8021x基础培训.ppt

1、唐炳河 KF0628 2006-11-24 修订 低端交换机测试部,802.1X 基础培训,培训目的,了解802.1x基本概念及协议 了解802.1x相关功能及应用 学会802.1x基本配置,802.1x基本概念简介 802.1x认证方式 EAP和RADIUS协议介绍 802.1x配置实例 802.1x相关特性 测试中遇到的问题和体会,内容介绍,1、802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题， 但由于它的原理对于所有符合IEEE 802标准的局域网具有普适性，因此后来它在有线局域网中也得到了广泛的应用。

2、该协议是IEEE在2001.6通过的正式标准，标准的起草者包括Microsoft，Cisco，Extreme，Nortel等； 2、IEEE 802.1x定义了基于端口的网络接入控制协议（port based network access control），其中端口可以是物理端口，也可以是逻辑端口，对于无线局域网来说 “端口”就是一条信道。 3、802.1x认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authenticati

3、on Protocol over LANs）通过。,802.1x的背景,802.1X基本概念简介,802.1x和其它认证的比较,801.1x优势较为明显，是理想的低成本运营解决方案。适用于接入设备与 接入端口间点到点的连接方式，实现对局域网用户接入的认证与服务管理，常 用于运营管理相对简单，业务复杂度较低的企业以及园区。,802.1X基本概念简介,受控端口是802.1x系统的核心概念 1、 认证系统Autheticator内部有受控端口（Controlled Port）和非受控端口（Uncontrolled Port） 1）非受控端口始终处于双向连通状态，不必经过任何授权就可以访问或传递网络资

4、源和服务；受控端口则反之，必须经过授权才能访问或传递网络资源和服务。启动802.1X的端口就是受控端口，用户通过认证获得授权。 2）受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用环境。双向受控对受控端口的输入流和输出流都进行控制，在端口未授权前，两个方向的流量都不能通过受控端口。输入受控仅对端口的输入流进行控制，不管端口是否授权，出端口流量不受限制。 3) 目前我们的交换机上的实现仅支持输入受控。,802.1x的核心概念,802.1X基本概念简介,802.1x的核心概念（续）,802.1X基本概念简介,2、端口接入控制的模式（目前我司设备有以下三种）： Authorized-f

5、orce：常开模式 端口一直维持控制模式，下挂用户无需认证过程就可访问网络资源 Auto：协议控制模式 初始状态为非授权状态，仅允许EAPOL报文收发。802.1X认证通过后，将此端口状态切换到授权状态，这时用户才可访问网络资源 Unauthorized-force：常关模式 端口一直维持非授权状态，忽略所有客户端发起的认证请求，用户不能访问网络资源。,802.1x的核心概念（续）,配置命令： Quidwaydot port-control ? authorized-force Port authorized unconditionally auto Authorized status con

6、trolled by Finite State Machine unauthorized-force Port unauthorized unconditionally,802.1X基本概念简介,3、端口接入控制方式（目前我司设备支持以下两种） ： Macbased ： 基于MAC地址的认证方式 对共用同一个物理端口的多个用户分别进行认证控制，限制同时使用同一个物理端口的用户数目（限制MAC地址数目），但不指定MAC地址，让系统根据先到先得原则进行MAC地址学习，系统将拒绝超过限制数目的请求，若有用户退出，则可以覆盖已退出的MAC地址。 只有认证通过的用户可以访问网络资源。 Portbased

7、：基于PORT的认证方式 仅对使用同一物理端口的任何一个用户进行认证（仅对一个用户进行认证，认证过程中忽略其他用户的认证请求），认证通过后其他用户也就可以利用该物理端口访问网络资源。,802.1x的核心概念（续）,配置命令： Quidwaydot port-method ? macbased Method based on MAC address portbased Method based on port,802.1X基本概念简介,802.1x的体系结构,802.1X基本概念简介,IEEE 802.1x的体系结构中包括三个部分： Supplicant System-接入系统；即认证客户端 A

8、uthenticator System-认证系统；即NAS(Network Access Server） Authentication Sever System-认证服务器。 802.1x体系与设备软件对应关系 接入系统（如PC）需要安装802.1x客户端软件，例如Windows XP的802.1x客户端,我司提供的802.1x客户端； NAS(如交换机)需要实现 802.1x的认证系统功能 认证服务器系统一般驻留在运营商的AAA中心，典型的是传统的Radius服务器。如windows2k/2003自带的Radius服务器。 PAE: 端口认证实体(port access entity) 认证

