03-802.1X典型配置案例
本章节下载 (1.31 MB)
关键词:802.1x,AAA
摘 要:本文主要介绍以太网交换机的802.1x功能在具体组网中的应用配置,对所涉及到的802.1x客户端、交换机、AAA服务器等角色,分别给出了详细的配置步骤。
缩略语:AAA(Authentication,Authorization and Accounting,认证、授权和计费)
& 说明:
本章中的802.1x功能适用于H3C S7500系列以太网交换机。
IEEE 802协议定义的局域网不提供接入认证,一般来说,只要用户接入局域网就可以访问网络上的设备或资源。但是对于如电信接入、写字楼、局域网以及移动办公等应用场合,网络管理者希望能对用户设备的接入进行控制和配置,为此产生了基于端口或用户的网络接入控制需求。
802.1x协议是一种基于端口的网络接入控制(Port Based Network Access Control)协议。802.1x作为一种基于端口的用户访问控制机制,由于其低成本、良好的业务连续性和扩充性以及较高的安全性和灵活性,受到了设备制造商、各大网络运营商和最终用户的广泛支持和肯定。
l 开启全局的802.1x特性
l 设置时间参数
l 设置认证请求帧的最大可重复发送次数
l 打开静默定时器功能
l 打开设备重启用户再认证功能
l 开启端口dot1x
l 配置Guest VLAN功能
l 配置端口允许的最大用户数
l 端口接入控制方式(基于端口或基于MAC)
l 端口接入控制模式(强制授权、非强制授权、自动)
l 客户端版本检测
l 代理检测
l 只有全局和端口均开启dot1x特性后,dot1x的配置才会生效。
l 在启用dot1x功能前,可以配置设备或以太网端口的dot1x相关参数,但这些配置并不生效;启用dot1x功能后,提前配置的dot1x相关参数才生效。
l 关闭dot1x功能后,交换机上配置的dot1x相关参数仍被保留;当dot1x功能重新启动后,以前所做的这些dot1x相关配置依然生效。
要实现802.1x功能,需要对接入用户、交换机、认证/授权服务器三个部分进行正确配置。
l 接入用户端:保证用户PC使用正确的客户端。
l 交换机:需要进行802.1x配置和AAA相关配置。
l 认证/授权服务器:需要进行正确的配置。
下面仅介绍交换机上所需的802.1x相关配置命令,其他配置请参见相关设备手册。
表2-1 802.1x相关功能配置命令
功能 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启全局的802.1x特性 |
dot1x |
必选 缺省情况下,全局的802.1x特性为关闭状态 |
开启端口的802.1x特性 |
系统视图下 dot1x [ interface interface-list ] |
必选 缺省情况下,端口的802.1x特性均为关闭状态,只有端口和全局802.1x特性均开启,802.1x的相应配置才能生效 |
端口视图下 dot1x |
||
设置端口接入控制方式 |
系统视图下 dot1x port-method { macbased | portbased } [ interface interface-list ] |
可选 缺省情况下,802.1x在端口上进行接入控制方式为macbased。 使用Guest VLAN功能时必须保持portbased的接入控制方式 |
端口视图下 dot1x port-method { macbased | portbased } |
||
开启Guest VLAN功能 |
系统视图下 dot1x guest-vlan vlan-id [ interface interface-list ] |
可选 缺省情况下,Guest VLAN功能处于关闭状态。配置为Guest VLAN的vlan-id必须事先已经创建 |
端口视图下 dot1x guest-vlan vlan-id |
& 说明:
不同型号的设备,配置的细节或显示信息会稍有差异,这里以H3C S7500系列交换机(软件版本为Release 3135)为例。
某企业网的管理者希望在交换机各端口上对用户接入进行认证,以控制用户对相应资源的访问,详细网络应用需求分析如表3-1所示。
网络需求 |
相关设备所需配置 |
接入用户受控,必须通过认证才能访问网络 |
启动802.1x特性 |
用户未通过认证时,只能受限访问网络VLAN 10 |
启用Guest VLAN功能 |
用户通过认证后,可以访问网络VLAN 100 |
动态VLAN下发配置 |
计费方式为50元包月,其访问网络的带宽为2M |
在RADIUS Server上设置计费策略、带宽限制策略 |
用户上线后将IP与Mac进行绑定 |
MAC+IP绑定功能设置 |
在线闲置20分钟后,服务器强制切断用户连接 |
启用闲置用户切断功能 |
设备无预警重启后,在线用户可以重新认证并成功 |
图3-1 典型企业网应用组网图
# 设置RADIUS方案cams,设置主备服务器。
<H3C> system-view
[H3C] radius scheme cams
[H3C-radius-cams] primary authentication 192.168.1.19
[H3C-radius-cams] primary accounting 192.168.1.19
[H3C-radius-cams] secondary authentication 192.168.1.20
[H3C-radius-cams] secondary accounting 192.168.1.20
