05-WLAN用户接入认证配置
本章节下载: 05-WLAN用户接入认证配置 (774.97 KB)
WLAN用户接入认证是一种基于用户的安全接入管理机制,根据用户MAC地址来进行访问控制。本特性主要实现802.1X、MAC地址认证和OUI认证三种认证方式。
· 802.1X认证作为一种在无线网络中被广泛应用的接入控制机制,主要解决无线网络内认证和安全方面的问题。802.1X认证系统使用EAP(Extensible Authentication Protocol,可扩展认证协议)来实现客户端、设备端和认证服务器之间认证信息的交换。在客户端与设备端之间,EAP协议报文使用EAPOL(Extensible Authentication Protocol over LAN,局域网上的可扩展认证协议)封装格式的802.11报文,直接承载于无线环境中。在设备端与RADIUS服务器之间,可以使用两种方式来交换信息。一种是EAP协议报文由设备端进行中继,使用RADIUS协议封装EAPOR报文;另一种是EAP协议报文由设备端进行终结,采用包含PAP或CHAP属性的报文与RADIUS服务器进行认证交互。
· MAC地址认证不需要用户安装任何客户端软件。设备在检测到用户的MAC地址以后,对该用户进行认证操作。认证过程中,不需要用户手动输入用户名或者密码,若该用户认证成功,则允许其访问网络资源,否则该用户则无法访问网络资源。
· OUI(Organizationally Unique Identifier,全球统一标识符)是MAC地址的前24位(二进制),是IEEE为不同设备供应商分配的一个全球唯一的标识符。采用OUI认证方式后,如果用户的MAC地址与设备配置的OUI能匹配上,则认证成功,否则认证失败。
有关802.1X的体系结构、EAP中继、EAP终结及EAP报文的封装的详细介绍请参见“安全配置指导”中的“802.1X”。
设备端支持采用EAP中继方式或EAP终结方式与远端RADIUS服务器交互。若用户认证位置(可通过client-security authentication-location命令配置)在AP上,则AP为认证设备,由AP处理认证过程,若用户认证位置在AC上,则AC为认证设备,由AC处理认证过程。
EAP中继认证方式将EAP承载在其它高层协议中,如EAP over RADIUS,以便EAP报文穿越复杂的网络到达认证服务器。一般来说,需要RADIUS服务器支持EAP属性:EAP-Message和Message-Authenticator。
如图1-2所示,以MD5-Challenge类型的EAP认证为例,具体认证过程如下。
图1-2 802.1X认证系统的EAP中继方式认证流程
(1) 当用户需要访问外部网络时打开802.1X客户端程序,输入用户名和密码,发起连接请求。此时,客户端程序将向设备发出认证请求帧(EAPOL-Start),开始启动一次认证过程。有关客户端与AP建立连接的过程,请参见“WLAN配置指导”中的“WLAN安全”。
(2) 设备收到认证请求帧后,将发出一个Identity类型的请求帧(EAP-Request/Identity)要求客户端程序发送用户名。
(3) 客户端程序响应设备发出的请求,将用户名信息通过Identity类型的响应帧(EAP-Response/Identity)发送给设备。
(4) 设备将由客户端发送的响应帧中的EAP报文封装在RADIUS报文(RADIUS Access-Request)中,并发送给认证服务器进行处理。
(5) RADIUS服务器收到设备转发的用户名信息后,将该信息与数据库中的用户名列表对比,找到该用户名对应的密码信息,用随机生成的一个MD5 Challenge对密码进行加密处理,同时将此MD5 Challenge通过RADIUS Access-Challenge报文发送给设备。
(6) 设备将RADIUS服务器发送的MD5 Challenge转发给客户端。
(7) 客户端收到由设备传来的MD5 Challenge后,用该Challenge对密码进行加密处理,生成EAP-Response/MD5 Challenge报文,并发送给设备。
(8) 设备将此EAP-Response/MD5 Challenge报文封装在RADIUS报文(RADIUS Access-Request)中发送给RADIUS服务器。
(9) RADIUS服务器将收到的已加密的密码信息和本地经过加密运算后的密码信息进行对比,如果相同,则认为该用户为合法用户,并向设备发送认证通过报文(RADIUS Access-Accept)。
(10) 设备收到认证通过报文后向客户端发送认证成功帧(EAP-Success),允许用户访问网络。
(11) 用户在线期间,设备会通过向客户端定期发送握手报文的方法,对用户的在线情况进行监测。
(12) 客户端收到握手报文后,向设备发送应答报文,表示用户仍然在线。缺省情况下,若设备端发送的两次握手请求报文都未得到客户端应答,设备就会让用户下线,防止用户因为异常原因下线而设备无法感知。
(13) 客户端可以发送EAPOL-Logoff帧给设备,主动要求下线。
EAP中继方式下,需要保证在客户端和RADIUS服务器上选择一致的EAP认证方法,而在设备上,只需要通过dot1x authentication-method eap命令启动EAP中继方式即可。
这种方式将EAP报文在设备终结并映射到RADIUS报文中,利用标准RADIUS协议完成认证、授权和计费。设备与RADIUS服务器之间可以采用PAP或者CHAP认证方法。如图1-3所示,以CHAP认证为例,具体的认证流程如下。
图1-3 802.1X认证系统的EAP终结方式认证流程
EAP终结方式与EAP中继方式的认证流程相比,不同之处在于对用户密码信息进行加密处理的MD5 challenge由认证设备生成的,之后认证设备会把用户名、MD5 challenge和客户端加密后的密码信息一起发送给RADIUS服务器,进行相关的认证处理。
有关EAP报文的封装的详细介绍,请参见“安全配置指导”中的“802.1X”。
802.1X认证触发方式有两种:当设备收到客户端关联回应报文后,客户端向设备发送EAPOL-Start报文触发认证;当设备收到客户端关联回应报文后,由设备主动向该客户端发送Identity类型的EAP-Request帧来触发认证,若设备端在设置的时长内没有收到客户端的响应,则重发该报文。
目前设备支持两种方式的MAC地址认证,通过RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器进行远程认证和在接入设备上进行本地认证。若认证位置(可通过client-security authentication-location命令配置)在AP上,则AP为接入设备,由AP处理认证过程,若认证位置在AC上,则AC为接入设备,由AC处理认证过程。有关远程RADIUS认证和本地认证的详细介绍请参见“安全配置指导”中的“AAA”。
