63-802.1X典型配置举例
本章节下载: 63-802.1X典型配置举例 (880.29 KB)
本文档介绍了使用802.1X功能实现用户安全接入的典型配置案例。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文假设您已了解802.1X特性。
如图1所示,用户通过Device的端口GigabitEthernet1/0/1接入网络。要求:Device对从该端口接入的用户采用基于端口的接入控制方式进行802.1X本地认证以控制其访问Internet。
图1 802.1X本地认证配置组网图
为了使设备能够识别合法的用户,在设备上添加合法的802.1X认证用户名和密码。
表1 适用产品及版本
产品 |
软件版本 |
S5560X-EI系列 |
Release 63xx系列 |
S5560X-HI系列 |
Release 63xx系列 |
S5500V2-EI系列 |
Release 63xx系列 |
MS4520V2-30F |
Release 63xx系列 |
S6520X-HI系列 S6520X-EI系列 |
Release 63xx系列 |
S6520X-SI系列 S6520-SI系列 |
Release 63xx系列 |
S5000-EI系列 |
Release 63xx系列 |
MS4600系列 |
Release 63xx系列 |
S5560S-EI系列 S5560S-SI系列 |
Release 63xx系列 |
S5130S-HI系列 S5130S-EI系列 S5130S-SI系列 S5130S-LI系列 |
Release 63xx系列 |
S5120V2-SI系列 S5120V2-LI系列 |
Release 63xx系列 |
S3100V3-EI系列 S3100V3-SI系列 |
Release 63xx系列 |
S5110V2系列 |
Release 63xx系列 |
S5110V2-SI系列 |
Release 63xx系列 |
S5000V3-EI系列 |
Release 63xx系列 |
S5000E-X系列 |
Release 63xx系列 |
E128C E152C E500C系列 E500D系列 |
Release 63xx系列 |
MS4520V2系列(除MS4520V2-30F) |
Release 63xx系列 |
MS4320V2系列 MS4300V2系列 MS4320系列 MS4200系列 |
Release 63xx系列 |
WS5850-WiNet系列 |
Release 63xx系列 |
WS5820-WiNet系列 WS5810-WiNet系列 |
Release 63xx系列 |
WAS6000系列 |
Release 63xx系列 |
使能全局的802.1X认证功能一般放在最后,因为当相关参数未配置完成时,会造成合法用户无法访问网络。
只有同时开启全局和端口的802.1X特性后,802.1X的配置才能在端口上生效。
(1) 配置本地用户
# 添加网络接入类本地用户,用户名为“dot1x”,并进入该用户视图。
<Device> system-view
[Device] local-user dot1x class network
New local user added.
# 配置用户“dot1x”的密码为明文123456TESTplat&!。
[Device-luser-network-dot1x] password simple 123456TESTplat&!
# 配置本地用户的服务类型为lan-access。
[Device-luser-network-dot1x] service-type lan-access
[Device-luser-network-dot1x] quit
(2) 配置虚接口地址,作为Host的网关
[Device] interface vlan-interface 1
[Device-Vlan-interface1] ip address 192.168.56.101 255.255.255.0
[Device-Vlan-interface1] quit
(3) 配置802.1X认证
# 开启端口GigabitEthernet1/0/1的802.1X认证。
[Device] interface gigabitethernet1/0/1
[Device-GigabitEthernet1/0/1] dot1x
# 配置基于端口的接入控制方式
[Device-GigabitEthernet1/0/1] dot1x port-method portbased
[Device-GigabitEthernet1/0/1] quit
# 开启全局802.1X认证。
[Device] dot1x
· 以下使用iNode PC 7.3(E0518)版本为例介绍802.1X客户端的配置。
· 若使用Windows XP的802.1X客户端,则需要正确设置此连接的网络属性:在网络属性的“验证”页签中,确保选中“启用此网络的 IEEE 802.1x 验证”,并选择要用于此连接的EAP认证类型为“MD5-质询”。
· 保证用户在通过认证后,能够及时更新客户端IP地址与授权VLAN中的资源互通。
(1) 启动客户端
图2 iNode客户端界面示意图
(2) 新建802.1X连接
点击<新建>按钮,进入新建连接向导对话框。
图3 新建802.1X连接示意图
(3) 输入用户名和密码
图4 802.1X用户名、密码配置示意图
(4) 设置连接属性
图5 802.1X连接属性配置示意图
由于本地认证不能对客户端上传的版本号进行识别,请不要勾选“上传客户端版本号”选项。
(5) 发起802.1X连接
完成新建连接后,点击iNode客户端的<连接>按钮,发起802.1X连接。
图6 802.1X启动连接示意图
部分设备不支持VSI相关显示信息。
# 使用命令display dot1x interface可以查看端口GigabitEthernet1/0/1上的802.1X的配置情况。
[Device] display dot1x interface gigabitethernet 1/0/1
Global 802.1X parameters:
802.1X authentication : Enabled
CHAP authentication : Enabled
Max-tx period : 30 s
Handshake period : 15 s
Offline detect period : 300 s
Quiet timer : Disabled
Quiet period : 60 s
Supp timeout : 30 s
