-TLSEAP-TLS原理:

20、 是一种基于用户证书的身份验证,客户端和RADIUS服务器端通过EAP-TLS(Transport Layer Security,传输层安全)认证方法检查彼此的安全证书,保证双方的正确性,防止网络数据被盗窃。相互的身份验证方法传统认证方法: 服务器验证客户端的合法性双向认证: 客户端也要验证服务器的合法性远程访问客户端发送其用户证书,而远程访问服务器发送其计算机证书 如果其中一个证书未发送或无效,则连接将中断802.1X认证方式EAP-TLS认 证 过 程802.1X认证方式PEAP原理: PEAP即受保护的扩展认证协议(Protected Extensible Authentication

21、Protocol),首先创建和使用TLS安全通道来进行完整性保护,然后进行另一种EAP类型的新的EAP协商,从而完成对客户端的身份验证。 增强了安全性: EAP提供了身份验证灵活性,但是整个EAP会话可能被当作明文(未加密)来发送。因此使用PEAP增强了安全性。PEAP802.1X认证方式PEAP认 证 过 程802.1X认证方式PEAP认 证 过 程(THE TLS-Channel Estabilished 部分)802.1X认证方式802.1x基本概念简介802.1x认证方式EAP和RADIUS协议介绍802.1x配置实例802.1x相关特性测试中遇到的问题和体会内容介绍协议的运用802.

22、1x通过EAP帧承载认证信息进行认证客户端PAE与设备端PAE之间利用EAP协议交换认证信息,EAP报文使用EAPOL封装格式,直接承载于LAN环境中.在设备端PAE与RADIUS服务器之间EAP中继方式 (EAP透传, eap认证方式)设备端PAE负责客户端和RADIUS服务器之间EAP报文的中继转发将EAPOR报文重新封装成EAPOL报文客户端将EAPOL报文重新封装成EAPOR报文RADIUS服务器中继转发过程中报文中的信息禁止被修改。(eap属性) ;EAP终结方式:由设备端PAE进行终结,而在设备端PAE与RADIUS服务器之间传送包含PAP协议或CHAP协议属性的报文EAP和RAD

23、IUS协议介绍CodeIdentifierLengthTypeData Code:EAP类型 1: Request (eap-request) 2: Response (eap-response) 3: Success (eap-success) 4: Failure (eap-failure) Identifier: 目的是将request报文和response报文对应起来字节数: 1 2 1 1 NEAP 协议1、EAP:扩展验证协议(Extensible Authentication Protocol) 2、EAP数据包帧格式EAP和RADIUS协议介绍EAP 协议Length: 为Co

24、de,Identifier,Length,Type和Data Type总字节长度Type报文类型:Type1IdentifierType2NotificationType3Nak(Response Only)Type4MD5-ChallengeType5One-Time Password (OTP)Type6Generic Token CardEAP和RADIUS协议介绍EAPOL概念: 一种封装技术,EAP over LAN,支持客户端PAE和设备端PAE在LAN环境中进行EAP报文的交换。目前,EAPOL有802.3/Ethernet 和Token Ring/FDDI两种封装。EAPOL

25、帧的目的MAC:EAPOL封装AssignmentValuePAE group address01-80-C2-00-00-03EAP和RADIUS协议介绍EAPOL帧格式:PAE Ethernet Type: 888eProtocol Version: 1Packet Type:0 EAP-Packet1 EAPOL-Start2 EAPOL-Logoff3 EAPOL-KeyPacket Body Length: EAP数据帧长度Packet Body: EAP数据帧内容,当Packet Type为EAPOL-Start或EAPOL-Logoff时,Packet Body部分无特定内容,用

26、全“0”填充。Packet TypePacket Body LengthPacket BodyProtocol VersionPAE Ethernet TypeEAPOL封装(续)字节数 2 1 1 2 NEAPOL frame format for 802.3/EthernetEAP和RADIUS协议介绍EAPOL报文形式EAP和RADIUS协议介绍RADIUS协议1、RADIUS定义 RADIUS 是Remote Authentication Dial In User Service (远程认证拨号用户服务)的简称。它是一种分布式的c/s系统,能提供AAA功能。RADIUS技术可以保护网络