# 设置系统与认证Radius服务器交互报文时加密密码为expert,与计费Radius服务器交互报文的加密密码为expert。
[H3C-radius-cams] key authentication expert
[H3C-radius-cams] key accounting expert
# 设置用户名为带域名格式。
[H3C-radius-cams] user-name-format with-domain
# 服务类型为extended。
[H3C-radius-cams] server-type extended
# 配置设备重启用户再认证功能。
[H3C-radius-cams] accounting-on enable
# 定义ISP域abc,并配置认证采用RADIUS方案cams。
[H3C] domain abc
[H3C-isp-abc] radius-scheme cams
# 配置动态VLAN下发模式。
[H3C-isp-abc] vlan-assignment-mode integer
[H3C-isp-abc] quit
# 将ISP域abc设置为缺省ISP域。
[H3C] domain default enable abc
# 用户接入端口启用Guest VLAN功能
[H3C] vlan 10
[H3C-Ethernet3/0/3] dot1x port-method portbased
[H3C-Ehternet3/0/3] dot1x guest-vlan 10
# 全局启用802.1x
[H3C] dot1x
# 端口启用dot1x
[H3C] dot1x interface Ethernet3/0/3
# 使用display命令可以查看关于802.1x,AAA相关参数配置。
[H3C] display dot1x interface ethernet3/0/3
Equipment 802.1x protocol is enabled
CHAP authentication is enabled
DHCP-launch is disabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
Guest Vlan is enabled
Configuration: Transmit Period 30 s, Handshake Period 15 s
ReAuth Period 003600 s
Quiet Period 60 s, Quiet Period Timer is disabled
Supp Timeout 30 s, Server Timeout 100 s
Interval between version requests is 30s
maximal request times for version information is 3
The maximal retransmitting times 2
Total maximum 802.1x user resource number is 4096
Total current used 802.1x resource number is 0
Ethernet3/0/3 is link-up
802.1x protocol is enabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
Guest Vlan: 10
Version-Check is disabled
The port is a(n) authenticator
Authentication Mode is Auto
Port Control Type is Port-based
ReAuthenticate is disabled
Max on-line user number is 1024
Authentication Success: 0, Failed: 0
EAPOL Packets: Tx 0, Rx 0
Sent EAP Request/Identity Packets : 0
EAP Request/Challenge Packets: 0
Received EAPOL Start Packets : 0
EAPOL LogOff Packets: 0
EAP Response/Identity Packets : 0
EAP Response/Challenge Packets: 0
Error Packets: 0
Controlled User(s) amount to 0
[H3C] display radius cams
SchemeName =cams Index=1 Type=extended
Primary Auth IP =192.168.1.19 Port=1812
Primary Acct IP =192.168.1.19 Port=1813
Second Auth IP =192.168.1.20 Port=1812
Second Acct IP =192.168.1.20 Port=1813
Auth Server Encryption Key= expert
Acct Server Encryption Key= expert
Accounting method = required
Accounting-On packet enable, send times = 40 , interval = 3s
TimeOutValue(in second)=3 RetryTimes=3 RealtimeACCT(in minute)=12
Permitted send realtime PKT failed counts =5