9、机制中负责处理算法和协议的实体。,802.1x的体系结构（续）,802.1X基本概念简介,802.1x的认证过程,认证前端口起dot1x，此时端口相当于受控关闭状态，只允许 EAP0L报文通过802.1x通过EAP帧承载认证信息进行认证 （此处用PAP的认证方式讲解认证过程）： 首先客户端发起认证 (EAPOL-START) 设备向客户端进行用户名请求(EAPOL-Request/Identity) 客户端回应认证用户名(EAPOL-Reponse) 设备向客户端进行密码请求(EAPOL-Request/PAssword) 客户端回应密码(EAPOL-Request/PAssword) 设备收

10、到后将用户名和密码映射到RADIUS报文传给服务器 服务器进行用户名和密码等属性判断都符合后回应设备认证成功(否则返回拒绝，设备再发failue报文给客户端) 如果设备配置了计费这时将向服务器发送计费请求 服务器判断传递过来的属性，符合后就回应设备计费成功等信息(否则返回拒绝，设备再发failue报文给客户端) 设备接收到计费回应后发success报文给交换机 至此认证通过，端口被打开，用户可以通过端口访问外部资源如果此时端口起了握手功能，设备将定期和客户端进行握手交互，检测客户端是否在线，如果不在线就会发logoff通知用户下线，端口又被关闭,802.1X基本概念简介,802.1x与AAA和

11、RADIUS的关系,802.1x、AAA、RADIUS三者不是一个概念，但在实际使用中又紧密联系 、802.1x是基于端口的网络接入控制协议（前面已讲过），它提供了一个用户身份认证的实现方案，但是仅仅依靠802.1x是不足以实现该方案的接入设备的管理者还要对AAA方法进行配置，选择使用RADIUS或本地认证方法，以配合802.1x完成用户的身份认证。 、AAA的概念 ）AAA的组成 认证(Authentication): 认证用户是否可以获得访问权。 授权(Authorization) : 授权用户可以使用哪些服务。 计费(Accounting) : 给使用网络资源的用户进行计费 ）AAA的作

12、用 AAA是一种管理框架，它提供了验证，授权和计费三种安全功能。AAA的配置实际上是对网络安全（访问控制）的一种管理。包括哪些用户可以访问网络服务器？具有访问权的用户可以得到哪些服务？如何对正在使用网络资源的用户进行计费。在实践中，人们最常使用RADIUS协议来实现AAA。,802.1X基本概念简介,802.1x与AAA和RADIUS的关系（续）,、RADIUS的概念 ）RADIUS 的定义 RADIUS是Remote Authentication Dial In User Service （远程认证拨号用户服务）的简称。它是一种分布式的c/s系统，能提供AAA功能。RADIUS技术可以保护网

13、络不受未授权访问的干扰，常被用在既要求较高性能，又要求维持远程用户访问的各种网络环境中。 ）RADIUS服务包括三部分： 协议：RFC2865、2866协议基于UDP/IP层定义了RADIUS帧格式及消息传输机制，并定义了1812作为认证端口，1813作为计费端口。（我司交换机作服务器时仍常用老端口号1645和1646） 服务器：RADIUS服务器运行在中心计算机或工作站上，包含了相关的用户认证和网络服务访问信息。 客户端：位于拨号访问服务器设备侧（如交换机）。 RADIUS基于C/S模型。设备（如交换机）作为RADIUS客户端，负责传输用户信息到指定的RADIUS服务器，然后根据从服务器返回

14、的信息进行相应处理（如接入/挂断用户）。RADIUS服务器负责接收用户连接请求，认证用户，然后给设备返回所有需要的信息。,802.1X基本概念简介,802.1x与AAA和RADIUS的关系（续）,业务控制体系模型及流程,802.1X基本概念简介,决定用户采用的认证、计费、授权方案以及该域支持的业务。,完成接入认证协议的状态管理和维护、消息转换。,根据用户所在域，调用域控制模块提供的接口，确定该域所使用的认证授权计费方案，将用户的认证授权计费消息发送到的相应的认证授权计费协议队列。,802.1x基本概念简介 802.1x认证方式 EAP和RADIUS协议介绍 802.1x配置实例 802.1x相