27、不受未授权访问的干扰,常被用在既要求较高性能,又要求维持远程用户访问的各种网络环境中。2、RADIUS使用的协议 RADIUS基于标准RFC2865,2866协议在UDP/IP层定义了其帧格式及消息传输机制,并定义1812为认证端口,1813为计费端口。(我司交换作服务器常用的是1645和1646)3、 RADIUS协议的报文结构EAP和RADIUS协议介绍RADIUS协议(续) Code 1 Access- request 2 Access- accept 3 Access- reject 4 Accounting-request 5 Accounting-response 11 Acces

28、s-challenge Identifier 用于匹配请求包和回应包。Length 所有域(code、 Identifier Length、 Authenticator)的长度。 Authenticator 16 字节长。用于验证RADIUS服务器传回来的请求以及密码隐藏算法上。 EAP和RADIUS协议介绍RADIUS协议 (续)4、RADIUS报文的Attribut域目前我们交换机所支持的RADIUS属性有两种:标准的RADIUS属性,以及HUAWEI的扩展属性。(属性定义依据的协议有RFC2865,RFC2866,RFC2869,华为公司宽带产品 RADIUS协议标准,RADIUS+1.

29、1协议说明书、RADIUS+1.0协议说明书)EAP和RADIUS协议介绍EAPOR封装1、 实现方式 EAPOR即 EAP over RADIUS,是通过为RADIUS添加两个新属性EAP-Message和Message-Authenticator来实现对EAP的支持。 以便EAP报文穿越复杂的网络到达认证服务器。Type:与EAP相关的属性值分配79 EAP-Message 80 Message-Authenticator Length:指明三元组的总长度Value:格式和长度由Type域和Length域的取值决定对认证服务 器的兼容支持EAP和RADIUS协议介绍EAPOR封装(续)2、

30、EAP-Message属性设备端PAE(RADIUS Clinet)从客户端接收到EAP报文后,将它封装在一个或多个EAP-Message属性中,作为Access-Request的一部分转发给RADIUS服务器。RADIUS服务器可以在Access-Challenge,Access-Accept或Access-Reject报文中返回EAP-Message属性 Access-Accept或Access-Reject报文中包含且只包含一个EAP-Message属性,此属性中包含EAP-Success或EAP-Failure (注意:Accept或Reject报文可以不包含EAP packet或者含

31、有的不是success或failure,因为设备端是根据Radius的Accept或Reject报文来决定端口授权状态,因此,这种情况允许,但是,设备端必须要向客户端发一个EAP Success或EAP Failure报文以通知认证的授权状态)3、Message-Authenticator属性用于保护所有携带EAP-Message属性的Access-Request、Access-Challenge、Access-Accept和Access-Reject报文如果带有EAP-Message属性的报文中不包含Message-Authenticator 属性,该报文必须被丢弃。EAP和RADIUS协议

32、介绍EAPOR报文EAP和RADIUS协议介绍802.1x基本概念简介802.1x认证方式EAP和RADIUS协议介绍802.1x配置实例802.1x相关特性测试中遇到的问题和体会内容介绍组网需求远程认证在交换机Ethernet 1/0/1认证;基于MAC地址的接入控制;使用CHAP认证方法;所有AAA接入用户都属于一个缺省的域:cams;该域最多可容纳30个用户;两台IP地址分别为和CAMS服务器,要求前者作主认证/主计费服务器,后者作备份认证/备份计费服务器;服务器使用的认证端口号是1812,计费端口号是1813设置认证系统与RADIUS服务器的认证和计费交互报文协商密钥为“huawei”

33、 ;指示用户名带域传给传给服务器;设置系统每15分钟就向RADIUS服务器发送一次实时计费报文,服务器没有响应时重发计费报文的最大次数是6次 。802.1X配置实例组网图802.1X配置实例交换机上配置#全局和端口使能dot1x: DUTdot1x DUTdot interface Ethernet 1/0/1 #配置802.1x用户认证方法和端口控制方式DUTdot port-method macbased interface e1/0/1DUTdot authentication-method chap #配置radius:DUTradius scheme new DUT-radius-n

34、ewprimary authentication DUT-radius-newprimary accounting DUT-radius-newsecondary authentication DUT-radius-newsecondary accounting DUT-radius-newserver-type huawei DUT-radius-newuser-name-format with-domain DUT-radius-newkey authentication huawei /和CAMS上设的一致。 DUT-radius-newkey accounting huawei /和C