Server timeout : 100 s
Reauth period : 3600 s
Max auth requests : 2
User aging period for Auth-Fail VLAN : 1000 s
User aging period for Auth-Fail VSI : 1000 s
User aging period for critical VLAN : 1000 s
User aging period for critical VSI : 1000 s
User aging period for guest VLAN : 1000 s
User aging period for guest VSI : 1000 s
EAD assistant function : Disabled
EAD timeout : 30 min
Domain delimiter : @
Online 802.1X wired users : 0
GigabitEthernet1/0/1 is link-up
802.1X authentication : Enabled
Handshake : Enabled
Handshake reply : Disabled
Handshake security : Disabled
Unicast trigger : Disabled
Periodic reauth : Disabled
Port role : Authenticator
Authorization mode : Auto
Port access control : Port-based
Multicast trigger : Enabled
Mandatory auth domain : Not configured
Guest VLAN : Not configured
Auth-Fail VLAN : Not configured
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Add Guest VLAN delay : Disabled
Re-auth server-unreachable : Logoff
Max online users : 4294967295
User IP freezing : Disabled
Reauth period : 0 s
Send Packets Without Tag : Disabled
Max Attempts Fail Number : 0
Guest VSI : Not configured
Auth-Fail VSI : Not configured
Critical VSI : Not configured
Add Guest VSI delay : Disabled
User aging : Enabled
Server-recovery online-user-sync : Disabled
Auth-Fail EAPOL : Disabled
Critical EAPOL : Disabled
Discard duplicate EAPOL-Start : No
EAPOL packets: Tx 0, Rx 0
Sent EAP Request/Identity packets : 0
EAP Request/Challenge packets: 0
EAP Success packets: 0
EAP Failure packets: 0
Received EAPOL Start packets : 0
EAPOL LogOff packets: 0
EAP Response/Identity packets : 0
EAP Response/Challenge packets: 0
Error packets: 0
Online 802.1X users: 0
# 当iNode客户端输入正确的用户名和密码成功上线后,可使用命令display dot1x connection查看到上线用户的连接情况。
#
interface Vlan-interface1
ip address 192.168.56.101 255.255.255.0
#
local-user localuser class network
password cipher $c$3$YPkufRcxFR3KdpUCHFiNkns/YFPmbJkG/pQxBg==
service-type lan-access
authorization-attribute user-role network-operator
#
interface GigabitEthernet1/0/1
dot1x
dot1x port-method portbased
#
dot1x
#
如图7所示,Device B作为RADIUS服务器对通过Device A接入的802.1X用户进行认证和授权。具体要求如下:
· Device B作为RADIUS服务器,其IP地址为10.1.1.1/24,负责接收NAS发送的认证、授权、请求并进行相应的处理。
· Device A作为NAS,负责验证用户身份与管理用户接入。
· 802.1X用户通过Device A的端口GigabitEthernet1/0/1接入网络,用户认证成功后,认证服务器授权下发VLAN 4,将用户所在端口加入该VLAN,允许用户访问该VLAN中的网络资源。
图7 设备作为RADIUS服务器对802.1X用户进行认证和授权配置组网图
· 为了使RADIUS服务器能够识别合法的用户,在RADIUS服务器上添加合法的802.1X认证用户名和密码。
· 为了使用户认证成功后,可以访问VLAN中的网络资源,在RADIUS服务器上配置授权下发VLAN 4。
· 为了在RADIUS服务器和Device之间安全地传输用户密码,并且能在NAS上验证服务器响应报文未被篡改,在RADIUS服务器和Device上设置交互报文时所使用的共享密钥expert。
· 为了实现通过RADIUS来进行认证和授权,需要在Device上配置RADIUS方案并指定相应的认证和授权服务器,并将其应用于802.1X认证用户所属的ISP域。
表2 适用产品及版本
产品 |
软件版本 |
S5560X-EI系列 |
Release 63xx系列 |
S5560X-HI系列 |
Release 63xx系列 |
S5500V2-EI系列 |
Release 63xx系列 |
MS4520V2-30F |
Release 63xx系列 |
S6520X-HI系列 S6520X-EI系列 |
Release 63xx系列 |