根据设备最终用于验证用户身份的用户名格式和内容的不同,可以将MAC地址认证使用的用户帐户格式分为两种类型:
· MAC地址用户名密码:使用用户的MAC地址作为用户名和密码进行认证,即每个用户使用不同的用户名和密码进行认证。
· 固定用户名密码:设备上所有MAC地址认证用户均使用所配置的用户名和密码进行认证,即所有用户使用同一个用户名和密码进行认证。用户名为1~55个字符的字符串,区分大小写,不能包括字符‘@’。密码可以设置为明文或者密文,明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串。
图1-4 不同用户名格式下的MAC地址认证示意图
(1) RADIUS服务器认证方式进行MAC地址认证
当选用RADIUS服务器认证方式进行MAC地址认证时,设备作为RADIUS客户端,与RADIUS服务器配合完成MAC地址认证操作:
· 若采用MAC地址用户名格式,则设备将检测到的用户MAC地址作为用户名和密码发送给RADIUS服务器进行验证。
· 若采用固定用户名格式,则设备将一个已经在本地指定的MAC地址认证用户使用的固定用户名和对应的密码作为待认证用户的用户名和密码,发送给RADIUS服务器进行验证。
RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问网络。
(2) 本地认证方式进行MAC地址认证
当选用本地认证方式进行MAC地址认证时,直接在设备上完成对用户的认证。需要在设备上配置本地用户名和密码:
· 若采用MAC地址用户名格式,则设备将检测到的用户MAC地址作为待认证用户的用户名和密码与配置的本地用户名和密码进行匹配。
· 若采用固定用户名格式,则设备将一个已经在本地指定的MAC地址认证用户使用的固定用户名和对应的密码作为待认证用户的用户名和密码与配置的本地用户名和密码进行匹配。
当设备检测到一个未通过认证的用户试图访问网络时,如果开启入侵检测功能,设备将对其所在的BSS采取相应的安全策略。
· temporary-block:缺省模式。如果设备检测到未通过认证用户的关联请求报文,临时将该报文的源MAC地址加入阻塞MAC地址列表中,在一段时间内,源MAC地址为此非法MAC地址的无线客户端将不能和AP建立连接,在这段时间过后恢复正常。该MAC地址的阻塞时间由阻塞非法入侵用户时长决定。
· service-stop:直接关闭收到未通过认证用户的关联请求报文的BSS所提供的服务,直到用户在Radio口上重新生成该BSS。
· temporary-service-stop:关闭收到未通过认证用户的关联请求报文的BSS一段时间,该时间由临时关闭服务时长决定。
WLAN用户接入认证支持以下几种认证模式:
表1-1 WLAN用户接入认证模式描述表
采用802.1X认证 |
|||
采用MAC地址认证 |
只进行MAC地址认证 |
||
采用802.1X和MAC地址认证组合认证 |
先进行MAC地址认证,如果失败,再进行802.1X认证,如果认证成功,则不进行802.1X认证 |
||
先进行802.1X认证,如果失败,再进行MAC地址认证,如果认证成功,则不进行MAC地址认证 |
|||
先进行OUI认证,如果失败,再进行802.1X认证,如果认证成功,则不进行802.1X认证 |
用户通过802.1X或MAC地址认证方式认证成功后,授权服务器可以下发授权VLAN,用来限制用户访问网络资源。下发的授权VLAN信息可以有多种形式,包括数字型VLAN和字符型VLAN,字符型VLAN又可分为VLAN名称、VLAN组名。
服务器向设备下发授权VLAN信息后,设备首先对其进行解析,只要解析成功,即以对应的方法下发授权VLAN;如果解析不成功,则用户授权失败。
· 若认证服务器下发的授权VLAN信息为一个VLAN ID,则该VLAN是有效的授权VLAN。
· 若认证服务器下发的授权VLAN信息为一个VLAN名称,则仅当对应的VLAN存在时该VLAN才是有效的授权VLAN。
· 若认证服务器下发的授权VLAN信息为一个VLAN组名,则设备首先会通过组名查找该组内配置的VLAN列表,然后将该组VLAN中负载最小的VLAN作为有效的授权VLAN。关于VLAN组的相关配置,请参见“二层技术-以太网交换配置指导”中的“VLAN”。
· 若认证服务器下发的授权VLAN信息为一个包含若干VLAN编号以及若干VLAN名称的字符串,则设备首先将其解析为一组VLAN ID,然后将该组VLAN中ID最小的VLAN作为有效的授权VLAN。
解析出来有效的授权VLAN后,则需要进行下发。
由于授权信息是用来控制数据报文转发的,因此,授权信息必须在授权点下发。这也就意味着,在认证设备和授权设备分离场景下,用户在认证设备上获取授权信息后,认证设备需要将授权信息携带至授权设备下发。
基于上述考虑,下发的方式分为本地下发授权VLAN和远端下发授权VLAN:
在认证设备和授权设备未分离场景下,在认证设备上获取用户授权VLAN信息后,直接在认证设备下发。
在认证设备和授权设备分离场景下,认证设备上获取用户授权VLAN信息后,需要将该信息发送至远端授权设备,授权信息在远端设备上解析后下发。
Fail VLAN功能允许用户在认证失败的情况下访问某一特定VLAN中的资源,这个VLAN称之为Fail VLAN。需要注意的是,这里的认证失败是指认证服务器因某种原因明确拒绝用户认证通过,比如用户名错误或密码错误,而不是认证超时或网络连接等原因造成的认证失败。需要注意的是,如果采用RSNA安全机制的802.1X用户认证失败,则用户会直接下线,不会加入认证失败VLAN。
Fail VLAN优先级高于入侵检测。因此,用户身份认证失败后,如果配置了Fail VLAN则加入Fail VLAN;如果没有配置Fail VLAN,再判断是否开始入侵检测功能,如果开启了,则出发入侵检测。如果既没有配置Fail VLAN,也没有开启入侵检测功能,则不进行任何认证失败处理。
用户通过802.1X认证后,支持授权ACL(Access Control List,访问控制列表)下发,授权ACL(Access Control List,访问控制列表)下发提供了对上线用户访问网络资源的过滤与控制功能。当用户上线时,如果RADIUS服务器上或接入设备的本地用户视图中指定了要下发给该用户的授权ACL,则设备会根据下发的授权ACL对用户数据流进行过滤,仅允许ACL规则中允许的数据流通过。由于服务器上或设备本地用户视图下指定的是授权ACL的编号,因此还需要在设备上创建该ACL并配置对应的ACL规则。管理员可以通过改变授权的ACL编号或设备上对应的ACL规则来改变用户的访问权限。
