18-802.1x操作
本章节下载 (325.99 KB)
目 录
IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1x协议。后来,802.1x协议作为局域网端口的一个普通接入控制机制用在以太网中,主要解决以太网内认证和安全方面的问题。
802.1x协议是一种基于端口的网络接入控制(Port Based Network Access Control)协议。“基于端口的网络接入控制”是指在局域网接入控制设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源——相当于连接被物理断开。
使用802.1x的系统为典型的Client/Server体系结构,包括三个实体:Supplicant System(客户端)、Authenticator System(设备端)以及Authentication Server System(认证服务器),如图1-1所示。
图1-1 802.1x认证系统的体系结构
l 客户端是位于局域网段一端的一个实体,由连接到该链接另一端的设备端对其进行认证。客户端一般为一个用户终端设备,用户通过启动客户端软件发起802.1x认证。客户端软件必须支持EAPOL(EAP over LANs,局域网上的EAP)协议。
l 设备端是位于局域网段一端的一个实体,用于对连接到该链接另一端的客户端进行认证。设备端通常为支持802.1x协议的网络设备(如H3C系列交换机),它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口。
l 认证服务器是为设备端提供认证服务的实体。认证服务器用于实现用户的认证、授权和计费,通常为RADIUS服务器。该服务器可以存储用户的相关信息,例如用户的账号、密码以及用户所属的VLAN、优先级、用户的访问控制列表等。
三个实体涉及如下四个基本概念:端口PAE、受控端口、受控方向和端口受控方式。
PAE是认证机制中负责执行算法和协议操作的实体。设备端PAE利用认证服务器对需要接入局域网的客户端执行认证,并根据认证结果相应地控制受控端口的授权/非授权状态。客户端PAE负责响应设备端的认证请求,向设备端提交用户的认证信息。客户端PAE也可以主动向设备端发送认证请求和下线请求。
设备端为客户端提供接入局域网的端口,这个端口被划分为两个虚端口:受控端口和非受控端口。
l 非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,保证客户端始终能够发出或接受认证。
l 受控端口在授权状态下处于连通状态,用于传递业务报文;在非授权状态下处于断开状态,禁止传递任何报文。
l 受控端口和非受控端口是同一端口的两个部分;任何到达该端口的帧,在受控端口与非受控端口上均可见。
在非授权状态下,受控端口可以被设置成单向受控:实行单向受控时,禁止从客户端接收帧,但允许向客户端发送帧。
默认情况下,受控端口实行单向受控。
H3C系列交换机支持以下两种端口受控方式:
l 基于端口的认证:只要该物理端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,当第一个用户下线后,其他用户也会被拒绝使用网络。
l 基于MAC地址认证:该物理端口下的所有接入用户都需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
IEEE 802.1x认证系统利用EAP(Extensible Authentication Protocol,可扩展认证协议)协议,作为在客户端和认证服务器之间交换认证信息的手段。
图1-2 802.1x认证系统的工作机制
l 在客户端PAE与设备端PAE之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN环境中。
l 在设备端PAE与RADIUS服务器之间,EAP协议报文可以使用EAPOR封装格式(EAP over RADIUS),承载于RADIUS协议中;也可以由设备端PAE进行终结,而在设备端PAE与RADIUS服务器之间传送PAP协议报文或CHAP协议报文。
l 当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE根据RADIUS服务器的指示(Accept或Reject)决定受控端口的授权/非授权状态。
EAPOL是802.1x协议定义的一种报文封装格式,主要用于在客户端和设备端之间传送EAP协议报文,以允许EAP协议报文在LAN上传送。格式如图1-3所示。
图1-3 EAPOL数据包格式
PAE Ethernet Type:表示协议类型,802.1x分配的协议类型为0x888E。
Protocol Version:表示EAPOL帧的发送方所支持的协议版本号。
Type:
EAP-Packet(值为00),认证信息帧,用于承载认证信息;
EAPOL-Start(值为01),认证发起帧;
EAPOL-Logoff(值为02),退出请求帧;
EAPOL-Key(值为03),密钥信息帧;
EAPOL-Encapsulated-ASF-Alert(值为04),用于支持ASF(Alerting Standards Forum)的Alerting消息。