15、关特性 测试中遇到的问题和体会,内容介绍,认证方式,1、认证方式种类： PAP、CHAP、EAP(MD5-Challenge、EAP_TLS、PEAP等) 2、对认证服务器的兼容支持 1）第一种是802.1x标准规定的，将EAP承载在其他高层协议中，如ERPOR(EAP over Radius)，以便EAP报文穿越复杂的网络到达认证服务器 ，,这种方式称为EAP Relay或中继方式。优点是LANSWITCH设备处理更简单，支持更多的认证方式；缺点是认证服务器必须支持EAP。 （ MD5-Challenge，EAP_TLS，PEAP ） 2）第二种是VRP平台802.1x子系统扩展的，将EAP

16、在LANSWITCH设备终结并映射到Radius报文，利用Radius协议完成认证和计费，这种方式称为EAP终结方式。优点是认证服务器无需升级，现有的Radius Server可以继续使用；缺点是LANSWITCH设备处理更复杂。（我司实现CHAP，PAP ）,802.1X认证方式,配置命令： Quidwaydot authentication-method ? chap CHAP(Challenge Handshake Authentication Protocol) authentication method.Its default. eap EAP(Extensible Authenti

17、cation Protocol) authentication method(support eap-tls, eap-md5, peap) pap PAP(Password Authentication Protocol) authentication method,PAP 认证方式,1、PAP验证原理： 1) PAP即密码验证协议（ Password Authentication Protocol） 2) 密码通过明文的方式传输 用户以明文的形式把用户名和他的密码传递给路由器。 使用本地认证时，NAS会根据用户名在NAS端查找本地数据库，如果存在相同的用户名和密码表明验证通过,否则表明验证

18、未通过。如果使用远程认证，NAS会把信息传到server上进行验证。,802.1X认证方式,PAP 认证方式（续）,2、PAP认证过程,802.1X认证方式,CHAP 认证方式,1、CHAP验证原理 1)CHAP即质询握手验证协议（Challenge Handshake Authentication Protocol） 2) 密码是通过密文方式 当用户请求上网时，NAS产生一个16字节的随机码给用户（同时还有一个ID号，本地路由器的 hostname）。用户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密，生成一个response传给NAS。如果使用本地验证，NAS根据用户名在NAS

19、端查找本地数据库，得到和用户端进行加密所用的一样的密码，然后根据原来的16字节的随机码进行加密，将其结果与Response作比较，如果相同表明验证通过，如果不相同表明验证失败。如果使用远程认证，则信息送到server上进行验证。,802.1X认证方式,CHAP 认证方式（续）,2、CHAP认证过程,802.1X认证方式,EAP认证方式,1、EAP验证原理 1）EAP即扩展验证协议（Extensible Authentication Protocol），见RFC2284定义 2）这种认证方式的质询和计算过程交由服务器完成，从一定程度上减轻了设备的负担。至于具体采用的质询和算法视认证机制而定， E

20、AP 支持多种认证机制：Eap-Md5、 Eap-TLS、Eap-TTLS、 PEAP等。 3）我司设备COMWAREV500R002目前支持Eap-Md5、 Eap-TLS、 PEAP。,802.1X认证方式,EAP-Md5,EAP-Md5认证过程,802.1X认证方式,EAP-TLS,EAP-TLS原理： 是一种基于用户证书的身份验证，客户端和RADIUS服务器端通过EAP-TLS（Transport Layer Security，传输层安全）认证方法检查彼此的安全证书，保证双方的正确性，防止网络数据被盗窃。 相互的身份验证方法 传统认证方法： 服务器验证客户端的合法性 双向认证： 客户端

21、也要验证服务器的合法性 远程访问客户端发送其用户证书，而远程访问服务器发送其计算机证书 如果其中一个证书未发送或无效，则连接将中断,802.1X认证方式,EAP-TLS 认 证 过 程,802.1X认证方式,PEAP原理： PEAP即受保护的扩展认证协议（Protected Extensible Authentication Protocol），首先创建和使用TLS安全通道来进行完整性保护，然后进行另一种EAP类型的新的EAP协商，从而完成对客户端的身份验证。 增强了安全性： EAP提供了身份验证灵活性，但是整个EAP会话可能被当作明文（未加密）来发送。因此使用PEAP增强了安全性。,PEAP

