autelan交换机产品配置手册第五部分用户认证管理分册

1、归的，确的。UsersManualCopyrightandCopyrightBeijing.s.an Technology The copyright of is owned by Beijing . Without the writtenobtainedfromBeijing,shallnotbeandtedinany归的，确的。UsersManualCopyrightandCopyrightBeijing.s.an Technology The copyright of is owned by Beijing . Without the writtenobtainedfromBeijing

2、,shallnotbeandtedinanyformorbyanymeans,storedinaretrievalsystem,modified,distributedandootherlanguages,dforal einwholeorinandthe information contained hereinare provided on an AS IS basis. Beijing maymakeimprovementor,atanytimeandwithoutnoticeas it sees fit. The was prepared by Beijing an Technology

3、 reasonable care and is ved to be accurate. However, Beijing an Technology shall ameresponsibilityforameresponsibilityforlossesordamagesresultingfromanys,inaccuracies,orerrors一. 前1.1 文档介1.2一. 前1.1 文档介1.2 读者对1.3 文档约1.4 相关文1.5 技术支二. 配置802.1x认2.1802.1x功能概2.1.1802.1x认证体2.1.2802.1x认证流2.2802.1x配启用全局的802.1

4、x功配置802.1x端口控制模配置802.1x的EAP认证模配置Guest配置Auth-Fail2.3802.1x. 清除端口/port-channel的802.1x统计信查看802.1x的全局配置信查看所有端口/port-channel的802.1x概要信查看指定端口/port-channel的802.1x详细信查看指定端口/port-channel的802.1x统计信查看802.1x的客户端信查看802.1x的EAP认证模2.3.8 查看802.1x的定时2.3.9 在当前接口/port-channel下查看802.1x详细信三. 配置RADIUS客户3.1RADIUS协议概3.2RADI

5、US配3.2.1 RADIUS认证配置RADIUS计费服务配置RADIUS请求报文的超时重传定时 3.2.5 配置发送RADIUS报文使用的源地3.2.5 配置发送RADIUS报文使用的源地3.3RADIUS. 清除RADIUS统计信查看RADIUS的全局配查看RADIUS服务器的配置信四.802.1x典型配置案4.1 组网需4.2 配置准4.3 配置步图2.1IEEE802.1x认证体图2.1IEEE802.1x认证体图2.2 基于EAP-MD5的802.1x认证流图3.1RADUIS协议认证流图4.1802.1x典型配置拓表开启全局的802.1x功表802.1x端口控制模式（令为例表配置8

6、02.1x的EAP认证模表表表表令为例表表开启全局的802.1x功表802.1x端口控制模式（令为例表配置802.1x的EAP认证模表表表表令为例表表表配置GuestVLAN（表Auth-FailVLAN（表清除端口/port-channel的802.1x统计信表查看802.1x的全局配置信表查看所有端口/port-channel的802.1x概要信表查看指定端口/port-channel的802.1x详细信表查看指定端口/port-channel的802.1x统计信表查看802.1x的客户端信表查看802.1x的EAP认证模表2.19 查看802.1x的定时表2.20 在当前接口/port-

7、channel下查看802.1x详细信表RADIUS认证表配置表2.19 查看802.1x的定时表2.20 在当前接口/port-channel下查看802.1x详细信表RADIUS认证表配置RADIUS计费服务表配置RADIUS请求报文的超时重传定时表配置RADIUS请求报文的最大传送次表配置发送RADIUS报文使用的源地表清除RADIUS统计信表查看RADIUS的全局配表查看RADIUS服务器的配置信表表3.10 查看指定认证服务器的统计信表3.11 查看指定计费服务器的配置信表3.12 查看指定计费服务器的统计信一1.1 1.2一1.1 1.2 1.3 1.3.1 Au an1命令行关键