用户通过802.1X认证后,支持授权User Profile下发,User Profile下发提供了对上线用户访问网络资源的过滤与控制功能。当用户上线时,如果RADIUS服务器上或接入设备的本地用户视图中指定了要下发给该用户的授权User Profile,则设备会根据服务器下发的授权User Profile对用户所在端口的数据流进行过滤,仅允许User Profile策略中允许的数据流通过该端口。由于服务器上指定的是授权User Profile名称,因此还需要在设备上创建该User Profile并配置该对应的User Profile策略。管理员可以通过改变授权的User Profile名称或设备上对应的User Profile配置来改变用户的访问权限。
本功能目前仅支持使用iMC服务器做为RADIUS服务器。
用户通过802.1X认证或MAC地址认证后,设备会从DHCP报文中获取到Option55属性,并将它上传给RADIUS服务器(如果RADIUS服务器为iMC服务器,则将Option55属性上传到UAM组件)。
支持BYOD功能的RADIUS服务器可以根据Option55属性来判断终端设备的类型、操作系统、厂商等信息,并根据这些信息向不同类型的终端设备推送不同的注册页面和下发不同的授权属性信息。
表1-2 WLAN用户接入认证配置任务简介
配置802.1X支持的域名分隔符 |
|||
配置802.1X系统的认证方法 |
|||
配置802.1X认证定时器 |
|||
配置MAC地址认证用户名及密码格式 |
|||
配置MAC地址认证用户使用的ISP域 |
|||
配置MAC地址认证定时器 |
|||
配置WLAN用户接入认证参数 |
配置WLAN用户接入认证模式 |
||
配置802.1X认证的EAP协议模式 |
可选 |
||
配置WLAN用户接入认证位置 |
|||
配置忽略802.1X或MAC地址认证结果 |
可选 |
||
配置 802.1X握手功能 |
|||
配置802.1X安全握手功能 |
|||
配置802.1X认证用户ISP域 |
|||
配置802.1X最大用户数 |
|||
配置802.1X重认证功能 |
|||
配置MAC地址认证最大用户数 |
|||
配置MAC地址认证用户ISP域 |
|||
配置发送计费开始报文的触发条件 |
可选 |
||
配置发送计费更新报文的触发条件 |
可选 |
802.1X需要AAA的配合才能实现对用户的身份认证。因此,需要首先完成以下配置任务:
· 配置802.1X用户所属的ISP域及其使用的AAA方案,即本地认证方案或RADIUS方案。
· 如果需要通过RADIUS服务器进行认证,则应该在RADIUS服务器上配置相应的用户名和密码。
· 如果需要本地认证,则应该在设备上手动添加认证的用户名和密码。配置本地认证时,用户使用的服务类型必须设置为lan-access。
缺省情况下,对接入的用户进行MAC地址认证时,使用系统缺省的ISP域(由命令domain default enable指定)。若需要使用非缺省的ISP域进行MAC地址认证,则需指定MAC地址认证用户使用的ISP域,并配置该ISP域。ISP域的具体配置请参见“安全配置指导”中的“AAA”。
· 若采用本地认证方式,还需创建本地用户并设置其密码,且本地用户的服务类型应设置为lan-access。
· 若采用远程RADIUS认证方式,需要确保设备与RADIUS服务器之间的路由可达,并添加MAC地址认证的用户帐号。
目前设备支持配置最多16个OUI。
仅在用户接入认证模式为oui-then-dot1x的情况下必选 允许通过认证的用户OUI值可以配置多个 |
有关802.1X支持的域名分隔符的详细介绍请参见“安全配置指导”中的“802.1X”。
表1-4 配置802.1X支持的域名分隔符
指定802.1X支持的域名分隔符 |
有关802.1X系统的认证方法的详细介绍请参见“安全配置指导”中的“802.1X”。
表1-5 配置802.1X系统的认证方法
配置802.1X系统的认证方法 |
缺省情况下,设备启用EAP终结方式,并采用CHAP认证方法 |
如果采用EAP中继认证方式,则设备会把客户端输入的内容直接封装后发给服务器,这种情况下user-name-format命令的设置无效,user-name-format的介绍请参见“安全命令参考”中的“AAA”。
有关设备向接入用户发送认证请求报文最大次数的详细介绍请参见“安全配置指导”中的“802.1X”。
缺省情况下,设备最多可向接入用户发送2次认证请求报文 |
802.1X认证过程中会启动多个定时器以控制客户端、设备以及RADIUS服务器之间进行合理、有序的交互。可配置的802.1X认证定时器包括以下四种:
· 客户端认证超时定时器:当设备向客户端发送了EAP-Request/MD5 Challenge请求报文后,设备启动此定时器,若在该定时器设置的时长内,设备没有收到客户端的响应,设备将重发该报文。若在dot1x retry命令配置的次数内,没有收到客户端响应,则客户端认证失败。
· 认证服务器超时定时器:当设备向认证服务器发送了RADIUS Access-Request请求报文后,设备启动该定时器,若在该定时器设置的时长内,设备没有收到认证服务器的响应,设备将重发认证请求报文。
· 握手定时器:用户认证成功之后,如果开启了握手功能,该定时器将启动。设备会以该定时器配置的时间为周期向用户发送握手报文,若在该定时器设置的时间内,设备没有收到客户端的回应报文,设备将重发该握手报文,若在dot1x retry命令配置的次数内,没有收到客户端回应,则强制该客户端下线。
· 周期性重认证定时器:如果设备开启了周期认证功能,设备将以该定时器配置的时间为周期发起重认证。配置该定时器后,对于新上线的802.1X用户,会按新配置的重认证周期进行重认证,对于已经在线的用户,新配置不会生效。
表1-7 配置802.1X认证定时器
表1-8 配置MAC地址认证用户名格式
配置MAC地址认证用户的用户名格式 |
MAC地址格式 |
缺省情况下,使用用户的MAC地址作为用户名与密码,其中字母为小写,且不带连字符“-” |
|
mac-authentication user-name-format fixed [ account name ] [ password { cipher | simple } password ] |
为了便于接入设备的管理员更为灵活地部署用户的接入策略,设备支持指定MAC地址认证用户使用的ISP域。关于ISP域的详细介绍,请参见“安全配置指导”中的“AAA”。