22、,802.1X认证方式,PEAP 认 证 过 程,802.1X认证方式,PEAP 认 证 过 程(THE TLS-Channel Estabilished 部分),802.1X认证方式,802.1x基本概念简介 802.1x认证方式 EAP和RADIUS协议介绍 802.1x配置实例 802.1x相关特性 测试中遇到的问题和体会,内容介绍,协议的运用,802.1x通过EAP帧承载认证信息进行认证 客户端PAE与设备端PAE之间 利用EAP协议交换认证信息，EAP报文使用EAPOL封装格式，直接承载于LAN环境中. 在设备端PAE与RADIUS服务器之间 EAP中继方式 （EAP透传, eap认

23、证方式） 设备端PAE负责客户端和RADIUS服务器之间EAP报文的中继转发 将EAPOR报文重新封装成EAPOL报文客户端 将EAPOL报文重新封装成EAPOR报文RADIUS服务器 中继转发过程中报文中的信息禁止被修改。(eap属性) ； EAP终结方式：由设备端PAE进行终结，而在设备端PAE与RADIUS服务器之间传送包含PAP协议或CHAP协议属性的报文,EAP和RADIUS协议介绍,Code,Identifier,Length,Type,Data,Code：EAP类型 1： Request (eap-request) 2： Response (eap-response) 3： Su

24、ccess (eap-success) 4： Failure (eap-failure) Identifier： 目的是将request报文和response报文对应起来,字节数： 1 2 1 1 N,EAP 协议,1、EAP：扩展验证协议（Extensible Authentication Protocol） 2、EAP数据包帧格式,EAP和RADIUS协议介绍,EAP 协议,Length： 为Code，Identifier，Length，Type和Data Type总字节长度 Type报文类型： Type1Identifier Type2Notification Type3Nak（Resp

25、onse Only） Type4MD5-Challenge Type5One-Time Password (OTP) Type6Generic Token Card,EAP和RADIUS协议介绍,EAPOL概念： 一种封装技术，EAP over LAN，支持客户端PAE和设备端PAE在LAN环境中进行EAP报文的交换。 目前，EAPOL有802.3/Ethernet 和Token Ring/FDDI两种封装。 EAPOL 帧的目的MAC：,EAPOL封装,EAP和RADIUS协议介绍,EAPOL帧格式:,PAE Ethernet Type: 888e Protocol Version: 1 P

26、acket Type: 0 EAP-Packet 1 EAPOL-Start 2 EAPOL-Logoff 3 EAPOL-Key Packet Body Length: EAP数据帧长度 Packet Body: EAP数据帧内容,当Packet Type为EAPOL-Start或EAPOL-Logoff时，Packet Body部分无特定内容，用全“0”填充。,Packet Type,Packet Body Length,Packet Body,Protocol Version,PAE Ethernet Type,EAPOL封装（续）,字节数 2 1 1 2 N,EAPOL frame f

27、ormat for 802.3/Ethernet,EAP和RADIUS协议介绍,EAPOL报文形式,EAP和RADIUS协议介绍,RADIUS协议,1、RADIUS定义 RADIUS 是Remote Authentication Dial In User Service （远程认证拨号用户服务）的简称。它是一种分布式的c/s系统，能提供AAA功能。RADIUS技术可以保护网络不受未授权访问的干扰，常被用在既要求较高性能，又要求维持远程用户访问的各种网络环境中。 2、RADIUS使用的协议 RADIUS基于标准RFC2865，2866协议在UDP/IP层定义了其帧格式及消息传输机制，并定义181

28、2为认证端口，1813为计费端口。（我司交换作服务器常用的是1645和1646） 3、 RADIUS协议的报文结构,EAP和RADIUS协议介绍,RADIUS协议（续）,Code 1 Access- request 2 Access- accept 3 Access- reject 4 Accounting-request 5 Accounting-response 11 Access-challenge Identifier 用于匹配请求包和回应包。 Length 所有域（code、 Identifier Length、 Authenticator）的长度。 Authenticator 16