Retry sending times of noresponse acct-stop-PKT =500
Quiet-interval(min) =5
Username format =with-domain
Data flow unit =Byte
Packet unit =1
[H3C] display domain abc
The contents of Domain abc:
State = Active
RADIUS Scheme = cams
Access-limit = Disable
Vlan-assignment-mode = Integer
accounting-mode = time
Domain User Template:
Idle-cut = Disable
Self-service = Disable
Messenger Time = Disable
CAMS认证/授权、计费服务器的配置,主要由以下四个部分组成:创建计费策略、创建服务类型、添加用户信息、接入网段及协议配置。
本文所述CAMS综合访问服务器的版本为V1.20(标准版)。
(1) 在登录页面输入正确的用户名、密码登录CAMS服务器
图3-2 CAMS登录页面
(2) 登录成功后页面如图所示:
图3-3 CAMS首页面
(1) 进入计费策略页面
登录CAMS服务器配置平台,点击左侧的“资费管理”下的“计费策略”,进入“计费策略管理”界面,如图所示。
图3-4 计费策略管理页面
从列表中可以看到已有的计费策略,可以选择对已有计费策略进行“查询”、“修改”或“复制”。
(2) 创建计费策略
点击“计费策略管理”界面上方的“增加”按钮:新建“包月计费”的计费策略。
图3-5 计费策略基本信息页面
(3) 点击下一步:选择“按时长计费”,计费周期“月为周期”,周期内固定费用“50元每月”。
图3-6 计费属性设置页面
点击完成,成功添加新的计费策略“包月计费”。
(1) 进入服务配置界面
登录CAMS服务器配置平台,点击左侧的“服务管理”下的“服务配置”,进入“服务配置”界面,如图所示。
图3-7 服务配置页面
从列表中可以看到已有的服务类型,可以选择对已有服务类型进行“查询”、“修改”或“删除”。
(2) 创建服务类型
点击“服务配置”界面上方的“增加”按钮:新建服务名为“abc”的服务类型,服务后缀名为“abc”。计费策略为“包月计费”,上下行速率限制为2M(2048Kbps),认证成功后下发VLAN 100。认证绑定选择绑定用户IP和绑定用户MAC地址。
图3-8 增加服务页面
点击确定,成功添加服务类型。
(1) 进入用户帐户界面
登录CAMS服务器配置平台,点击左侧的“用户管理”的“帐号用户”,进入“帐户管理”界面。
图3-9 用户帐户界面
从列表中可以看到已有的帐户用户,可以选择对已有帐户用户进行维护。
(2) 创建用户帐户
选择页面上方“增加”:用户为info,密码为info,用户姓名为Bruce,预付费用户,预付金额 100 元。并添加 绑定的用户IP地址、网卡MAC地址,在线数量限制为1,最大闲置时长 20分钟。
在“服务信息”一栏,选择服务名称abc。
图3-10 用户开户页面
点击确定完成帐户用户添加。
(1) 进入系统配置页面
登录CAMS服务器配置平台,点击左侧的“系统管理”的“系统配置”,进入“系统配置”界面。
图3-11 系统配置页面
(2) 选择修改“接入设备配置”,修改接入设备的地址、密钥及认证、计费处理端口等信息。
图3-12 接入设备配置列表页面
(1) 点击页面下方的“增加”按钮,增加配置项。
图3-13 增加配置项页面
(2) 点击确定后,可以看到如下提示:
图3-14 操作成功提示
(3) 此时需要返回“系统配置”页面,点击“立即生效”。
图3-15 系统配置页面的立即生效按钮
PC上需要安装802.1x客户端。客户端可是选择H3C公司802.1X客户端产品,也可以是XP自带客户端,或者其他第三方标准客户端。以下以H3C公司iNode客户端为例进行介绍。
图3-16 客户端页面
点击页面左上方“创建一个新的连接”,点击“下一步”,进入<选择认证协议>页面,选择“802.1x协议”。点击“下一步”,进入<选择连接类型>页面,选择“普通连接”。进入<帐户信息>页面,填写相关信息。
图3-17 新建802.1x连接
点击下一步,设置相应连接属性:
图3-18 设置连接属性
点击“完成”,选择“创建”,完成连接建立。
双击info连接图标,点击“连接”:
图3-19 连接中
连接成功:
图3-20 认证通过页面
可以看到,在用户没有发起认证或认证失败的情形下,可以访问VLAN10范围内的网络,证明Guest VLAN生效。
当用户使用正确的客户端认证通过时,可以访问VLAN 100的网络,证明动态下发的VLAN生效,同时与CAMS配合完成计费、实时监控。当设备无预警重启时,用户可以重新认证并上线。当用户使用的IP/MAC与CAMS上设置的不一致时,用户无法上线。
l 使用display dot1x命令确认全局和端口上都启用了802.1x。
l 确认客户端拨号程序设置正确的用户名和验证密码。
l 确认链路是否正常。
l 若上面检查没有问题,可以打开802.1x调试开关debugging dot1x packet查看交换机收到和发送的EAP、EAPoL报文是否正常。
l 使用display dot1x确认全局和端口上都启用了802.1x。
l 使用display interface确认端口是否有入包统计;802.1x只针对入包进行认证限制,而对于出包来说,并不需要经过认证。即禁止从客户端接收帧,但允许向客户端发送帧。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!