• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C S7500系列以太网交换机典型配置案例 Release3135(V1.00)

03-802.1X典型配置案例

本章节下载  (1.31 MB)

03-802.1X典型配置案例


802.1x典型配置举例

关键词:802.1x,AAA

摘  要:本文主要介绍以太网交换机的802.1x功能在具体组网中的应用配置,对所涉及到的802.1x客户端、交换机、AAA服务器等角色,分别给出了详细的配置步骤。

缩略语:AAA(Authentication,Authorization and Accounting,认证、授权和计费)

 


第1章  802.1x功能介绍

&  说明:

本章中的802.1x功能适用于H3C S7500系列以太网交换机。

 

1.1  802.1x简介

IEEE 802协议定义的局域网不提供接入认证,一般来说,只要用户接入局域网就可以访问网络上的设备或资源。但是对于如电信接入、写字楼、局域网以及移动办公等应用场合,网络管理者希望能对用户设备的接入进行控制和配置,为此产生了基于端口或用户的网络接入控制需求。

802.1x协议是一种基于端口的网络接入控制(Port Based Network Access Control)协议。802.1x作为一种基于端口的用户访问控制机制,由于其低成本、良好的业务连续性和扩充性以及较高的安全性和灵活性,受到了设备制造商、各大网络运营商和最终用户的广泛支持和肯定。

1.2  产品特性支持情况

1.2.1  全局配置

l              开启全局的802.1x特性

l              设置时间参数

l              设置认证请求帧的最大可重复发送次数

l              打开静默定时器功能

l              打开设备重启用户再认证功能

1.2.2  端口视图下的配置

l              开启端口dot1x

l              配置Guest VLAN功能

l              配置端口允许的最大用户数

l              端口接入控制方式(基于端口或基于MAC)

l              端口接入控制模式(强制授权、非强制授权、自动)

l              客户端版本检测

l              代理检测

1.2.3  注意事项

l              只有全局和端口均开启dot1x特性后,dot1x的配置才会生效。

l              在启用dot1x功能前,可以配置设备或以太网端口的dot1x相关参数,但这些配置并不生效;启用dot1x功能后,提前配置的dot1x相关参数才生效。

l              关闭dot1x功能后,交换机上配置的dot1x相关参数仍被保留;当dot1x功能重新启动后,以前所做的这些dot1x相关配置依然生效。

 


第2章  配置命令介绍

2.1  802.1x相关功能配置命令

要实现802.1x功能,需要对接入用户、交换机、认证/授权服务器三个部分进行正确配置。

l              接入用户端:保证用户PC使用正确的客户端。

l              交换机:需要进行802.1x配置和AAA相关配置。

l              认证/授权服务器:需要进行正确的配置。

下面仅介绍交换机上所需的802.1x相关配置命令,其他配置请参见相关设备手册。

表2-1 802.1x相关功能配置命令

功能

命令

说明

进入系统视图

system-view

-

开启全局的802.1x特性

dot1x

必选

缺省情况下,全局的802.1x特性为关闭状态

开启端口的802.1x特性

系统视图下

dot1x [ interface interface-list ]

必选

缺省情况下,端口的802.1x特性均为关闭状态,只有端口和全局802.1x特性均开启,802.1x的相应配置才能生效

端口视图下

dot1x

设置端口接入控制方式

系统视图下

dot1x port-method { macbased | portbased } [ interface interface-list ]

可选

缺省情况下,802.1x在端口上进行接入控制方式为macbased

使用Guest VLAN功能时必须保持portbased的接入控制方式

端口视图下

dot1x port-method { macbased | portbased }

开启Guest VLAN功能

系统视图下

dot1x guest-vlan vlan-id [ interface interface-list ]

可选

缺省情况下,Guest VLAN功能处于关闭状态。配置为Guest VLAN的vlan-id必须事先已经创建

端口视图下

dot1x guest-vlan vlan-id

 


第3章  典型企业网络接入认证应用

&  说明:

不同型号的设备,配置的细节或显示信息会稍有差异,这里以H3C S7500系列交换机(软件版本为Release 3135)为例。

 

3.1  网络应用分析

某企业网的管理者希望在交换机各端口上对用户接入进行认证,以控制用户对相应资源的访问,详细网络应用需求分析如表3-1所示。

表3-1 网络应用分析

网络需求

相关设备所需配置

接入用户受控,必须通过认证才能访问网络

启动802.1x特性

用户未通过认证时,只能受限访问网络VLAN 10

启用Guest VLAN功能

用户通过认证后,可以访问网络VLAN 100

动态VLAN下发配置

计费方式为50元包月,其访问网络的带宽为2M

在RADIUS Server上设置计费策略、带宽限制策略

用户上线后将IP与Mac进行绑定

MAC+IP绑定功能设置

在线闲置20分钟后,服务器强制切断用户连接

启用闲置用户切断功能

设备无预警重启后,在线用户可以重新认证并成功

配置设备重启用户再认证功能

 