Length:表示数据长度,也就是“Packet Body”字段的长度。如果为0,则表示没有后面的数据域。
Packet Body:根据不同的Type有不同的格式。
其中,EAPOL-Start,EAPOL-Logoff和EAPOL-Key仅在客户端和设备端之间存在;在设备端和认证服务器之间,EAP-Packet报文重新封装承载于RADIUS协议上,以便穿越复杂的网络到达认证服务器;EAPOL-Encapsulated-ASF-Alert封装与网管相关的信息,例如各种警告信息,由设备端终结。
当EAPOL数据包格式Type域为EAP-Packet时,Packet Body为EAP数据包结构,如图1-4所示。
图1-4 EAP数据包格式
Code:指明EAP包的类型,一共有4种:Request,Response,Success,Failure。
Identifier:辅助进行Response和Request消息的匹配。
Length:EAP包的长度,包含Code、Identifier、Length和Data的全部内容。
Data:由Code决定。
Success和Failure类型的包没有Data域,相应的Length域的值为4。
Request和Response类型的Data域的格式如下。
图1-5 Request和Response类型的Data域的格式
Type:指出EAP的认证类型。其中,值为1时,代表Identity,用来查询对方的身份;值为4时,代表MD5-Challenge,类似于PPP CHAP协议,包含质询消息。
Type Data:Type Data域的内容随不同类型的Request和Response而不同。
RADIUS为支持EAP认证增加了两个属性:EAP-Message(EAP消息)和Message-Authenticator(消息认证码)。RADIUS协议的报文格式请参见“AAA-RADIUS-HWTACACS-EAD操作手册”中的RADIUS协议简介部分。
EAP-Message属性用来封装EAP数据包,如图1-6所示,类型代码为79,string域最长为253字节,如果EAP数据包长度大于253字节,可以对其进行分片,依次封装在多个EAP-Message属性中。
图1-6 EAP-Message属性封装
Message-Authenticator可以用于在使用CHAP、EAP等认证方法的过程中,避免接入请求包被窃听。在含有EAP-Message属性的数据包中,必须同时包含Message-Authenticator,否则该数据包会被认为无效而丢弃。格式如图1-7所示。
H3C S7500系列交换机支持EAP终结方式和EAP中继方式进行认证。
这种方式是IEEE 802.1x标准规定的,将EAP协议承载在其他高层协议中,如EAP over RADIUS,以便扩展认证协议报文穿越复杂的网络到达认证服务器。一般来说,EAP中继方式需要RADIUS服务器支持EAP属性:EAP-Message(值为79)和Message-Authenticator(值为80)。
EAP中继方式有三种认证方法:EAP-MD5、EAP-TLS(Transport Layer Security,传输层安全)和PEAP(Protected Extensible Authentication Protocol,受保护的扩展认证协议):
l EAP-MD5:验证客户端的身份,RADIUS服务器发送MD5加密字(EAP-Request/MD5 Challenge报文)给客户端,客户端用该加密字对口令部分进行加密处理。
l EAP-TLS:验证客户端和RADIUS服务器端双方的身份,通过EAP-TLS认证方法检查彼此的安全证书,保证双方的正确性,防止网络数据被盗窃。
l PEAP:首先创建和使用TLS安全通道来进行完整性保护,然后进行新的EAP协商,从而完成对客户端的身份验证。
以下以EAP-MD5方式为例介绍基本业务流程,如图1-8所示。
图1-8 IEEE 802.1x认证系统的EAP中继方式业务流程
认证过程如下:
l 当用户有上网需求时打开802.1x客户端,输入已经申请、登记过的用户名和口令,发起连接请求(EAPOL-Start报文)。此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。
l 交换机收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity报文)要求用户的客户端程序发送输入的用户名。
l 客户端程序响应交换机发出的请求,将用户名信息通过数据帧(EAP-Response/Identity报文)送给交换机。交换机将客户端送上来的数据帧经过封包处理后(RADIUS Access-Request报文)送给RADIUS服务器进行处理。
l RADIUS服务器收到交换机转发的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字通过RADIUS Access-Challenge报文传送给交换机,由交换机传给客户端程序。
l 客户端程序收到由交换机传来的加密字(EAP-Request/MD5 Challenge报文)后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的,生成EAP-Response/MD5 Challenge报文),并通过交换机传给RADIUS服务器。