35、AMS上设的一致。 DUT-radius-newtimer realtime-accounting 15 DUT-radius-newretry realtime-accounting 6 DUT-radius-newnas-ip 0 /假设设备的上行ip地址为0注:设备和认证客户端的交互是在二层上完成的,而设备与服务器的交互则是基于传输层,所以必须保证设备可以ping通服务器。 802.1X配置实例交换机上配置(续)#配置domain: DUTdomain cams DUT-isp-camsauthentication lan-access radius-scheme new DUT-isp

36、-camsauthorization lan-access radius-scheme new DUT-isp-camsaccounting lan-access radius-scheme new DUT-isp-camsaccess-limit enable 30 DUTdomain default enable cams附注:现有的认证方案组合中支持以下6种:Radius -使用radius server验证Hwtacacs-使用hwtacacs server验证Local-使用本地设备认证None-不认证radius local先用radius,再使用localhwtacacs loc

37、al-先用hwtacacs,再使用localAAA分离后,V5目前的实现:可以单独进行认证,不计费可以进行认证授权,不计费可以同时进行认证授权和计费RADIUS的授权信息携带在认证报文里,因此认证和授权指向的radiusschme必须相同。这和hwtacacs(认证授权和计费可以分离)是不同的。802.1X配置实例服务器上配置2.服务器主要配置: 设置NAS-ip;添加服务;用户开户并指定使用的服务802.1X配置实例客户端配置在客户端软件上填写刚才配置的用户名和密码,选择正确的网卡就可进行认证了 802.1X配置实例802.1x基本概念简介802.1x认证方式EAP和RADIUS协议介绍80

38、2.1x配置实例802.1x相关特性测试中遇到的问题和体会内容介绍802.1X相关特性列表我司产品802.1x还有以下特性(当然有些特性在某些产品可能不支持):握手机制代理检测版本检测消息透传重认证ACCOUNTINGON DHCPLAUNCH动态绑定GUEST VLAN动态VLAN下发SmartOn其它特性简介802.1X相关特性握手机制功能用来定期检测用户是否还在线,如果设备握手请求超过重传次数客户端不给回应则会将该用户踢下线命令配置Quidway-Ethernet1/0/1dot handshakeDUTdot timer handshake-period ? INTEGER Value

39、 of parameter (unit: second), default is 15s NEC版本没有握手机制(因为NEC客户端不支持握手机制),国内版本有握手机制(该功能是自己扩展的,非标准协议)如果没有握手机制,当用户非正常下线(即客户端软件不发logoff下线请求通知设备的情况,比如停掉网卡等),服务器会继续计费,除非用别的特性来避免,比如重认证802.1X相关特性重认证功能类似握手功能,客户端可以周期性的进行认证,以确保用户正常在线。重认证分为两种认证形式:客户端主动发起重认证和服务器周期的下发重认证 命令配置DUTdot1x re-authenticate ? interface

40、Select interface to re-authenticate DUTdot timer reauth-period ? INTEGER Number of seconds between re-authentication attemps, the default is 3600 seconds 802.1X相关特性代理检测功能:检测通过代理登录交换机的用户,supp-proxy-check trap是发告警信息, supp-proxy-check logoff是将用户踢下线。检测的参数包含: 禁用代理服务器 禁用IE设置代理 禁用多网卡命令配置: 使能握手,全局和端口使能supp-

41、proxy-checkDUTdot supp-proxy-check logoff Access request(s) denied trap Presentation by trap informationDUT-Ethernet1/0/1dot handshakeDUT-Ethernet1/0/1dot supp-proxy-check ? logoff Access request(s) denied trap Presentation by trap information注:目前我司实现(v5)是通过客户端在握手回应时通过报文把检测信息传递给交换机,交换机直接处理EAP握手回应报文对

42、应数值:#define DOT1X_PROXYCHK_DETECTED 0 x36 /* 54:检测到用户通过proxy上网 */#define DOT1X_PROXYCHK_MULITNETCARD 0 x37 /* 55:多网卡 */#define DOT1X_PROXYCHK_HTTPPROXY 0 x38 /* 56:浏览器中设置了代理 */0000: 00 E0 FC 39 28 20 00 0D 88 F7 77 50 88 8E 01 00 .9( .wP.0010: 00 11 02 03 00 11 14 37 15 04 3C 10 01 02 61 61 .7.aa002