8、字（命令中保持不变、必须照输的部分）命令行自定义参数（命令中必须由实际值进行替代的部分）命令行可选参数（命令中需要从给定的选项中进行选择的部分）1.3.2 1.3.3 Au an2 netssh方式登录设（使能模式警告：该标志后的注释需给予格外关注，不当的操作可能会对人身造1.3.2 1.3.3 Au an2 netssh方式登录设（使能模式警告：该标志后的注释需给予格外关注，不当的操作可能会对人身造&1-表示符号&1n #由“#”号开始的行表示为注释行x-y1.4 1.5 ：；Au an31.4 1.5 ：；Au an3configure 点二配置802.1x认目前，AS3200-24GC8

9、02.1x2.1 802.1x功能概IEEE 802.1x控制协议（Port-Based Network Protocol二配置802.1x认目前，AS3200-24GC802.1x2.1 802.1x功能概IEEE 802.1x控制协议（Port-Based Network Protocol。 802.1x。anIEEE802.1x2.1.1 802.1xIEEE802.1x标准的认证体系由三部：客户端、认证设备和认证服务器，如图 2.1 所示图 2.1 IEEE802.1x802.1x 。Au an4备用于对连接的客户端进行 通常指 RADIUS 目前an交换机作为802.1x认证设备时，

10、只能使用备用于对连接的客户端进行 通常指 RADIUS 目前an交换机作为802.1x认证设备时，只能使用RADIUS服务器进行认证2.1.2 802.1xan交换机中，802.1x的用户认证方法使用EAP认证，其中包括EAP标准认证和EAP标准模式是IEEE802.1xEAPRADIUS 和 值为 80802.1xEAPRADIUS 与认证服务器之间通过RADIUSEAPEAP-MD5，EAP-TLS， EAP-TTLSAu an5 802.1x图 基于EAP-MD5802.1x 802.1x图 基于EAP-MD5802.1x Au an64EAP-Response/Identity报文封装

11、到RADIUSRADIUS 7）客户端收到 EAP-Request/MD5-Challenge 报文后，使用加密字对口令进行理，然后通 8）RADIUS4EAP-Response/Identity报文封装到RADIUSRADIUS 7）客户端收到 EAP-Request/MD5-Challenge 报文后，使用加密字对口令进行理，然后通 8）RADIUS服务器， 由 RADIUS 并将认证失败的信息通过RADIUS 10）接入设备收到RADIUS s-Accept/RADIUS Relay12）如果认证成功，接入设备可以发起计费开始请求给RADIUS13）802.1xEAPoL-Logoff2

12、.2 802.1x配 Au an7802.1xRADIUS服务器的相关参数（RADIUS服务器的 和 和 器的相关配置请参见 三. 配置RADIUS客户端802.1x2.2.1 802.1x802.1xRADIUS服务器的相关参数（RADIUS服务器的 和 和 器的相关配置请参见 三. 配置RADIUS客户端802.1x2.2.1 802.1x 802.1x表 2.1 802.1xnodot1xsystem-auth-control802.1x2.2.2 802.1x 的 dot1x port-control选项“auto” 表示将该端口设置为端口自动识别模式，并且设备基于端口对接入用户进行认

13、证状态，仅允许收发EAPoLauto Au an8SYSTEM# configure 802.1xSYSTEM(config)#dot1xsystem-auth-authorized” unauthorized” authorized” unauthorized” based” mac-based 2.2 802.1x端口控制模式（在接口配置模式/port-channel 配置模式下，配置命令 no port-control，可以关闭该接口port-channel802.1x2.2.3 802.1x的EAP802.1x的 EAP认证模式包括 EAP 标准认证和 802.1x稍微不同，具体请参见

14、 2.1.2802.1x缺省情况下，设备采用 Au an9SYSTEM# configure erfaceethernetunit/slot/portSYSTEM(config-if-eth)#dot1xport-controlautoforce-authorized|force-unauthorized|mac-表 2.3 802.1x的EAP2.2.4 缺省情况下，重认证周期为 3600 秒。启动定期重认证功能后，管理员可以通过命令 dot1x 表 2.3 802.1x的EAP2.2.4 缺省情况下，重认证周期为 3600 秒。启动定期重认证功能后，管理员可以通过命令 dot1x 2.4

