22-802.1X Client配置
本章节下载: 22-802.1X Client配置 (155.75 KB)
802.1X的体系结构包括客户端、设备端和认证服务器。客户端通常有两种表现形式:安装了802.1X客户端软件的终端和网络设备。802.1X Client功能允许网络设备作为客户端。有关802.1X体系的详细介绍请参见“安全配置指导”中的“802.1X”。
应用了802.1X Client功能的典型组网图如图1-1所示:
表1-1 802.1X Client功能配置任务简介
配置任务 |
说明 |
详细配置 |
开启802.1X Client功能 |
必选 |
|
配置802.1X Client认证用户名和密码 |
必选 |
|
配置802.1X Client采用的EAP认证方法 |
必选 |
|
配置802.1X Client匿名认证用户名 |
可选 |
|
配置802.1X Client引用的SSL客户端策略 |
可选 |
开启802.1X Client功能前,请确保认证设备端上关于802.1X认证的配置已完成。有关802.1X认证的配置请参见“安全配置指导”中的“802.1X”。
表1-2 开启802.1X Client功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入以太网接口视图 |
interface interface-type interface-number |
- |
开启802.1X Client功能 |
dot1x supplicant enable |
缺省情况下,802.1X Client功能处于关闭状态 |
开启了802.1X Client功能的接入设备在进行802.1X认证时,会使用已配置的用户名和密码进行认证。
请确保接入设备上配置的用户名和密码与认证服务器上配置的用户名和密码保持一致,否则会导致802.1X认证失败,最终造成被认证设备无法接入网络。
表1-3 配置802.1X Client认证用户名和密码
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入以太网接口视图 |
interface interface-type interface-number |
- |
配置802.1X Client认证用户名 |
dot1x supplicant username username |
缺省情况下,不存在802.1X Client认证用户名 |
配置802.1X Client认证密码 |
dot1x supplicant password { cipher | simple } string |
缺省情况下,不存在802.1X Client认证密码 |
802.1X Client认证通过后,接入设备的接口上将802.1X Client的MAC地址加入到MAC地址表项中,使用户具有相应的访问权限。当802.1X Client上有多个端口同时进行802.1X认证时,可通过以太网接口视图下的mac-address命令为接口配置不同的MAC地址,或通过本命令为以太网接口配置不同的802.1X Client认证使用的MAC地址。关于mac-address命令的详细介绍请参见“二层技术-以太网交换命令参考”中的“MAC地址表”。
表1-4 配置802.1X Client认证使用的MAC地址
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入以太网接口视图 |
interface interface-type interface-number |
- |
配置802.1X Client认证使用的MAC地址 |
dot1x supplicant mac-address mac-address |
缺省情况下,802.1X Client认证使用接口的MAC地址,若获取不到接口MAC地址则使用设备的MAC地址 |
802.1X Client支持的EAP认证方法分为以下几种:
· MD5-Challenge(MD5-质询)
· PEAP-MSCHAPv2(Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol v2,受保护的扩展认证协议-Microsoft质询握手身份验证协议版本2)
· PEAP-GTC(Protected Extensible Authentication Protocol-Microsoft Generic Token Card,受保护的扩展认证协议-通用令牌卡)
· TTLS-MSCHAPv2(Tunneled Transport Layer Security-Microsoft Challenge Handshake Authentication Protocol v2,管道式传输层安全-Microsoft质询握手身份验证协议版本2)
· TTLS-GTC(Tunneled Transport Layer Security-Microsoft Generic Token Card,管道式传输层安全-通用令牌卡)
设备端(Authenticator)上支持两种EAP报文交互机制:EAP中继和EAP终结。MD5-Challenge认证方法支持以上两种EAP报文交互机制,而其余认证方法仅支持EAP中继。
有关EAP报文交互机制的详细介绍,请参见“安全配置指导”中的“802.1X”。
需要注意的是,配置的802.1X Client认证方法必须和认证服务器端支持的EAP认证方法保持一致。
表1-5 配置802.1X Client采用的EAP认证方法
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入以太网接口视图 |
interface interface-type interface-number |
- |
配置802.1X Client认证方法 |
dot1x supplicant eap-method { md5 | peap-gtc | peap-mschapv2 | ttls-gtc | ttls-mschapv2 } |
缺省情况下,802.1X Client采用的EAP认证方法为MD5-Challenge |
仅在采用PEAP-MSCHAPv2、PEAP-GTC、TTLS-MSCHAPv2和TTLS-GTC认证方法时,才需要配置匿名认证用户名。802.1X Client在第一阶段的认证过程中,优先发送匿名认证用户名,而在第二阶段将在被加密的报文中发送配置的认证用户名。配置了802.1X Client匿名认证用户名可有效保护认证用户名不在第一阶段的认证过程中被泄露。如果设备上没有配置匿名认证用户名,则两个认证阶段均使用配置的认证用户名进行认证。
当802.1X Client认证采用的认证方法为MD5-Challenge时,被认证设备不会使用配置的匿名认证用户名认证,而是使用配置的认证用户名进行认证。
如果认证服务器厂商不支持匿名认证用户名,则不要配置匿名认证用户名。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入以太网接口视图 |
interface interface-type interface-number |
- |
配置802.1X Client匿名认证用户名 |
dot1x supplicant anonymous identify identifier |
缺省情况下,不存在802.1X Client匿名认证用户名 |
当802.1X Client认证采用PEAP-MSCHAPv2、PEAP-GTC、TTLS-MSCHAPv2或TTLS-GTC时,被认证设备作为SSL客户端会在802.1X Client第一阶段认证过程中,与对端SSL服务器进行SSL协商。在第二阶段被认证设备使用SSL协商出来的结果对交互的认证报文进行加密传输。
在SSL协商过程中,802.1X Client作为SSL客户端连接SSL服务器时,需要使用本命令来引用SSL客户端策略。SSL客户端策略中配置了SSL客户端启动时使用的SSL参数,包括使用的PKI域、支持的加密套件和使用的SSL协议版本。有关SSL客户端策略的详细配置请参见“安全配置指导”中的“SSL”。
表1-7 配置802.1X Client引用的SSL客户端策略
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入以太网接口视图 |
interface interface-type interface-number |
- |
配置802.1X Client引用的SSL客户端策略 |
dot1x supplicant ssl-client-policy policy-name |
缺省情况下,802.1X Client引用系统缺省的SSL客户端策略 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后802.1X Client功能的运行情况,通过查看显示信息验证配置的效果。
表1-8 802.1X Client功能显示和维护
操作 |
命令 |
显示802.1X Client功能的配置信息、运行情况和统计信息 |
display dot1x supplicant [ interface interface-type interface-number ] |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!