29、 字节长。用于验证RADIUS服务器传回来的请求以及密码隐藏算法上。,EAP和RADIUS协议介绍,RADIUS协议 （续）,4、RADIUS报文的Attribut域 目前我们交换机所支持的RADIUS属性有两种：标准的RADIUS属性，以及HUAWEI的扩展属性。（属性定义依据的协议有RFC2865,RFC2866,RFC2869,华为公司宽带产品 RADIUS协议标准，RADIUS+1.1协议说明书、RADIUS+1.0协议说明书）,EAP和RADIUS协议介绍,EAPOR封装,1、 实现方式 EAPOR即 EAP over RADIUS，是通过为RADIUS添加两个新属性EAP-Mess

30、age和Message-Authenticator来实现对EAP的支持。 以便EAP报文穿越复杂的网络到达认证服务器。 Type：与EAP相关的属性值分配 79 EAP-Message 80 Message-Authenticator Length：指明三元组的总长度 Value：格式和长度由Type域和Length域的取值决定对认证服务 器的兼容支持,EAP和RADIUS协议介绍,EAPOR封装（续）,2、EAP-Message属性 设备端PAE（RADIUS Clinet)从客户端接收到EAP报文后，将它封装在一个或多个EAP-Message属性中，作为Access-Request的一部分

31、转发给RADIUS服务器。RADIUS服务器可以在Access-Challenge，Access-Accept或Access-Reject报文中返回EAP-Message属性 Access-Accept或Access-Reject报文中包含且只包含一个EAP-Message属性，此属性中包含EAP-Success或EAP-Failure （注意：Accept或Reject报文可以不包含EAP packet或者含有的不是success或failure，因为设备端是根据Radius的Accept或Reject报文来决定端口授权状态，因此，这种情况允许，但是，设备端必须要向客户端发一个EAP Suc

32、cess或EAP Failure报文以通知认证的授权状态） 3、Message-Authenticator属性 用于保护所有携带EAP-Message属性的Access-Request、Access-Challenge、Access-Accept和Access-Reject报文 如果带有EAP-Message属性的报文中不包含Message-Authenticator 属性，该报文必须被丢弃。,EAP和RADIUS协议介绍,EAPOR报文,EAP和RADIUS协议介绍,802.1x基本概念简介 802.1x认证方式 EAP和RADIUS协议介绍 802.1x配置实例 802.1x相关特性 测试

33、中遇到的问题和体会,内容介绍,组网需求,远程认证 在交换机Ethernet 1/0/1认证； 基于MAC地址的接入控制； 使用CHAP认证方法； 所有AAA接入用户都属于一个缺省的域：cams； 该域最多可容纳30个用户； 两台IP地址分别为和CAMS服务器，要求前者作主认证/主计费服务器，后者作备份认证/备份计费服务器；服务器使用的认证端口号是1812,计费端口号是1813 设置认证系统与RADIUS服务器的认证和计费交互报文协商密钥为“huawei” ； 指示用户名带域传给传给服务器； 设置系统每15分钟就向RADIUS服务器发送一次实时计费报文，服务器没有

34、响应时重发计费报文的最大次数是6次 。,802.1X配置实例,组网图,802.1X配置实例,交换机上配置,#全局和端口使能dot1x： DUTdot1x DUTdot interface Ethernet 1/0/1 #配置802.1x用户认证方法和端口控制方式 DUTdot port-method macbased interface e1/0/1 DUTdot authentication-method chap #配置radius： DUTradius scheme new DUT-radius-newprimary authentication DUT-radius-

35、newprimary accounting DUT-radius-newsecondary authentication DUT-radius-newsecondary accounting DUT-radius-newserver-type huawei DUT-radius-newuser-name-format with-domain DUT-radius-newkey authentication huawei /和CAMS上设的一致。 DUT-radius-newkey accounting huawei /和CAMS上设的一致。

36、 DUT-radius-newtimer realtime-accounting 15 DUT-radius-newretry realtime-accounting 6 DUT-radius-newnas-ip 0 /假设设备的上行ip地址为0 注：设备和认证客户端的交互是在二层上完成的,而设备与服务器的交互则是基于传输层，所以必须保证设备可以ping通服务器。,802.1X配置实例,交换机上配置（续）,#配置domain： DUTdomain cams DUT-isp-camsauthentication lan-access radius-scheme n

37、ew DUT-isp-camsauthorization lan-access radius-scheme new DUT-isp-camsaccounting lan-access radius-scheme new DUT-isp-camsaccess-limit enable 30 DUTdomain default enable cams 附注： 现有的认证方案组合中支持以下6种： Radius -使用radius server验证 Hwtacacs-使用hwtacacs server验证 Local-使用本地设备认证 None-不认证 radius local先用radius,再使用