表1-9 指定MAC地址认证用户使用的ISP域
指定MAC地址认证用户使用的ISP域 |
缺省情况下,未指定MAC地址认证用户使用的ISP域 从无线服务模板上接入的MAC地址认证用户将按照如下先后顺序进行选择ISP域:无线服务模板下指定的ISP域-->全局MAC地址ISP域-->系统缺省的ISP域 |
可配置的MAC地址认证定时器目前只有一种:
服务器超时定时器(server-timeout):用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果到服务器超时定时器超时时设备一直没有收到RADIUS服务器的应答,则设备将禁止此用户访问网络。
表1-10 配置MAC地址认证定时器
配置MAC地址认证定时器 |
mac-authentication timer server-timeout server-timeout-value |
表1-11 配置WLAN用户接入认证模式
配置WLAN用户接入认证模式 |
client-security authentication-mode { dot1x | dot1x-then-mac | mac | mac-then-dot1x | oui-then-dot1x } |
缺省情况下,不对用户进行认证即Bypass认证,直接接入 |
配置802.1X认证的EAP协议模式,可以控制客户端和设备使用的EAP协议规范和报文格式。802.1X认证的EAP协议模式:
· extended:表示EAP协议模式为扩展的EAP协议,即要求客户端和设备按照私有EAP协议的规范和报文格式进行交互。
· standard:表示EAP协议模式为标准的EAP协议,即要求客户端和设备按照标准EAP协议的规范和报文格式进行交互。
仅当使用iMC作为RADIUS服务器时,需要配置802.1X认证的EAP协议模式:如果采用H3C iNode作为802.1X客户端,则配置EAP协议模式为extended;如果采用其它类型的802.1X客户端,则配置EAP协议模式为standard。
表1-12 配置802.1X认证的EAP协议模式
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
配置802.1X认证的EAP协议模式 |
dot1x eap { extended | standard } |
缺省情况下,EAP协议模式为standard |
AC、AP均可以处理用户的认证请求,即对用户进行本地认证或将用户的认证信息上送给RADIUS服务器进行集中式认证。当配置的用户接入认证位置为AC时,表示认证位置在AC上。
当客户端数据报文转发位置为AC时,配置的用户接入认证位置不能为AP,否则会导致用户认证失败。有关客户端数据报文转发位置的详细介绍,请参见“WLAN配置指导”中的“WLAN接入”。
缺省情况下,WLAN用户接入认证位置在AC上 |
对于配置了漫游功能的RSN+802.1X认证方式的无线用户,请勿配置该功能,否则会导致漫游失败。
对于进行802.1X认证的无线用户,开启忽略802.1X或MAC地址认证结果功能后,当802.1X认证失败时,设备会忽略这一认证结果,用户可以访问网络资源。
对于同时进行MAC地址认证和Portal认证的无线用户,用户须依次通过MAC地址认证和Portal认证才能访问网络资源,且用户每次都需要输入Portal认证的用户名和密码才能完成认证。配置忽略802.1X或MAC地址认证结果,可以简化上述认证操作,具体认证过程如下:
· 若RADIUS服务器上已经记录了用户和其MAC地址的对应信息,则用户通过MAC地址认证,且不再需要进行Portal认证即可访问网络资源。
· 若RADIUS服务器上未记录用户和其MAC地址的对应信息,则MAC地址认证失败。此时,设备忽略这一认证结果,直接进行Portal认证。Portal认证通过后即可访问网络资源,同时RADIUS服务器将记录该用户和其MAC地址的对应信息。此后,该用户仅需要完成MAC地址认证即可访问网络资源,而不再需要进行Portal认证。
表1-14 配置忽略802.1X或MAC地址认证结果
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
配置忽略802.1X或MAC地址认证结果 |
client-security ignore-authentication |
缺省情况下,对于802.1X认证方式的无线用户,应用802.1X认证结果,对于RADIUS服务器认证方式进行的MAC地址认证的无线用户,应用MAC地址认证结果 |
如果配置了认证失败VLAN,认证失败的用户将被加入该VLAN,同时设备会启动一个30秒的定时器,以定期对用户进行重新认证。如果重认证通过,设备将根据AAA服务器是否下发VLAN来重新指定该用户所在VLAN,即如果AAA服务器下发了VLAN,则该用户将被加入该下发的VLAN,否则该用户将被加入其原来所属的VLAN;如果重认证未通过,则该用户仍然留在认证失败VLAN中。
授权信息包括VLAN、ACL和User Profile,分为RADIUS服务器下发的授权信息和设备本地下发的授权信息。若用户不想使用授权信息,则可以配置忽略授权信息。
配置忽略RADIUS服务器或设备本地下发的授权信息 |
缺省情况下,应用RADIUS服务器或设备本地下发的授权信息 |
如果开启了授权失败后的用户下线功能,当下发的授权ACL、User Profile不存在、已授权ACL、User Profile被删除,或者ACL、User Profile下发失败时,将强制用户下线;
如果没有开启授权失败后的用户下线功能,当下发的授权ACL、User Profile不存在、已授权ACL、User Profile被删除,或者ACL、User Profile下发失败时,用户保持在线,授权ACL、User Profile不生效,设备打印Log信息。
需要注意的是,对于授权VLAN失败的情况下,设备会直接让用户下线,与此功能无关。
当检测到一个非法用户试图访问网络时,如果开启了入侵检测功能,设备将对其所在的BSS采取相应的安全模式。有关安全模式的详细介绍,请参见“1.1.3 入侵检测”。
client-security intrusion-protection timer temporary-block value |
||
(可选)配置临时关闭BSS服务时长 |
client-security intrusion-protection timer temporary-service-stop value |
缺省情况下,临时关闭BSS服务时长为20秒 |