15、配置定期重认证功能（Au anSYSTEM# configure erfaceethernetunit/slot/portSYSTEM(config-if-eth)#dot1xre-隔SYSTEM(config-if-eth)#dot1xtimeoutreauth-period1-802.1XEAP认证SYSTEM#dot1xauthenticationmodedefault|eap-SYSTEM# configure SYSTEM(config)#dot1xauthenticationmodedefault|eap- 2.2.5 802.1x 2.2.5 802.1x 2.5 配置静默周期（

16、在接口配置模式/port-channelno dot1x timeout quiet-periodAu anSYSTEM# configure erfaceethernetunit/slot/port802.1xSYSTEM(config-if-eth)#dot1xtimeoutquiet-period0-接口或者port-channelSYSTEM(config-if-eth)#SYSTEM(config)#SYSTEM#dot1xre-authenticatePORTLIST|port-1-602.2.6 设备向客户端发送EAPoLEAPRequest/Identitydot1xtimeo

17、ut602.2.6 设备向客户端发送EAPoLEAPRequest/Identitydot1xtimeouttx-period调整该超时时间，同时可以通过命令dot1xmax-req 表 复到缺省配置，即 30秒；通过命令 no dot1x max-req，可以将报文最大重传次数恢复到缺省配置，即 2Au anSYSTEM# configure erfaceethernetunit/slot/portEAPOL SYSTEM(config-if-eth)#dot1xtimeouttx-period1-EAPOLRequest/Identity报文的SYSTEM(config-if-eth)#d

18、ot1xmax-req1-2.2.7 设备向客户端发送hallenge 请求报文后，如果在指定的“客户端认证超时时间30dot1x timeout supp-timeout 2.7 配置客户端的认证超时时间（2.2.7 设备向客户端发送hallenge 请求报文后，如果在指定的“客户端认证超时时间30dot1x timeout supp-timeout 2.7 配置客户端的认证超时时间（ 302.2.8 设备向认证服务器发送RADIUS Au anSYSTEM# configure erfaceethernetunit/slot/port间SYSTEM(config-if-eth)#dot1x

19、timeoutsupp-timeout1-2.8 配置认证服务器的认证超时时间（在接口配置模式/port-channelnodot1xtimeoutserver-timeout 2.2.9 缺省情况下，某个端口或 port-channel 允许同时接入的最大用户数为 1024，管理员可以通过命令 2.8 配置认证服务器的认证超时时间（在接口配置模式/port-channelnodot1xtimeoutserver-timeout 2.2.9 缺省情况下，某个端口或 port-channel 允许同时接入的最大用户数为 1024，管理员可以通过命令 下2.9 配置端口允许接入的最大用户数（Au

20、anSYSTEM# configure erfaceethernetunit/slot/portSYSTEM(config-if-eth)#dot1xmax-user1-SYSTEM# configure erfaceethernetunit/slot/portSYSTEM(config-if-eth)#dot1xtimeoutserver-timeout1- 2.2.10 配置Guest端口启用了基于端口的 802.1x任802.1xGuestVLAN 2.2.10 配置Guest端口启用了基于端口的 802.1x任802.1xGuestVLAN 1）在指定时间（guest-vlan per

21、iod）Guest VLAN GuestVLAN加入Authe-FailVLAN（相关描述请参见 2.2.11 配置Auth-FailVLANAuth-FailVLAN于 的VLANGuest 令2.10 GuestVLAN（Au anSYSTEM# configure erfaceethernetunit/slot/port只有在基于端口的 802.1x 认证方式下（ 即配置了命令“dot1x auto，GuestVLANVLAN vlan 90 vlan 902.2.11 Auth-FailAuth-Fail VLAN 是指加入到 Guest VLAN Auth-FailVLAN 处于Au