38、local hwtacacs local-先用hwtacacs,再使用local AAA分离后，V5目前的实现： 可以单独进行认证，不计费 可以进行认证授权，不计费 可以同时进行认证授权和计费 RADIUS的授权信息携带在认证报文里，因此认证和授权指向的radiusschme必须相同。 这和hwtacacs（认证授权和计费可以分离）是不同的。,802.1X配置实例,服务器上配置,2.服务器主要配置: 设置NAS-ip；添加服务；用户开户并指定使用的服务,802.1X配置实例,客户端配置,在客户端软件上填写刚才配置的用户名和密码，选择正确的网卡就可进行认证了,802.1X配置实例,802.1x基

39、本概念简介 802.1x认证方式 EAP和RADIUS协议介绍 802.1x配置实例 802.1x相关特性 测试中遇到的问题和体会,内容介绍,802.1X相关特性列表,我司产品802.1x还有以下特性（当然有些特性在某些产品可能不支持）： 握手机制 代理检测 版本检测 消息透传 重认证 ACCOUNTINGON DHCPLAUNCH 动态绑定 GUEST VLAN 动态VLAN下发 SmartOn 其它特性简介,802.1X相关特性,握手机制,功能 用来定期检测用户是否还在线，如果设备握手请求超过重传次数客户端不给回应则会将该用户踢下线 命令配置 Quidway-Ethernet1/0/1do

40、t handshake DUTdot timer handshake-period ? INTEGER Value of parameter (unit: second), default is 15s NEC版本没有握手机制（因为NEC客户端不支持握手机制），国内版本有握手机制（该功能是自己扩展的，非标准协议） 如果没有握手机制，当用户非正常下线（即客户端软件不发logoff下线请求通知设备的情况，比如停掉网卡等），服务器会继续计费，除非用别的特性来避免，比如重认证,802.1X相关特性,重认证,功能 类似握手功能，客户端可以周期性的进行认证，以确保用户正常在线。重认证分为两种认证形式：客户

41、端主动发起重认证和服务器周期的下发重认证 命令配置 DUTdot1x re-authenticate ? interface Select interface to re-authenticate DUTdot timer reauth-period ? INTEGER Number of seconds between re-authentication attemps, the default is 3600 seconds,802.1X相关特性,代理检测,功能： 检测通过代理登录交换机的用户，supp-proxy-check trap是发告警信息， supp-proxy-check lo

42、goff是将用户踢下线。检测的参数包含： 禁用代理服务器 禁用IE设置代理 禁用多网卡 命令配置： 使能握手，全局和端口使能supp-proxy-check DUTdot supp-proxy-check logoff Access request(s) denied trap Presentation by trap information DUT-Ethernet1/0/1dot handshake DUT-Ethernet1/0/1dot supp-proxy-check ? logoff Access request(s) denied trap Presentation by tra

43、p information 注：目前我司实现（v5）是通过客户端在握手回应时通过报文把检测信息传递给交换机，交换机直接处理EAP握手回应报文对应数值： #define DOT1X_PROXYCHK_DETECTED 0 x36 /* 54:检测到用户通过proxy上网 */ #define DOT1X_PROXYCHK_MULITNETCARD 0 x37 /* 55:多网卡 */ #define DOT1X_PROXYCHK_HTTPPROXY 0 x38 /* 56:浏览器中设置了代理 */ 0000: 00 E0 FC 39 28 20 00 0D 88 F7 77 50 88 8E 0

44、1 00 .9( .wP. 0010: 00 11 02 03 00 11 14 37 15 04 3C 10 01 02 61 61 .7.aa 0020: 40 61 61 00 00 00 00 00 00 00 00 00 00 00 00 00 aa. 0030: 00 00 00 00 00 00 00 00 00 00 00 00 .,802.1X相关特性,版本检测,功能： 起了该功能后，交换机会对接入用户的802.1x客户端的版本和合法性进行验证，以防止使用有缺陷的老版本客户端或者非法客户端的用户上网。 命令配置： DUTdot1x version-check int e0/1