l RADIUS服务器将加密后的口令信息(RADIUS Access-Requeset报文)和自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息(RADIUS Access-Accept报文和EAP-Success报文)。
l 交换机将端口状态改为授权状态,允许用户通过该端口访问网络。
l 客户端也可以发送EAPoL-Logoff报文给交换机,主动终止已认证状态,交换机将端口状态从授权状态改变成未授权状态。
& 说明:
由于EAP中继方式对报文的内容不做改动,如果要采用PEAP、EAP-TLS或者EAP-MD5这三种认证方法之一,需要在客户端和RADIUS服务器上选择一致的认证方法,而在交换机上,只需要通过dot1x authentication-method eap命令启动EAP中继方式即可。
这种方式将EAP报文在设备端终结并映射到RADIUS报文中,利用标准RADIUS协议完成认证和计费。
对于EAP终结方式,交换机与RADIUS服务器之间可以采用PAP或者CHAP认证方法。以下以CHAP认证方法为例介绍基本业务流程,如下图所示。
图1-9 IEEE 802.1x认证系统的EAP终结方式业务流程
EAP终结方式与EAP中继方式的认证流程相比,不同之处在于用来对用户口令信息进行加密处理的随机加密字由交换机生成,之后交换机会把用户名、随机加密字和客户端加密后的口令信息一起送给RADIUS服务器,进行相关的认证处理。
802.1x认证过程中会启动多个定时器以控制接入用户、交换机以及RADIUS服务器之间进行合理、有序的交互。802.1x的定时器主要有以下几种:
l 传送超时定时器(tx-period):以下两种情况Authenticator设备启动tx-period定时器:其一是在客户端主动发起认证的情况下,当交换机向客户端发送单播Request/Identity请求报文后,交换机启动该定时器,若在该定时器设置的时长内,交换机没有收到客户端的响应,则交换机将重发认证请求报文;其二是为了对不支持主动发起认证的802.1x客户端进行认证,交换机会在启动802.1x功能的端口不停地发送组播Request/Identity报文,发送的间隔为tx-period。
l 客户端认证超时定时器(supp-timeout):当交换机向客户端发送了Request/Challenge请求报文后,交换机启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,交换机将重发该报文。
l RADIUS服务器超时定时器(server-timeout):若在该定时器设置的时长内,RADIUS服务器未成功响应,交换机将重发认证请求报文。
l 握手定时器(handshake-period):此定时器是在用户认证成功后启动的,交换机以此间隔为周期发送握手请求报文,以定期检测用户的在线情况。如果dot1x retry命令配置重试次数为N,则如果交换机连续N次没有收到客户端的响应报文,就认为用户已经下线。
l reauth-period:重认证超时定时器。在该定时器设置的时长内,Supplicant设备会发起802.1X重认证。
l 静默定时器(quiet-period):对用户认证失败以后,交换机需要静默一段时间(该时间由静默定时器设置)后,用户可以再重新发起认证,在静默期间,交换机不处理认证功能。
l ver-period:客户端版本请求超时定时器。若在该定时器设置的时长内,Supplicant设备未成功发送版本应答报文,则Authenticator设备将重发版本请求报文。
S7500交换机除了支持前面所述的802.1x特性外,还支持如下特性:
l 与CAMS服务器配合,实现代理检测功能(检测使用代理登陆、用户使用多网卡等);
l 客户端版本检测功能;
l Guest VLAN功能。
交换机的802.1x代理检测特性包括:
l 检测使用代理服务器登录的用户;
l 检测使用IE代理服务器登录的用户;
l 检测用户是否使用多网卡(即用户登录时,其PC上处于激活状态的网卡超过一个)。
当交换机发现以上任意一种情况时,可以采取以下控制措施:
l 切断用户连接,并发送Trap报文(使用命令dot1x supp-proxy-check logoff配置);
l 只发送Trap报文,不切断用户连接(使用命令dot1x supp-proxy-check trap配置)。
此功能的实现需要802.1x客户端和CAMS的配合:
l 802.1x客户端需要具备检测用户是否使用多网卡、代理服务器或者IE代理服务器功能;
l CAMS上开启认证客户端禁用多网卡、禁用代理服务器或者禁用IE代理服务器功能。
802.1x客户端默认关闭防止使用多网卡、代理服务器或IE代理服务器功能,如果CAMS打开防多网卡、代理或IE代理功能,则在用户认证成功时,CAMS会下发属性通知802.1x客户端打开防多网卡、代理或IE代理功能;
& 说明:
l 该功能的实现需要H3C 802.1x客户端程序(iNode)的配合。
l 对于检测通过代理登录的用户功能,需要在CAMS上也启用该功能,同时需要在交换机上启用客户端版本检测功能(通过命令dot1x version-check配置)
在交换机上启动了对802.1x客户端的版本验证功能后,交换机会对接入用户的802.1x客户端软件的版本和合法性进行验证,以防止使用有缺陷的老版本客户端或者非法客户端的用户上网。