3.2  组网图

图3-1 典型企业网应用组网图

3.3  配置步骤

3.3.1  交换机上的配置

# 设置RADIUS方案cams,设置主备服务器。

<H3C> system-view

[H3C] radius scheme cams

[H3C-radius-cams] primary authentication 192.168.1.19

[H3C-radius-cams] primary accounting 192.168.1.19

[H3C-radius-cams] secondary authentication 192.168.1.20

[H3C-radius-cams] secondary accounting 192.168.1.20

# 设置系统与认证Radius服务器交互报文时加密密码为expert,与计费Radius服务器交互报文的加密密码为expert。

[H3C-radius-cams] key authentication expert

[H3C-radius-cams] key accounting expert

# 设置用户名为带域名格式。

[H3C-radius-cams] user-name-format with-domain

# 服务类型为extended。

[H3C-radius-cams] server-type extended

# 配置设备重启用户再认证功能。

[H3C-radius-cams] accounting-on enable

# 定义ISP域abc,并配置认证采用RADIUS方案cams。

[H3C] domain abc

[H3C-isp-abc] radius-scheme cams

# 配置动态VLAN下发模式。

[H3C-isp-abc] vlan-assignment-mode integer

[H3C-isp-abc] quit

# 将ISP域abc设置为缺省ISP域。

[H3C] domain default enable abc

# 用户接入端口启用Guest VLAN功能

[H3C] vlan 10

[H3C-Ethernet3/0/3] dot1x port-method portbased

[H3C-Ehternet3/0/3] dot1x guest-vlan 10

# 全局启用802.1x

[H3C] dot1x

# 端口启用dot1x

[H3C] dot1x interface Ethernet3/0/3

# 使用display命令可以查看关于802.1x,AAA相关参数配置。

[H3C] display dot1x interface ethernet3/0/3

 Equipment 802.1x protocol is enabled

 CHAP authentication is enabled

 DHCP-launch is disabled

 Proxy trap checker is disabled

 Proxy logoff checker is disabled

 Guest Vlan is enabled           

 

Configuration: Transmit Period     30 s,  Handshake Period       15 s

                ReAuth Period   003600 s

                Quiet Period        60 s,  Quiet Period Timer is disabled

                Supp Timeout        30 s,  Server Timeout         100 s

                Interval between version requests is 30s

                maximal request times for version information is 3

                The maximal retransmitting times          2

 

 Total maximum 802.1x user resource number is 4096

 Total current used 802.1x resource number is 0              

 

 Ethernet3/0/3  is link-up

   802.1x protocol is enabled

   Proxy trap checker is disabled

   Proxy logoff checker is disabled

   Guest Vlan: 10                   

   Version-Check is disabled

   The port is a(n) authenticator

   Authentication Mode is Auto

   Port Control Type is Port-based

   ReAuthenticate is disabled

   Max on-line user number is 1024

 

   Authentication Success: 0, Failed: 0

   EAPOL Packets: Tx 0, Rx 0

   Sent EAP Request/Identity Packets : 0

        EAP Request/Challenge Packets: 0

   Received EAPOL Start Packets : 0

            EAPOL LogOff Packets: 0

            EAP Response/Identity Packets : 0

            EAP Response/Challenge Packets: 0

            Error Packets: 0

 

   Controlled User(s) amount to 0    

 

[H3C] display radius cams

SchemeName  =cams                             Index=1    Type=extended

Primary Auth IP  =192.168.1.19     Port=1812

Primary Acct IP  =192.168.1.19     Port=1813

Second  Auth IP  =192.168.1.20     Port=1812

Second  Acct IP  =192.168.1.20     Port=1813

Auth Server Encryption Key= expert

Acct Server Encryption Key= expert

Accounting method = required

Accounting-On packet enable, send times = 40 , interval = 3s

TimeOutValue(in second)=3 RetryTimes=3 RealtimeACCT(in minute)=12

Permitted send realtime PKT failed counts       =5

Retry sending times of noresponse acct-stop-PKT =500

Quiet-interval(min)                             =5

Username format                                 =with-domain

Data flow unit                                  =Byte

Packet unit                                     =1

[H3C] display domain abc

The contents of Domain abc:

   State = Active

   RADIUS Scheme = cams

   Access-limit = Disable

   Vlan-assignment-mode = Integer

   accounting-mode = time        

   Domain User Template:

   Idle-cut = Disable

   Self-service = Disable

   Messenger Time = Disable  

3.3.2  RADIUS Server上的配置(以CAMS 1.20标准版为例)

CAMS认证/授权、计费服务器的配置,主要由以下四个部分组成:创建计费策略、创建服务类型、添加用户信息、接入网段及协议配置。

本文所述CAMS综合访问服务器的版本为V1.20(标准版)。

1. 登录CAMS服务器

(1)        在登录页面输入正确的用户名、密码登录CAMS服务器

图3-2 CAMS登录页面

(2)        登录成功后页面如图所示:

图3-3 CAMS首页面

2. 创建计费策略

(1)        进入计费策略页面

登录CAMS服务器配置平台,点击左侧的“资费管理”下的“计费策略”,进入“计费策略管理”界面,如图所示。

图3-4 计费策略管理页面

从列表中可以看到已有的计费策略,可以选择对已有计费策略进行“查询”、“修改”或“复制”。

(2)        创建计费策略

点击“计费策略管理”界面上方的“增加”按钮:新建“包月计费”的计费策略。

图3-5 计费策略基本信息页面

(3)        点击下一步:选择“按时长计费”,计费周期“月为周期”,周期内固定费用“50元每月”。

图3-6 计费属性设置页面

点击完成,成功添加新的计费策略“包月计费”。

3. 创建服务类型

(1)        进入服务配置界面

登录CAMS服务器配置平台,点击左侧的“服务管理”下的“服务配置”,进入“服务配置”界面,如图所示。

图3-7 服务配置页面

从列表中可以看到已有的服务类型,可以选择对已有服务类型进行“查询”、“修改”或“删除”。

(2)        创建服务类型

点击“服务配置”界面上方的“增加”按钮:新建服务名为“abc”的服务类型,服务后缀名为“abc”。计费策略为“包月计费”,上下行速率限制为2M(2048Kbps),认证成功后下发VLAN 100。认证绑定选择绑定用户IP和绑定用户MAC地址。

图3-8 增加服务页面

点击确定,成功添加服务类型。

4. 添加帐户用户

(1)        进入用户帐户界面

登录CAMS服务器配置平台,点击左侧的“用户管理”的“帐号用户”,进入“帐户管理”界面。

图3-9 用户帐户界面

从列表中可以看到已有的帐户用户,可以选择对已有帐户用户进行维护。

(2)        创建用户帐户

选择页面上方“增加”:用户为info,密码为info,用户姓名为Bruce,预付费用户,预付金额 100 元。并添加 绑定的用户IP地址、网卡MAC地址,在线数量限制为1,最大闲置时长 20分钟。

在“服务信息”一栏,选择服务名称abc。

图3-10 用户开户页面

点击确定完成帐户用户添加。

5. 接入设备配置

(1)        进入系统配置页面

登录CAMS服务器配置平台,点击左侧的“系统管理”的“系统配置”,进入“系统配置”界面。

图3-11 系统配置页面

(2)        选择修改“接入设备配置”,修改接入设备的地址、密钥及认证、计费处理端口等信息。

图3-12 接入设备配置列表页面

6. 接入设备配置

(1)        点击页面下方的“增加”按钮,增加配置项。

图3-13 增加配置项页面

(2)        点击确定后,可以看到如下提示:

图3-14 操作成功提示

(3)        此时需要返回“系统配置”页面,点击“立即生效”。

图3-15 系统配置页面的立即生效按钮

3.3.3  接入用户PC上的操作

PC上需要安装802.1x客户端。客户端可是选择H3C公司802.1X客户端产品,也可以是XP自带客户端,或者其他第三方标准客户端。以下以H3C公司iNode客户端为例进行介绍。

1. 启动客户端

图3-16 客户端页面

2. 新建连接

点击页面左上方“创建一个新的连接”,点击“下一步”,进入<选择认证协议>页面,选择“802.1x协议”。点击“下一步”,进入<选择连接类型>页面,选择“普通连接”。进入<帐户信息>页面,填写相关信息。

图3-17 新建802.1x连接

3. 设置连接属性

点击下一步,设置相应连接属性:

 

图3-18 设置连接属性

点击“完成”,选择“创建”,完成连接建立。

4. 启动连接

双击info连接图标,点击“连接”:

图3-19 连接中

连接成功:

图3-20 认证通过页面

3.3.4  验证结果

可以看到,在用户没有发起认证或认证失败的情形下,可以访问VLAN10范围内的网络,证明Guest VLAN生效。

当用户使用正确的客户端认证通过时,可以访问VLAN 100的网络,证明动态下发的VLAN生效,同时与CAMS配合完成计费、实时监控。当设备无预警重启时,用户可以重新认证并上线。当用户使用的IP/MAC与CAMS上设置的不一致时,用户无法上线。

3.3.5  故障诊断与排错

1. 故障现象:客户端无法验证通过

l              使用display dot1x命令确认全局和端口上都启用了802.1x。

l              确认客户端拨号程序设置正确的用户名和验证密码。

l              确认链路是否正常。

l              若上面检查没有问题,可以打开802.1x调试开关debugging dot1x packet查看交换机收到和发送的EAP、EAPoL报文是否正常。

2. 故障现象:用户无需进行802.1X验证就能使用网络资源

l              使用display dot1x确认全局和端口上都启用了802.1x。

l              使用display interface确认端口是否有入包统计;802.1x只针对入包进行认证限制,而对于出包来说,并不需要经过认证。即禁止从客户端接收帧,但允许向客户端发送帧。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们