使能802.1X握手功能之后,设备将定期向通过802.1X认证的在线用户发送握手报文,即单播EAP-Request/Identity报文,来检测用户的在线状态。握手报文发送的时间间隔由802.1X握手定时器控制(时间间隔通过命令dot1x timer handshake-period设置)。如果连续发送握手报文的次数达到802.1X报文最大重发次数,而还没有收到用户响应,则强制该用户下线。
表1-19 配置802.1X握手功能
配置802.1X在线用户握手功能 |
缺省情况下,无线服务模板下的802.1X在线用户握手功能处于关闭状态 |
802.1X安全握手是指在握手报文中加入验证信息,以防止非法用户仿冒正常用户的在线的802.1X的客户端与设备进行握手报文的交互。使能802.1X安全握手功能后,支持安全握手的客户端需要在每次向设备发送的握手应答报文中携带验证信息,设备将其与认证服务器下发的验证信息进行对比,如果不一致,则强制用户下线。
服务器会周期性地更新验证密钥与验证信息,并通过计费响应报文下发给设备。设备同样会将验证密钥发送给客户端,而保存验证信息用于校验客户端响应报文的合法性。
表1-20 配置802.1X安全握手功能
配置802.1X在线用户握手功能 |
缺省情况下,无线服务模板下的802.1X在线用户握手功能处于关闭状态 |
|
配置802.1X在线用户安全握手功能 |
缺省情况下,802.1X的在线用户的安全握手功能处于关闭状态 |
· 802.1X安全握手功能只有在使能了802.1X握手功能的前提下才生效。
· dot1x handshake secure enable命令只对进行802.1X认证且成功上线的用户有效。
从无线服务模板上接入的802.1X用户将按照如下先后顺序进行选择ISP域:无线服务模板下指定的ISP域-->用户名中指定的ISP域-->系统缺省的ISP域。
表1-21 配置802.1x用户ISP域
配置802.1X用户ISP域 |
缺省情况下,未指定无线服务模板下的802.1X用户的ISP域 |
当接入此无线服务模板的802.1X用户数超过最大值后,新接入的用户将被拒绝。
表1-22 配置802.1x最大用户数
配置802.1X最大用户数 |
缺省情况下,当前无线服务模板上允许同时接入的802.1X用户数为4096个 |
在无线服务模板下启动了802.1X的周期性重认证功能后,设备会根据周期性重认证定时器设定的时间间隔(由命令dot1x timer reauth-period设置)定期向在线802.1X用户发起重认证,以检测用户连接状态的变化、确保用户的正常在线,并及时更新服务器下发的授权属性(例如ACL、VLAN、User Profile)。
认证服务器可以通过下发RADIUS属性(session-timeout、termination-action)来指定用户会话超时时长以及会话中止的动作类型。认证服务器上如何下发以上RADIUS属性的具体配置以及是否可以下发重认证周期的情况与服务器类型有关,请参考具体的认证服务器实现。
802.1X用户认证通过后,用户的重认证功能具体实现如下:
· 当认证服务器下发了用户会话超时时长,且指定的会话中止动作为要求用户进行重认证,则无论设备上是否开启周期性重认证功能,都会在用户会话超时时长到达后对该用户发起重认证。
· 当认证服务器下发了用户会话超时时长,且指定的会话中止动作为要求用户下线时:
¡ 若设备上未开启周期性重认证功能,则用户在会话超时时长到达后下线。
· 当认证服务器未下发用户会话超时时长时,是否对用户进行重认证,由设备上配置的重认证功能决定。
表1-23 配置802.1x重认证功能
配置802.1X重认证功能 |
缺省情况下,无线服务模板上的802.1X周期性重认证功能处于关闭状态 |
当接入此无线服务模板的MAC地址认证用户数超过最大值后,新接入的用户将被拒绝。
表1-24 配置MAC地址认证最大用户数
配置MAC地址认证最大用户数 |
缺省情况下,当前无线服务模板上允许接入的MAC地址认证最大用户数为4096个 |
从无线服务模板上接入的MAC地址认证用户将按照如下先后顺序进行选择ISP域:无线服务模板下指定的ISP域-->全局MAC地址ISP域-->系统缺省的ISP域。
表1-25 配置MAC地址认证用户ISP域
配置MAC地址认证用户的ISP域 |
缺省情况下,未指定无线服务模板下的MAC地址认证用户的ISP域 |
无线客户端通过802.1X认证或者MAC地址认证方式上线后,设备会根据配置的计费延时的时间和触发计费开始的无线客户端IP地址类型决定是否向计费服务器发送计费开始请求报文,当计费服务器返回计费开始响应报文后开始对客户端进行计费。有关计费的详细介绍请参见“安全配置指导”中的“AAA”。
配置触发计费开始的无线客户端IP地址类型时,需要开启相应的客户端IP地址类型学习功能,配置才会生效。有关客户端IP地址学习功能的详细介绍请参见“WLAN配置指导”中的“WLAN IP Snooping”。
无线服务模板开启后,再配置本特性,则配置只对新上线的客户端生效,对已经上线的客户端无效。
表1-26 配置发送计费开始报文的触发条件
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
配置触发计费开始的无线客户端IP地址类型 |
client-security accounting-start trigger { ipv4 | ipv4-ipv6 | ipv6 | none } |
缺省情况下,触发计费开始的无线客户端IP地址类型为IPv4 |
(可选)开启无线客户端计费延时功能 |
client-security accounting-delay time time [ no-ip-logoff ] |
缺省情况下,设备学习到无线客户端的IP地址后,才会向计费服务器发起计费开始请求 |
在实际网络环境中,客户端学习到的IP地址有可能会发生变化,为了对客户端进行精准计费,有必要配置发送计费更新报文的触发条件。当指定类型的客户端的IP地址发生变化时,便会触发设备发送计费更新报文,发送周期由RADIUS服务器的实时计费间隔配置决定。有关RADIUS实时计费间隔的详细介绍请参见“安全配置指导”中的“AAA”。
无线服务模板开启后,再配置本特性,则配置只对新上线的客户端生效,对已经上线的客户端无效。
表1-27 配置发送计费更新报文的触发条件
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
配置触发计费更新的无线客户端IP地址类型 |
client-security accounting-update trigger { ipv4 | ipv4-ipv6 | ipv6 } |