22、th-FailVLANAuth-FailVLAN的VLAN配置Auth-Fail 2.11 配置Auth-FailVLAN（Au an只有在基于端口的 802.1x 认证方式下（ 即配置了命令“dot1x auto，Auth-FailVLANVLANGuest SYSTEM(config-if-eth)#dot1xguest-vlan2-VLANSYSTEM(config-if-eth)#dot1xtimeoutguest-vlan-60-在接口配置模式/port-channelno dot1x auth-fail vlanAuth-2.3 802.1x显示2.3.1 清除端口/port-ch

23、annel802.1x在接口配置模式/port-channelno dot1x auth-fail vlanAuth-2.3 802.1x显示2.3.1 清除端口/port-channel802.1x2.12 清除端口/port-channel802.1x2.3.2 802.1x2.13 802.1x2.3.3 查看所有端口/port-channel802.1x2.14 查看所有端口/port-channel802.1xAu an802.1xSYSTEM# show 或者指定port-channel802.1xSYSTEM# cleardot1xistics PORT|all|port-1-S

24、YSTEM# configure erfaceethernetunit/slot/portAuth-FailSYSTEM(config-if-eth)#dot1xauth-failvlan2-2.3.4 查看指定端口/port-channel802.1x2.15 查看指定端口/port-channel802.1x2.3.5 查看指定端口/port-channel802.1x2.162.3.4 查看指定端口/port-channel802.1x2.15 查看指定端口/port-channel802.1x2.3.5 查看指定端口/port-channel802.1x2.16 查看指定端口/port

25、-channel802.1x2.3.6 802.1x2.17 802.1xAu an802.1x息SYSTEM# show dot1xc port-channel的802.1x统SYSTEM# show dot1xisticsPORTLIST|port-1-port-channel的802.1x详SYSTEM#show dot1xdetailPORTLIST|port-channel1-port-channel的802.1x概SYSTEM# show dot1x2.3.7 802.1x的EAP2.18 802.1x的EAP2.3.8 802.1x2.19 802.1x2.3.7 802.1x的

26、EAP2.18 802.1x的EAP2.3.8 802.1x2.19 802.1x2.3.9 在当前接口/port-channel802.1x 的 2.20 在当前接口/port-channel802.1xAu anSYSTEM# configure erfaceethernet802.1xSYSTEM(config-if-eth)#showport-channel的802.1x定SYSTEM# show dot1x802.1xEAPSYSTEM#show dot1xauthenticationSYSTEM(config)#showdot1xauthenticationAu anAu an三配

27、置RADIUS客户 RADIUS3.1 RADIUS协议概 三配置RADIUS客户 RADIUS3.1 RADIUS协议概 ；RADIUS 回RADIUS。RADIUS 客户端和 RADIUS 3.1 Au an图 3.1 RADUIS1）用户主动发起连接请求，向RADIUS。 图 3.1 RADUIS1）用户主动发起连接请求，向RADIUS。 Reuest Reject Acept，Request/Start Response7） 用户主动请求断开连接， RADIUS 客户端向RADIUS 服务器发送计费停止请求报文Au anRequest/Stop 服务器向 Response/Stop3.

28、2 RADIUS配an 交换机可以作为 RADIUS Request/Stop 服务器向 Response/Stop3.2 RADIUS配an 交换机可以作为 RADIUS RADIUSRADIUSRADIUS认证服务器和RADIUSRADIUS过程，所以一台RADIUS作为RADIUS客户端an交换机的RADIUS配置主要包括：启用RADIUS计费功能；配置主、UDPRADIUS43.2.1 RADIUS认证由于RADIUS an交换机与RADIUSMD5算法来加密RADIUS。所以必须保证 an 交换机中配置的共享密钥和 RADIUS 认证服务器中配置的共享Au an一台RADIUS服务器