启用客户端版本检测功能后,如果在客户端版本检测定时器设置的时长内,客户端未成功发送版本应答报文,则交换机将重发版本请求报文。
& 说明:
该功能的实现需要H3C 802.1x客户端程序(iNode)的配合。
Guest VLAN能够允许未认证用户访问某些资源。
在实际应用中,如果用户在没有安装802.1x客户端的情况下,需要访问某些资源;或者在用户未认证的情况下升级802.1x客户端,这些情况可以通过开启Guest VLAN功能来解决。
Guest VLAN的功能开启后:
l 交换机将在所有开启802.1x功能的端口发送多播触发报文;
l 如果达到最大发送次数后,仍有端口尚未返回响应报文,则交换机将该端口加入到Guest VLAN中;
l 之后属于该Guest VLAN中的用户访问该Guest VLAN中的资源时,不需要进行802.1x认证,但访问外部的资源时仍需要进行认证。
通常,Guest VLAN功能与动态VLAN下发功能配合使用。
动态VLAN下发功能的具体介绍,请参见“AAA-RADIUS-HWTACACS-EAD操作手册”中的配置部分。
802.1x提供了一个用户身份认证的实现方案,为了实现此方案,除了配置802.1x相关命令外,还需要在交换机上配置AAA方案,选择使用RADIUS或本地认证方案,以配合802.1x完成用户身份认证:
图1-10 802.1x配置示意图
l 802.1x用户通过域名和交换机上配置的ISP域相关联。
l 配置ISP域使用的AAA方案,包括本地认证方案和RADIUS方案。
l 如果采用RADIUS方案,通过远端的RADIUS服务器进行认证,则需要在RADIUS服务器上配置相应的用户名和密码,然后在交换机上进行RADIUS客户端的相关设置。
l 如果采用本地认证方案,则需要在交换机上手动添加认证的用户名和密码,当用户使用和交换机中记录相同的用户名和密码,启动802.1x客户端软件进行认证时,就可以通过认证。
l 也可以配置交换机先采用RADIUS方案,通过RADIUS服务器进行认证,如果RADIUS服务器无效,则使用本地认证。
AAA方案的具体配置细节,请参见“AAA-RADIUS-HWTACACS-EAD操作手册”中的配置部分。
802.1x基本功能的配置任务包括802.1x特性配置中涉及的基本配置,完成本节的配置就可以使用802.1x特性。
以下各项配置除了“开启802.1x特性”任务外,其余配置则是可选的,用户可以根据各自的具体需求决定是否进行这些配置。
l 配置ISP域及其使用的AAA方案,选择使用RADIUS或者本地认证方案,以配合802.1x完成用户的身份认证。
l 配置本地认证时,本地用户的服务类型(service-type)必须配置为lan-access。
表1-1 配置802.1x基本功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启全局的802.1x特性 |
dot1x |
必选 缺省情况下,全局的802.1x特性为关闭状态 |
开启端口的802.1x特性 |
系统视图下 dot1x [ interface interface-list ] |
必选 缺省情况下,端口的802.1x特性均为关闭状态 |
端口视图下 dot1x |
||
设置端口接入控制的模式 |
dot1x port-control { authorized-force | unauthorized-force | auto } [ interface interface-list ] |
可选 缺省情况下,802.1x在端口上进行接入控制的模式为auto |
设置端口接入控制方式 |
dot1x port-method { macbased | portbased } [ interface interface-list ] |
可选 缺省情况下,802.1x在端口上进行接入控制方式为macbased,即基于MAC地址进行认证 |
设置802.1x用户的认证方法 |
dot1x authentication-method { chap | pap | eap } |
可选 缺省情况下,交换机采用EAP终结方式的CHAP认证方法 |
启动802.1x用户重认证功能 |
系统视图下 dot1x re-authenticate [ interface interface-list ] |
可选 缺省情况下,所有端口的802.1x重认证特性都处于关闭状态 |
端口视图下 dot1x re-authenticate |
注意:
l 802.1x的各项配置任务都可以在系统视图下完成。其中,设置端口接入控制的模式、设置端口接入控制方式还可以在端口视图下进行配置。
l 在系统视图下,当没有指定任何确定的端口时,是对所有端口进行相关配置。在以太网端口视图下使用配置命令时,不能输入interface-list参数,仅对当前端口进行配置。
l 必须同时开启全局和端口的802.1x特性后,802.1x的配置才能生效。
l 在交换机上启动802.1x重认证功能可以通过dot1x re-authenticate命令实现,也可以通过RADIUS服务器实现,当服务器向交换机发送的Access-Accept报文中Termination-Action属性设置为1时,交换机对接入的用户进行周期性的重新认证。