缺省情况下,根据计费服务器下发或设备配置的实时计费的时间间隔规则周期性发送计费更新请求报文 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后用户接入认证的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除相关统计信息。
display dot1x connection、display dot1x和reset dot1x statistics命令的详细介绍,请参见“安全命令参考”中的“802.1X”。
display mac-authentication connection、display mac-authentication和reset mac-authentication statistics命令的详细介绍,请参见“安全命令参考”中的“MAC地址认证”。
表1-28 WLAN用户接入认证显示和维护
显示802.1X在线用户的连接信息 |
|
显示802.1X的会话连接信息、相关统计信息或配置信息 |
|
显示MAC地址认证连接信息 |
|
显示MAC地址认证的相关信息 |
|
显示阻塞MAC地址信息 |
display wlan client-security block-mac [ ap ap-name [ radio radio-id ] ] |
清除802.1X的统计信息 |
reset dot1x statistics [ ap ap-name [ radio radio-id ] | interface interface-type interface-number ] |
清除MAC地址认证的统计信息 |
· AC和AP通过交换机建立连接。AC的IP地址为10.18.1.1。
· 要求使用802.1X CHAP非加密方式进行用户身份认证。
图1-5 802.1X认证(CHAP本地认证)典型配置组网图
下述配置步骤中包含了若干AAA/本地用户的配置命令,关于这些命令的详细介绍请参见“安全命令参考”中的“AAA”。
(1) 配置802.1X认证方式及本地用户
# 配置802.1X认证方式为CHAP。
[AC] dot1x authentication-method chap
# 配置本地用户,用户名为chap1,所属的组为网络接入用户组,密码为明文123456,服务类型为lan-access。
[AC] local-user chap1 class network
[AC-luser-network-chap1] password simple 123456
[AC-luser-network-chap1] service-type lan-access
[AC-luser-network-chap1] quit
(2) 配置ISP域的AAA方法
# 配置名称为local的ISP域,并将认证、授权和计费的方式配置为本地。
[AC-isp-local] authentication lan-access local
[AC-isp-local] authorization lan-access local
[AC-isp-local] accounting lan-access local
[AC-isp-local] quit
# 配置无线服务模板,名称为wlas_local_chap,用户认证方式为802.1X,ISP域为local,SSID为wlas_local_chap。
[AC] wlan service-template wlas_local_chap
[AC-wlan-st-wlas_local_chap] client-security authentication-mode dot1x
[AC-wlan-st-wlas_local_chap] dot1x domain local
[AC-wlan-st-wlas_local_chap] ssid wlas_local_chap
# 使能无线服务模板。
[AC-wlan-st-wlas_local_chap] service-template enable
[AC-wlan-st-wlas_local_chap] quit
(4) 配置手工AP,并将无线服务模板绑定到radio上
# 创建ap1,并配置序列号。
[AC] wlan ap ap1 model WA4320i-ACN
[AC-wlan-ap-ap1] serial-id 210235A1BSC123000050
# 配置Radio信道为149,并使能射频。
[AC-wlan-ap-ap1-radio-1] channel 149
[AC-wlan-ap-ap1-radio-1] radio enable
# 将无线服务模板wlas_local_chap绑定到radio1上。
[AC-wlan-ap-ap1-radio-1] service-template wlas_local_chap
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
使用命令display wlan service-template可以查看AP上的802.1X配置情况。当802.1X用户输入正确的用户名和密码成功上线后,可使用命令display dot1x connection查看到上线用户的连接情况。
· AC和RADIUS服务器通过交换机建立连接。AC的IP地址为10.18.1.1,与AC相连的RADIUS服务器的IP地址为10.18.1.88。
· 要求使用EAP-PEAP方式进行802.1X用户身份认证。
图1-6 802.1X认证(EAP-PEAP加密)典型配置组网图
· 下述配置步骤中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍请参见“安全配置指导”中的“AAA”。
· 完成RADIUS服务器的配置,安装证书并添加用户账户,保证用户的认证/授权/计费功能正常运行。
· 完成客户端802.1X的配置,安装证书。
(1) 配置802.1X认证方式及RADIUS方案
# 配置802.1X认证方式为EAP。
[AC] dot1x authentication-method eap
# 配置RADIUS方案,名称为imcc,主认证服务器的IP地址为10.18.1.88,端口号为1812,配置主计费服务器的IP地址为10.18.1.88,端口号为1813,认证密钥为明文12345678,计费密钥为明文12345678,用户名格式为without-domain。
[AC-radius-imcc] primary authentication 10.18.1.88 1812