29、可以同时配置为RADIUS认证服务器和表 配置RADIUS认证定的RADIUS表 配置RADIUS认证定的RADIUS认证服务器（主认证服务器或者备用认证服务器3.2.2 RADIUS Au anSYSTEM#configure配置 RADIUS 认证服务器的 IP地址、端（默认1812）（可以配置多台SYSTEM(config)#radiusserverhostauthIPADDR0-encryptedSYSTEM(config)#radiusserverhostauthIPADDRRADIUSSYSTEM(config)#radiusserverhostauthIPADDRRADIUS（R

30、ADIUSSYSTEM(config)#radiusserverauthprimaryIPADDR|RADIUSSYSTEM(config)#radiusserverkeyauthIPADDR|SERVERNAMEencryptedan交换机与RADIUSMD5算法来加密RADIUS。所以必须保证 an 交换机中配置的共享密钥和 RADIUS 计费服务器中配置的共享表 an交换机与RADIUSMD5算法来加密RADIUS。所以必须保证 an 交换机中配置的共享密钥和 RADIUS 计费服务器中配置的共享表 配置RADIUSAu anSYSTEM#configureRADIUSSYSTEM(co

31、nfig)#radiusaccounting配置 RADIUS 计费服务器的 IP地址、端（默认1813）（可以配置多台SYSTEM(config)#radiusserverhostacctIPADDR0-encryptedSYSTEM(config)#radiusserverhostacctIPADDRRADIUSSYSTEM(config)#radiusserverhostacctIPADDRRADIUS（RADIUSSYSTEM(config)#radiusserveracctprimaryIPADDR|RADIUSSYSTEM(config)#radiusserverkeyacctIP

32、ADDR|SERVERNAMEencrypted一台RADIUS服务器可以同时配置为RADIUS认证服务器和定的RADIUS计费服务器（主计费服务器或者备用计费服务器3.2.3 RADIUSanRADIUS定的RADIUS计费服务器（主计费服务器或者备用计费服务器3.2.3 RADIUSanRADIUSRADIUS请求报文（认证的超时重传时间内，仍然没有收到RADIUS3.3 配置RADIUSno server timeoutRADIUS33.2.4 RADIUS请求报文的最大传送次数（用于主备服务器切换如果RADIUS服务器在报文超时重传时间内没有响应设备的请求报文an 交换机将向 RADI

33、US RADIUSradiusserverretransmit来配置该RADIUS当 an交换机传送RADIUS请求报文的次数超过设定的最大传送次数但是RADIUS服务器仍然没 Au anSYSTEM#configure配置RADIUS 请求报文SYSTEM(config)#radiusservertimeout1-3.4 配置RADIUSno radius server retransmitRADIUS43.2.5 配置发送RADIUSA3.4 配置RADIUSno radius server retransmitRADIUS43.2.5 配置发送RADIUSAu serverattribu

34、te44RADIUS报文时使用的源地址，以便发送 3.5 配置发送RADIUSnoradiusserverattribute4attribute43.3 RADIUS3.3.1 RADIUS3.6 清除RADIUSAu anSYSTEM#configure配置发送RADIUS 报文SYSTEM(config)#radiusserverattribute4SYSTEM#configure配置RADIUS 请求报文SYSTEM(config)#radiusserverretransmit1-3.3.2 RADIUS3.7 查看RADIUS3.3.3 RADIUS3.8 查看RADIUS3.3.4 3.9 3.3.2 RADIUS3.7 查看RADIUS3.3.3 RADIUS3.8 查看RADIUS3.3.4 3.9 3.3.5 3.10 Au anSYSTEM#showradiusserversname SYSTEM#showradiusserversauthSYSTEM#showradiusSYSTEM#configureSYSTEM(config)#showradius查看RADIUS 的全局配SYSTEM#showRADIUSSYSTEM#clearradius3.3