表1-2 配置802.1x的定时器及接入用户的最大数目
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
设置端口同时接入用户数量的最大值 |
系统视图下 dot1x max-user user-number [ interface interface-list ] |
可选 缺省情况下,所有的端口上都允许同时最多有1024个接入用户 |
端口视图下 dot1x max-user user-number |
||
设置认证请求帧的最大可发送次数 |
dot1x retry max-retry-value |
可选 缺省情况下,max-retry-value为2,即设备最多可向接入用户发送2次认证请求帧 |
配置定时器参数 |
dot1x timer { handshake-period handshake-period-value | reauth-period reauth-period-value | quiet-period quiet-period-value | tx-period tx-period-value | supp-timeout supp-timeout-value | server-timeout server-timeout-value | ver-period ver-period-value } |
可选 缺省情况下,handshake-period-value为15秒,reauth-period-value为3600秒,quiet-period-value为60秒,tx-period-value为30秒,supp-timeout-value为30秒,server-timeout-value为100秒,ver-period-value为30秒 |
打开quiet-period定时器 |
dot1x quiet-period |
可选 缺省情况下,quiet-period定时器处于关闭状态 |
& 说明:
l dot1x max-user命令还可以在端口视图下进行配置。在系统视图下,当没有指定任何确定的端口时,是对所有端口进行相关配置。在端口视图下使用此命令时,不能输入interface-list参数,仅对当前端口进行配置。
l 一般情况下,建议保持802.1x定时器的缺省值。
l 在交换机上设置重认证定时器可以通过dot1x reauth-period命令实现,也可以通过RADIUS服务器实现,当服务器向交换机发送Termination-Action属性值为1的Access-Accept报文时,交换机将按照Access-Accept报文中的Session-timeout的取值作为认证周期。对于这两种方式,在实际认证过程中,交换机采用最后取得的时间作为认证周期。
802.1x的应用特性的各项配置都是可选的,包括如下配置任务:
l 配置802.1x与CAMS配合应用的特性:检测客户端使用多网卡、代理等;
l 配置客户端版本检测功能;
l 配置允许DHCP触发认证
l 配置Guest VLAN功能。
802.1x基本功能已经配置完成
此功能的实现需要802.1x客户端和CAMS的配合:
l 802.1x客户端需要具备检测用户是否使用多网卡、代理服务器或者IE代理服务器功能;
l CAMS上开启认证客户端禁用多网卡、禁用代理服务器或者禁用IE代理服务器功能。
802.1x客户端默认关闭防止使用多网卡、代理服务器或IE代理服务器功能,如果CAMS打开防多网卡、代理或IE代理功能,则在用户认证成功时,CAMS会下发属性通知802.1x客户端打开防多网卡、代理或IE代理功能;
表1-3 配置用户的代理检查功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启全局的代理检测功能 |
dot1x supp-proxy-check { logoff | trap } |
必选 缺省情况下,全局的802.1x代理检测特性都处于关闭状态 |
开启端口的代理检测功能 |
系统视图下 dot1x supp-proxy-check { logoff | trap } [ interface interface-list ] |
必选 缺省情况下,端口的802.1x代理检测特性都处于关闭状态 |
端口视图下 dot1x supp-proxy-check { logoff | trap } |
& 说明:
l 该功能的实现需要H3C 802.1x客户端程序(iNode)的配合。
l 对于检测通过代理登录的用户功能,需要在CAMS上也启用该功能,同时需要在交换机上启用客户端版本检测功能(通过命令dot1x version-check配置)。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
启动对802.1x客户端的版本验证功能 |
dot1x version-check [ interface interface-list ] |
必选 缺省情况下,所有端口的802.1X客户端版本检测特性都处于关闭状态 |
设置交换机向客户端发送版本验证请求帧的最大次数 |
dot1x retry-version-max max-retry-version-value |
可选 缺省情况下,可重复向客户端发送版本请求帧的最大次数为3次 |
配置版本验证的超时定时器 |