[AC-radius-imcc] primary accounting 10.18.1.88 1813
[AC-radius-imcc] key authentication simple 12345678
[AC-radius-imcc] key accounting simple 12345678
[AC-radius-imcc] user-name-format without-domain
[AC-radius-imcc] quit
(2) 配置ISP域的AAA方法
# 配置名称为imc的ISP域,并将认证、授权和计费的方式配置为使用Radius方案imcc。
[AC-isp-imc] authentication lan-access radius-scheme imcc
[AC-isp-imc] authorization lan-access radius-scheme imcc
[AC-isp-imc] accounting lan-access radius-scheme imcc
[AC-isp-imc] quit
# 配置无线服务模板名称为wlas_imc_peap,用户认证方式为802.1X,ISP域为imc,SSID为wlas_imc_peap,AKM模式为802.1X,加密套件为CCMP,安全IE为RSN。
[AC] wlan service-template wlas_imc_peap
[AC-wlan-st-wlas_imc_peap] client-security authentication-mode dot1x
[AC-wlan-st-wlas_imc_peap] dot1x domain imc
[AC-wlan-st-wlas_imc_peap] ssid wlas_imc_peap
[AC-wlan-st-wlas_imc_peap] akm mode dot1x
[AC-wlan-st-wlas_imc_peap] cipher-suite ccmp
[AC-wlan-st-wlas_imc_peap] security-ie rsn
# 使能无线服务模板。
[AC-wlan-st-wlas_imc_tls] service-template enable
[AC-wlan-st-wlas_imc_tls] quit
(4) 配置手工AP,并将无线服务模板绑定到radio上
# 创建ap1。
[AC] wlan ap ap1 model WA4320i-ACN
[AC-wlan-ap-ap1] serial-id 210235A1BSC123000050
# 配置信道为149,并使能射频。
[AC-wlan-ap-ap1-radio-1] channel 149
[AC-wlan-ap-ap1-radio-1] radio enable
# 绑定无线服务模板。
[AC-wlan-ap-ap1-radio-1] service-template wlas_imc_peap
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
(5) 配置RADIUS server(iMC V7)
· 下面以iMC为例(使用iMC版本为:iMC PLAT 7.1、iMC UAM 7.1),说明RADIUS server的基本配置。
· 在服务器上已经完成证书的安装。
# 增加接入设备。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备管理页面,点击页面中的接入设备配置按钮,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
· 设置认证、计费共享密钥为12345678,其它保持缺省配置;
· 选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备。
图1-7 增加接入设备页面
# 增加服务策略。
选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面,在该页面中单击“增加”按钮,进入增加接入策略页面。
· 设置接入策略名为dot1x;
· 选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证。认证证书子类型需要与客户端的身份验证方法一致。
图1-8 增加服务策略页面
# 增加接入服务。
选择“用户”页签,单击导航栏中的[接入策略管理/接入服务管理]菜单项,进入接入服务管理页面,在该页面中单击<增加>按钮,进入增加接入服务页面。
· 设置服务名为dot1x;
· 设置缺省接入策略为已经创建的dot1x策略。
图1-9 增加接入服务页面
# 增加接入用户。
选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。
· 添加用户user;
· 添加帐号名为user,密码为dot1x;
· 选中之前配置的服务dot1x。
图1-10 增加接入用户页面
(6) 配置无线网卡
选择无线网卡,在验证对话框中,选择EAP类型为PEAP,点击“属性”,去掉验证服务器证书选项(此处不验证服务器证书),点击“配置”,去掉自动使用Windows登录名和密码选项。然后“确定”。整个过程如下图所示。
在客户端上已经完成证书安装。
图1-11 无线网卡配置过程
图1-12 无线网卡配置过程
图1-13 无线网卡配置过程
图1-14 无线网卡配置过程
图1-15 无线网卡配置过程
客户端通过802.1X认证成功关联AP,并且可以访问无线网络。
通过display dot1x connection命令显示802.1X用户连接信息,可以看到用户名和客户端输入的用户名一致。
[AC] display dot1x connection
User MAC address : 0023-8933-2090
BSSID : 000f-e201-0003
User name : user
Authentication domain : imc
Authentication method : EAP
Initial VLAN : 1
Authorization VLAN : N/A
Authorization ACL number : N/A
Authorization user profile : N/A
Termination action : Default
Session timeout period : 6001 s
Online from : 2014/04/18 09:25:18
Online duration : 0h 1m 1s
Total connections: 1.