45、 Version-Check is enabled on port Ethernet0/1 DUTdot1x retry-version-max ? INTEGERValue of parameter (unit:times),default is 3 版本检测过程： 设备首先向客户端发送一个“版本请求”报文 客户端应将当前版本信息携带在回应报文中 ，设备保存版本信息 向CAMS发送RADIUS认证请求报文时，将版本信息连同Identity和MD5 Password一起携带在RADIUS请求报文中的hw-User-Notify扩展属性中，由CAMS完成最后的版本检测 注：该功能需要与cams服

46、务器配合使用，在cams服务器上需要配置版本检测功能以及版本检测门限 且仅对华为客户端生效，但别的客户端也能认证通过；如果改用别的RADIUS服务器，则该功能失效，但客户端能认证通过。,802.1X相关特性,ACCOUNTINGON,功能： 一旦交换机异常重启，该功能能够给服务器发送用户下线信息（计费停止报文），通知服务器停止计费。当交换机收到服务器 回应的计费停止报文后，停止发送计费accounting-on报文。 命令配置： 在radius scheme视图下 3026C-radius-newaccounting-on enable 3026C-radius-newaccounting-o

47、n enable interval 4 3026C-radius-newaccounting-on enable send 10 缺点：在交换机收到服务器回应的计费停止报文之前，用户不能进行认证。,802.1X相关特性,动态绑定,功能： dynamic-binding-user动态绑定功能目的是实现用户认证成功后的动态绑定，相对于以前的cams动态绑定，本功能模块实现了绑定功能的自动化，本功能是将用户IP、mac、vlan和port绑定在一起，此绑定是通过认证交换机动态下发acl（用户看不到该acl规则）来实现的。 命令配置： S3026Edot1x dynamic-binding-user

48、enable S3026Edhcp-snooping,802.1X相关特性,GUEST VLAN,功能： 交换机端口下起Guest Vlan ，全局和端口起dot1x后，过一定时间（eap多播报文发送间隔*重发次数(dot time retry设定)，GuestVlan生效，该端口划分到guestvlan指定的vlan，访问该vlan下的资源不需要认证。但如果想访问别的VLAN资源仍需要进行802.1x认证。 交换机配置： DUTdot guest-vlan 2 ? interface Specify interface configuration information 注：目前v5平台能支

49、持在每个端口下分别设置一个guest-vlan； 只支持基于port-method认证方式； 尚不支持在trunk口和hybrid口上guestvlan生效；,802.1X相关特性,动态VLAN下发,功能： 用户认证成功后，可以动态下发vlan，将认证端口划分到某个vlan，从而实现用户互相隔离或者实现不同的权限 RFC2868中有字符串vlan下发标准。 动态vlan下发的三个属性（在服务器上配置）： 1、Tunnel-Type = VLAN(6) -64 2、Tunnel-Medium-Type = IEEE-802 -65 3、Tunnel-Private-Group-ID = Vlan

50、 ID/Name -81 注：目前V5平台不支持命名vlan下发，服务器配置时必须配置成（1-4094），格式可以是十进制或者字符串，不支持16进制格式，且目前尚不支持在trunk口和Hybrid口上下发动态vlan。,802.1X相关特性,SmartOn认证过程,SmartOn 针对NEC客户端增加的特性，使能SmartOn后必须是NEC 的客户端才能认证成功。 在普通认证请求之前增加了SwitchID 和Password的验证。 配置命令： QX-S3020TPsmarton switchid nec QX-S3020TPsmarton password simple 123 QX-S30

51、20TP-Ethernet1/0/1smarton 在全局和认证端口使能dot1x， 之后在交换机上的配置跟普通的802.1x认证配置一样。另外客户端需把switchid和password写入注册表， 客户端软件为NEC的1x Gate客户端。,802.1X相关特性,SmartOn认证过程（续）,802.1X相关特性,其它特性,1、消息透传： 消息透传指的是在cams设置了特定字符串，当用户dot1x认证成功后，此时交换机 将此字符串传给客户端，管理者也可以主动向在线的用户下发特定的消息 ，（该功能与华为的客户端、华为认证服务器CAMS配合 ） DUTmessenger time enable