dot1x timer ver-period ver-period-value |
可选 缺省情况下,ver-period-value为30秒 |
& 说明:
dot1x version-check命令还可以在端口视图下进行配置。在系统视图下,当没有指定任何确定的端口时,是对所有端口进行相关配置。在端口视图下使用此命令时,不能输入interface-list参数,仅对当前端口进行配置。
通过如下配置,802.1x允许设备在接入用户运行DHCP、申请动态IP地址时就触发对其的身份认证。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
允许DHCP触发认证 |
dot1x dhcp-launch |
可选 缺省情况下,不允许DHCP触发对接入用户的身份认证 |
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
设置端口接入控制方式 |
dot1x port-method portbased |
必选 缺省情况下,802.1x在端口上进行接入控制方式为基于MAC地址进行认证 |
开启Guest VLAN功能 |
dot1x guest-vlan vlan-id [ interface interface-list ] |
必选 缺省情况下,Guest VLAN功能处于关闭状态 |
注意:
l 只有在端口认证方式下,交换机才可以支持Guest VLAN功能。
l 一台交换机只能配置一个Guest VLAN。
在完成上述配置后,在任意视图下执行display命令可以显示配置802.1x后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除802.1x的统计信息。
表1-7 802.1x配置的显示和维护
操作 |
命令 |
说明 |
显示802.1x的配置信息、运行情况和统计信息 |
display dot1x [ sessions | statistics ] [ interface interface-list ] |
display命令可以在任意视图下执行 |
清除802.1x的统计信息 |
reset dot1x statistics [ interface interface-list ] |
reset命令在用户视图下执行 |
l 要求在各端口上对用户接入进行认证,以控制其访问Internet;接入控制模式要求是基于MAC地址的接入控制。
l 所有接入用户都属于一个缺省的域:example.com,该域最多可容纳30个用户;认证时,先进行RADIUS认证,如果RADIUS服务器没有响应再转而进行本地认证;计费时,如果RADIUS计费失败则切断用户连接使其下线;此外,接入时在用户名后不添加域名,正常连接时如果用户有超过20分钟流量持续小于2000Bytes的情况则切断其连接。
l 由两台RADIUS服务器组成的服务器组与交换机相连,其IP地址分别为10.11.1.1和10.11.1.2,前者作为主认证/备份计费服务器,后者作为备份认证/主计费服务器;设置系统与认证RADIUS服务器交互报文时的加密密码为“name”、与计费RADIUS服务器交互报文时的加密密码“money”,设置系统在向RADIUS服务器发送报文后5秒种内如果没有得到响应就向其重新发送报文,重复发送报文的次数总共为5次,设置系统每15分钟就向RADIUS服务器发送一次实时计费报文,指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。
l 本地802.1x接入用户的用户名为localuser,密码为localpass,使用明文输入,闲置切断功能处于打开状态。
图1-11 启动802.1x和RADIUS对接入用户进行AAA操作
& 说明:
下述各配置步骤包含了大部分AAA/RADIUS协议配置命令,对这些命令的介绍,请参见“AAA-RADIUS-HWTACACS-EAD操作手册”中的配置部分。此外,客户端和RADIUS服务器上的配置略。
# 开启全局802.1x特性。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] dot1x
# 开启指定端口Ethernet 2/0/1的802.1x特性。
[H3C] dot1x interface Ethernet 2/0/1
# 设置接入控制方式(该命令可以不配置,因为端口的接入控制在缺省情况下就是基于MAC地址的)。
[H3C] dot1x port-method macbased interface Ethernet 2/0/1
# 创建RADIUS方案radius1并进入其视图。
[H3C] radius scheme radius1
# 设置主认证/计费RADIUS服务器的IP地址。
[H3C-radius-radius1] primary authentication 10.11.1.1
[H3C-radius-radius1] primary accounting 10.11.1.2
# 设置备份认证/计费RADIUS服务器的IP地址。
[H3C-radius-radius1] secondary authentication 10.11.1.2
[H3C-radius-radius1] secondary accounting 10.11.1.1