通过display wlan client 显示命令查看无线客户端在线情况查看802.1X用户上线信息,可看到802.1X用户成功上线。
[AC] display wlan client
Total number of clients : 1
MAC address Username AP name R IP address VLAN
0023-8933-2090 user ap1 1 10.18.1.100 1
· AC和RADIUS服务器通过交换机建立连接。AC的IP地址为10.18.1.1,与AC相连的RADIUS服务器的IP地址为10.18.1.88。
· 要求使用MAC认证方式进行用户身份认证。
图1-16 使用RADIUS服务器进行MAC地址认证典型配置组网图
确保RADIUS服务器与设备路由可达,完成服务器的配置,并成功添加了接入用户账户,用户名:123,密码为aaa_maca。
# 配置RADIUS方案,名称为imcc,认证服务器的IP地址为10.18.1.88,端口号为1812,配置计费服务器的IP地址为10.18.1.88,端口号为1813,认证密钥为明文12345678,计费密钥为明文12345678,用户名格式为without-domain。
[AC] radius scheme imcc
[AC-radius-imcc] primary authentication 10.18.1.88 1812
[AC-radius-imcc] primary accounting 10.18.1.88 1813
[AC-radius-imcc] key authentication simple 12345678
[AC-radius-imcc] key accounting simple 12345678
[AC-radius-imcc] user-name-format without-domain
[AC-radius-imcc] quit
(2) 配置ISP域的AAA方法
# 配置名称为imc的ISP域,并将认证、授权和计费的方式配置为使用RADIUS方案imcc。
[AC-isp-imc] authentication lan-access radius-scheme imcc
[AC-isp-imc] authorization lan-access radius-scheme imcc
[AC-isp-imc] accounting lan-access radius-scheme imcc
[AC-isp-imc] quit
(3) 配置MAC地址认证
# 配置MAC地址认证用户名格式为固定用户名格式,用户名为123,密码为明文aaa_maca(若配置成大写、不带连字符的mac地址格式,服务器需要配置与之对应的用户名格式;若配置成固定用户名格式,服务器也需要配置与其对应的用户名格式)。
[AC] mac-authentication user-name-format fixed account 123 password simple aaa_maca
# 配置无线服务模板maca_imc的SSID为maca_imc,并设置用户认证方式为MAC地址认证,ISP域为imc。
[AC] wlan service-template maca_imc
[AC-wlan-st-maca_imc] ssid maca_imc
[AC-wlan-st-maca_imc] client-security authentication-mode mac
[AC-wlan-st-maca_imc] mac-authentication domain imc
# 使能无线服务模板。
[AC-wlan-st-maca_imc] service-template enable
[AC-wlan-st-maca_imc] quit
(4) 配置手工AP并将无线服务模板绑定到radio上
# 创建ap1。
[AC] wlan ap ap1 model WA4320i-ACN
[AC-wlan-ap-ap1] serial-id 210235A1BSC123000050
# 配置信道为149,并使能射频。
[AC-wlan-ap-ap1-radio-1] channel 149
[AC-wlan-ap-ap1-radio-1] radio enable
# 绑定无线服务模板。
[AC-wlan-ap-ap1-radio-1] service-template maca_imc
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
(5) 配置RADIUS server(iMC V7)
下面以iMC为例(使用iMC版本为:iMC PLAT 7.1、iMC UAM 7.1),说明RADIUS server的基本配置。
# 增加接入设备。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备管理页面,点击页面中的进入接入设备配置按钮,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
· 设置认证、计费共享密钥为12345678,其它保持缺省配置;
· 选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备。
图1-17 增加接入设备页面
# 增加服务策略。
选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面,在该页面中单击“增加”按钮,进入增加接入策略页面。
设置接入策略名为aaa_maca,其它保持缺省配置。
图1-18 增加服务策略页面
# 增加接入服务。
选择“用户”页签,单击导航栏中的[接入策略管理/接入服务管理]菜单项,进入接入服务管理页面,在该页面中单击<增加>按钮,进入增加接入服务页面。
· 设置服务名为aaa_maca;
· 设置缺省接入策略为已经创建的aaa_maca。
图1-19 增加接入服务页面
# 增加接入用户。
选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。
· 添加用户123;
· 添加帐号名为123,密码为aaa_maca;
· 选中之前配置的服务aaa_maca。
图1-20 增加接入用户页面
# 客户端通过MAC认证成功关联AP,并且可以访问无线网络。
通过display mac-authentication connection命令显示MAC用户连接信息。
[AC] display mac-authentication connection
User MAC address : 0023-8933-2098
BSSID : 000f-e201-0001
User name : 123
Authentication domain : imc
Initial VLAN : 1
Authorization VLAN : N/A
Authorization ACL number : N/A
Authorization user profile : N/A
Termination action : Radius-Request
Session timeout period : 6001 s
Online from : 2014/04/17 17:21:12
Online duration : 0h 0m 30s
Total connections: 1.
通过display wlan client显示命令查看无线客户端在线情况查看MAC地址认证用户上线信息,可看到MAC地址认证用户成功上线。
[AC] display wlan client
Total number of clients : 1
MAC address Username AP name R IP address VLAN
0023-8933-2098 123 ap1 1 10.18.1.100 1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!