43、0: 40 61 61 00 00 00 00 00 00 00 00 00 00 00 00 00 aa.0030: 00 00 00 00 00 00 00 00 00 00 00 00 . 802.1X相关特性版本检测功能:起了该功能后,交换机会对接入用户的802.1x客户端的版本和合法性进行验证,以防止使用有缺陷的老版本客户端或者非法客户端的用户上网。命令配置:DUTdot1x version-check int e0/1Version-Check is enabled on port Ethernet0/1DUTdot1x retry-version-max ?INTEGERValu

44、e of parameter (unit:times),default is 3版本检测过程:设备首先向客户端发送一个“版本请求”报文 客户端应将当前版本信息携带在回应报文中 ,设备保存版本信息向CAMS发送RADIUS认证请求报文时,将版本信息连同Identity和MD5 Password一起携带在RADIUS请求报文中的hw-User-Notify扩展属性中,由CAMS完成最后的版本检测 注:该功能需要与cams服务器配合使用,在cams服务器上需要配置版本检测功能以及版本检测门限且仅对华为客户端生效,但别的客户端也能认证通过;如果改用别的RADIUS服务器,则该功能失效,但客户端能认证通

45、过。802.1X相关特性ACCOUNTINGON功能:一旦交换机异常重启,该功能能够给服务器发送用户下线信息(计费停止报文),通知服务器停止计费。当交换机收到服务器 回应的计费停止报文后,停止发送计费accounting-on报文。命令配置:在radius scheme视图下3026C-radius-newaccounting-on enable3026C-radius-newaccounting-on enable interval 4 3026C-radius-newaccounting-on enable send 10缺点:在交换机收到服务器回应的计费停止报文之前,用户不能进行认证。8

46、02.1X相关特性动态绑定功能:dynamic-binding-user动态绑定功能目的是实现用户认证成功后的动态绑定,相对于以前的cams动态绑定,本功能模块实现了绑定功能的自动化,本功能是将用户IP、mac、vlan和port绑定在一起,此绑定是通过认证交换机动态下发acl(用户看不到该acl规则)来实现的。命令配置: S3026Edot1x dynamic-binding-user enable S3026Edhcp-snooping802.1X相关特性GUEST VLAN功能: 交换机端口下起Guest Vlan ,全局和端口起dot1x后,过一定时间(eap多播报文发送间隔*重发次数

47、(dot time retry设定),GuestVlan生效,该端口划分到guestvlan指定的vlan,访问该vlan下的资源不需要认证。但如果想访问别的VLAN资源仍需要进行802.1x认证。交换机配置: DUTdot guest-vlan 2 ? interface Specify interface configuration information 注:目前v5平台能支持在每个端口下分别设置一个guest-vlan; 只支持基于port-method认证方式; 尚不支持在trunk口和hybrid口上guestvlan生效;802.1X相关特性动态VLAN下发功能: 用户认证成功后

48、,可以动态下发vlan,将认证端口划分到某个vlan,从而实现用户互相隔离或者实现不同的权限RFC2868中有字符串vlan下发标准。 动态vlan下发的三个属性(在服务器上配置): 1、Tunnel-Type = VLAN(6) -64 2、Tunnel-Medium-Type = IEEE-802 -65 3、Tunnel-Private-Group-ID = Vlan ID/Name -81注:目前V5平台不支持命名vlan下发,服务器配置时必须配置成(1-4094),格式可以是十进制或者字符串,不支持16进制格式,且目前尚不支持在trunk口和Hybrid口上下发动态vlan。802.

49、1X相关特性SmartOn认证过程SmartOn 针对NEC客户端增加的特性,使能SmartOn后必须是NEC 的客户端才能认证成功。在普通认证请求之前增加了SwitchID 和Password的验证。配置命令:QX-S3020TPsmarton switchid necQX-S3020TPsmarton password simple 123QX-S3020TP-Ethernet1/0/1smarton 在全局和认证端口使能dot1x,之后在交换机上的配置跟普通的802.1x认证配置一样。另外客户端需把switchid和password写入注册表,客户端软件为NEC的1x Gate客户端。8

50、02.1X相关特性SmartOn认证过程(续)802.1X相关特性其它特性1、消息透传: 消息透传指的是在cams设置了特定字符串,当用户dot1x认证成功后,此时交换机 将此字符串传给客户端,管理者也可以主动向在线的用户下发特定的消息 ,(该功能与华为的客户端、华为认证服务器CAMS配合 ) DUTmessenger time enable2、 DHCPLAUNCH:设置允许DHCP触发认证 DUTdot dhcp-launch3、 quiet timer:主备倒换辅助功能 DUT-radius-newtimer quiet ? INTEGER The value for quiet tim