# 设置系统与认证RADIUS服务器交互报文时的加密密码。
[H3C -radius-radius1] key authentication name
# 设置系统与计费RADIUS服务器交互报文时的加密密码。
[H3C-radius-radius1] key accounting money
# 设置系统向RADIUS服务器重发报文的时间间隔与次数。
[H3C-radius-radius1] timer 5
[H3C-radius-radius1] retry 5
# 设置系统向RADIUS服务器发送实时计费报文的时间间隔。
[H3C-radius-radius1] timer realtime-accounting 15
# 指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。
[H3C-radius-radius1] user-name-format without-domain
[H3C-radius-radius1] quit
# 创建域example.com并进入其视图。
[H3C] domain example.com
# 指定radius1为该域用户的RADIUS方案,若RADIUS服务器无效,则使用本地认证方案。
[H3C-isp-example.com] scheme radius-scheme radius1 local
# 设置该域最多可容纳30个用户。
[H3C-isp-example.com] access-limit enable 30
# 启动闲置切断功能并设置相关参数。
[H3C-isp-example.com] idle-cut enable 20 2000
[H3C-isp-example.com] quit
# 配置域example.com为缺省用户域。
[H3C] domain default enable example.com
# 添加本地接入用户。
[H3C] local-user localuser
[H3C-luser-localuser] service-type lan-access
如果交换机上启动了802.1x协议,交换机会对启动了802.1x的端口进行授权认证,只允许经过授权的端口转发报文。此时如果连接交换机的端口没有进行802.1x的授权和认证,所有的报文将会被过滤,使用户无法对下挂的交换机进行管理。HABP(Huawei Authentication Bypass Protocol)特性可以解决这个问题。
HABP报文携带下挂交换机的MAC地址等信息。交换机上启动了HABP特性之后,HABP报文将会忽略端口上的802.1x认证,在交换机之间进行通信,从而使管理设备可以获取下挂交换机的MAC地址,对下挂的交换机进行管理。
HABP包括HABP Server和HABP Client。一般情况下,Server会定期向Client发送HABP请求报文,收集下挂交换机的MAC地址。而Client会对请求报文进行应答,同时向下层交换机转发HABP请求报文。HABP Server一般应该在管理设备上启动,HABP Client应该在下挂的交换机上启动。
如果交换机上启动了802.1x,建议用户启动HABP特性,以便对交换机进行管理。
启动了HABP Server以后,管理设备就会向下挂的交换机发送HABP请求报文,收集下挂交换机的MAC地址,以方便对下挂交换机的管理。发送HABP请求报文的时间间隔也是在管理设备上进行配置的。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能HABP特性 |
habp enable |
必选 缺省情况下,HABP特性处于使能状态 |
配置当前交换机为HABP Server |
habp server vlan vlan-id |
必选 缺省情况下,交换机的HABP特性工作在Client模式下,但必须使能HABP Server才可以对Client进行管理 |
配置发送HABP请求报文的时间间隔 |
habp timer interval |
可选 缺省情况下,交换机发送HABP请求报文的时间间隔为20秒 |
HABP Client在下挂的交换机上启动。交换机上启动HABP特性后,交换机缺省情况下就运行在HABP Client模式下。因此本配置只要在交换机上启动HABP特性即可。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能HABP特性 |
habp enable |
可选 缺省情况下,HABP特性处于开启状态。 启动了HABP特性之后,HABP特性即工作在Client模式下 |
在完成上述配置后,在任意视图下执行display命令都可以显示配置后HABP特性的运行情况。用户可以通过查看显示信息验证配置的效果。
表2-3 HABP显示和维护
操作 |
命令 |
说明 |
显示HABP特性的配置信息和状态 |
display habp |
display命令可以在任意视图下执行 |
显示HABP的MAC地址表的信息 |
display habp table |
|
显示HABP报文的统计信息 |
display habp traffic |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!