52、 2、 DHCPLAUNCH：设置允许DHCP触发认证 DUTdot dhcp-launch 3、 quiet timer：主备倒换辅助功能 DUT-radius-newtimer quiet ? INTEGER The value for quiet time, default is 5 (unit: minute) 4、nas-ip功能：目的是指定不同用户使用不同的上行IP地址，本功能主要针对三层交换机而言 DUTradius nas-ip ? X.X.X.X Source IP address DUTradius scheme new DUT-radius-newnas-ip ? X.X

53、.X.X Source IP address 在radius scheme视图下配置的比全局视图下配置的高。 5. dot quiet-period :认证失败后再认证时静默时间 DUTdot quiet-period DUTdot timer quiet-period,802.1X相关特性,802.1x基本概念简介 802.1x认证方式 EAP和RADIUS协议介绍 802.1x配置实例 802.1x相关特性 测试中遇到的问题和体会,内容介绍,测试中遇到的问题和体会,1、常见的认证失败原因分析 很多同学在测试过程中最容易遇到的是认证不成功，这时候到底是设备的问题还是配置的问题？这里提供一些常

54、见的失败原因，供分析使用： 1）没有在全局和端口同时使能dot1x 2）客户端和交换机二层链路不通，或者交换机ping不通服务器。 3）端口控制方式设置被设成authorized-force和unauthorized-force。 4）. 目前设备(交换机)做认证服务器时不支持EAP认证方式，例如本地认证时就不能用 EAP认证方式 5）在switch1中radius方案设置的认证和计费的key与服务器上不一致。 6）. 服务器是否带要求带域,如果要求则在radius方案里要配置成带域，反则则反，注： 对eap认证方式不起作用，eap认证方式时客户端传什么就原封不动传给服务器 7）在radius

55、方案设置的认证和计费服务器端口号不正确，设备做认证服务器时采用 1645，1646，若是使用远程radius服务器则一般是1812,1813（有些服务器上可更 改，如CAMS）. 8）. 使用的用户类型不匹配，一般需要lan-access用户，在CAMS的系统配置里可以更 改，2000 Radius Server则在策略里进行匹配。,测试中遇到的问题和体会,9). 交换机上传的NAS-IP和服务器上设置nas-ip不匹配 10). 用户没有余额或用户被加入黑名单（cams上可以查看） 11). 认证客户端软件的问题，换一个客户端软件试试。 12). 认证服务器的问题，例如CAMS里有一功能“立

56、即生效”不能成功时，服务器不可用，有时则是用户没有费用，有时则是用户在但是就是不可用。 可以用2000/2003自带的服务器试试，此服务器一般不存在问题。 13). 全局和端口起了SMARTON的不能用普通的客户端进行认证,须用NEC的客户端。 14). 端口起了mac 认证后不能进行802.1x认证.(和mac认证是冲突的). 15).配置了静态mac后不能进行802.1x认证(只针对静态mac和1xmac改成冲突的产品）。 16).另外有些认证不成功是因为服务器或者客户端做了一些特殊配置，而设备尚不支持 的问题，这时最好跟开发确认，比如目前v5尚不支持在trunk和hybrid口下发动态

57、vlan 。 建议：在分析失败原因时最好打开debbeg开关，通过分析eap和radius报文一般就能判断是哪里出的问题。 deb radius packet deb dot1x packet terminal debugging,测试中遇到的问题和体会,2.如何使用windows2000/2003RADIUS做Ftp/Telnet/SSH 进行登陆。 在服务器的远程访问策略里进行配置（高级里添加属性 ）： #define Login_Service 15 /*Login业务类型- 0 Telnet， 1 Rlogin， 2 TCP Clear， 3 PortMaster 4 LAT 如下两个

58、为huawei公司定义 50 SSH 51 FTP */ . . .,测试中遇到的问题和体会,3.如何在服务器上下发各个厂商的私有属性。 在服务器的远程访问策略里进行配置（高级里添加属性26号属性）： #define Vendor_Specific 26 /制造商自定义属性 #define RD_ASCENDIPPOOL 218 代码中定义的华为的扩展属性 #define RD_hw_Vendor_ID 2011 #define RD_HUAWEI_ATTR 1000 #define hw_Input_Peak_Rate (RD_HUAWEI_ATTR+1) #define hw_Input_Average_Rate (RD_HUAWEI_ATTR+2) #define hw_Input_Basic_Rate (RD_HUAWEI_ATTR+3) #define hw_Output_Peak_Rate (RD_HUAWEI_ATTR+4) #define