51、e, default is 5 (unit: minute) 4、nas-ip功能:目的是指定不同用户使用不同的上行IP地址,本功能主要针对三层交换机而言 DUTradius nas-ip ? X.X.X.X Source IP address DUTradius scheme new DUT-radius-newnas-ip ? X.X.X.X Source IP address 在radius scheme视图下配置的比全局视图下配置的高。 5. dot quiet-period :认证失败后再认证时静默时间 DUTdot quiet-period DUTdot timer quiet-p

52、eriod802.1X相关特性802.1x基本概念简介802.1x认证方式EAP和RADIUS协议介绍802.1x配置实例802.1x相关特性测试中遇到的问题和体会内容介绍测试中遇到的问题和体会1、常见的认证失败原因分析 很多同学在测试过程中最容易遇到的是认证不成功,这时候到底是设备的问题还是配置的问题?这里提供一些常见的失败原因,供分析使用:1)没有在全局和端口同时使能dot1x2)客户端和交换机二层链路不通,或者交换机ping不通服务器。3)端口控制方式设置被设成authorized-force和unauthorized-force。4). 目前设备(交换机)做认证服务器时不支持EAP认证

53、方式,例如本地认证时就不能用 EAP认证方式5)在switch1中radius方案设置的认证和计费的key与服务器上不一致。6). 服务器是否带要求带域,如果要求则在radius方案里要配置成带域,反则则反,注: 对eap认证方式不起作用,eap认证方式时客户端传什么就原封不动传给服务器7)在radius方案设置的认证和计费服务器端口号不正确,设备做认证服务器时采用 1645,1646,若是使用远程radius服务器则一般是1812,1813(有些服务器上可更 改,如CAMS).8). 使用的用户类型不匹配,一般需要lan-access用户,在CAMS的系统配置里可以更 改,2000 Radi

54、us Server则在策略里进行匹配。测试中遇到的问题和体会9). 交换机上传的NAS-IP和服务器上设置nas-ip不匹配10). 用户没有余额或用户被加入黑名单(cams上可以查看)11). 认证客户端软件的问题,换一个客户端软件试试。12). 认证服务器的问题,例如CAMS里有一功能“立即生效”不能成功时,服务器不可用,有时则是用户没有费用,有时则是用户在但是就是不可用。 可以用2000/2003自带的服务器试试,此服务器一般不存在问题。13). 全局和端口起了SMARTON的不能用普通的客户端进行认证,须用NEC的客户端。14). 端口起了mac 认证后不能进行802.1x认证.(和m

55、ac认证是冲突的).15).配置了静态mac后不能进行802.1x认证(只针对静态mac和1xmac改成冲突的产品)。16).另外有些认证不成功是因为服务器或者客户端做了一些特殊配置,而设备尚不支持 的问题,这时最好跟开发确认,比如目前v5尚不支持在trunk和hybrid口下发动态 vlan 。建议:在分析失败原因时最好打开debbeg开关,通过分析eap和radius报文一般就能判断是哪里出的问题。 deb radius packet deb dot1x packet terminal debugging 测试中遇到的问题和体会2.如何使用windows2000/2003RADIUS做 进

56、行登陆。 在服务器的远程访问策略里进行配置(高级里添加属性 ): #define Login_Service 15 /*Login业务类型- 0 Telnet, 1 Rlogin, 2 TCP Clear, 3 PortMaster 4 LAT 如下两个为huawei公司定义 50 SSH 51 FTP */.测试中遇到的问题和体会3.如何在服务器上下发各个厂商的私有属性。 在服务器的远程访问策略里进行配置(高级里添加属性26号属性):#define Vendor_Specific 26 /制造商自定义属性 #define RD_ASCENDIPPOOL 218代码中定义的华为的扩展属性#de

57、fine RD_hw_Vendor_ID 2011 #define RD_HUAWEI_ATTR 1000#define hw_Input_Peak_Rate (RD_HUAWEI_ATTR+1)#define hw_Input_Average_Rate (RD_HUAWEI_ATTR+2)#define hw_Input_Basic_Rate (RD_HUAWEI_ATTR+3)#define hw_Output_Peak_Rate (RD_HUAWEI_ATTR+4)#define hw_Output_Average_Rate (RD_HUAWEI_ATTR+5)#define hw_Output_Basic_Rate (RD_HUAWEI_ATTR+

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论