S6520X-SI系列 S6520-SI系列 |
Release 63xx系列 |
S5000-EI系列 |
Release 63xx系列 |
MS4600系列 |
Release 63xx系列 |
S5560S-EI系列 S5560S-SI系列 |
Release 63xx系列 |
S5130S-HI系列 S5130S-EI系列 S5130S-SI系列 S5130S-LI系列 |
Release 63xx系列 |
S5120V2-SI系列 S5120V2-LI系列 |
Release 63xx系列 |
S3100V3-EI系列 S3100V3-SI系列 |
Release 63xx系列 |
S5110V2系列 |
Release 63xx系列 |
S5110V2-SI系列 |
Release 63xx系列 |
S5000V3-EI系列 |
Release 63xx系列 |
S5000E-X系列 |
Release 63xx系列 |
E128C E152C E500C系列 E500D系列 |
Release 63xx系列 |
MS4520V2系列(除MS4520V2-30F) |
Release 63xx系列 |
MS4320V2系列 MS4300V2系列 MS4320系列 MS4200系列 |
Release 63xx系列 |
WS5850-WiNet系列 |
Release 63xx系列 |
WS5820-WiNet系列 WS5810-WiNet系列 |
Release 63xx系列 |
WAS6000系列 |
Release 63xx系列 |
使能全局的802.1X认证功能一般放在最后,因为当相关参数未配置完成时,会造成合法用户无法访问网络。
只有同时开启全局和端口的802.1X特性后,802.1X的配置才能在端口上生效。
下面以H3C交换机作为RADIUS服务器,说明RADIUS server的基本配置。
(1) 配置RADIUS服务器
# 创建名为“dot1x”的网络接入本地用户,并进入该用户视图。
<DeviceB> system-view
[DeviceB] local-user dot1x class network
New local user added.
# 配置用户“dot1x”的密码为明文123456TESTplat&!。
[DeviceB-luser-network-dot1x] password simple 123456TESTplat&!
# 配置授权VLAN为VLAN 4。
[DeviceB-luser-network-dot1x] authorization-attribute vlan 4
[DeviceB-luser-network-dot1x] quit
# 配置RADIUS客户端的IP地址为10.1.1.2,共享密钥为明文expert。
[DeviceB] radius-server client ip 10.1.1.2 key simple expert
# 激活当前配置的RADIUS客户端和RADIUS用户。
[DeviceB] radius-server activate
(1) 配置RADIUS方案
# 创建名称为rad的RADIUS方案并进入该方案视图。
<DeviceA> system-view
[DeviceA] radius scheme rad
New RADIUS scheme.
# 配置主认证服务器IP地址为10.1.1.1,认证报文的共享密钥为明文expert。
[DeviceA-radius-rad] primary authentication 10.1.1.1 key simple expert
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[DeviceA-radius-rad] user-name-format without-domain
[DeviceA-radius-rad] quit
(2) 配置ISP域
# 创建并进入名称为bbb的ISP域。
[DeviceA] domain bbb
# 为lan-access用户配置AAA认证方法为RADIUS认证/授权,且均使用RADIUS方案rad,并配置不计费。
[DeviceA-isp-bbb] authentication lan-access radius-scheme rad
[DeviceA-isp-bbb] authorization lan-access radius-scheme rad
[DeviceA-isp-bbb] accounting lan-access none
[DeviceA-isp-bbb] quit
(3) 配置802.1X认证
# 开启端口GigabitEthernet1/0/1的802.1X认证。
[DeviceA] interface gigabitethernet1/0/1
[DeviceA-GigabitEthernet1/0/1] dot1x
# 指定端口上接入的802.1X用户使用认证域bbb。
[DeviceA-GigabitEthernet1/0/1] dot1x mandatory-domain bbb
[DeviceA-GigabitEthernet1/0/1] quit
# 开启全局802.1X认证。
[DeviceA] dot1x
· 以下使用iNode PC 7.3(E0518)版本为例介绍802.1X客户端的配置。
· 若使用Windows XP的802.1X客户端,则需要正确设置此连接的网络属性:在网络属性的“验证”页签中,确保选中“启用此网络的 IEEE 802.1x 验证”,并选择要用于此连接的EAP认证类型为“MD5-质询”。
· 保证用户在通过认证后,能够及时更新客户端IP地址与授权VLAN中的资源互通。
(1) 启动客户端
图8 iNode客户端界面示意图
(2) 新建802.1X连接
点击<新建>按钮,进入新建连接向导对话框。
图9 新建802.1X连接示意图
(3) 输入用户名和密码
图10 802.1X用户名、密码配置示意图
需要注意:iNode认证连接的用户名,备用于认证的域,以及服务器的后缀三者密切相连,具体的配置关系参加下表。
表3 认证域配置关系表
iNode认证连接的用户名 |
设备用于认证的domian |
设备配置的相关命令 |
iMC中的服务后缀 |
X@Y |
Y |
with-domain |
Y |
without-domain |
无 |
||
X |
Default domain (设备上指定的缺省域) |
with-domain |
Default domain |
without-domain |
无 |
(4) 设置连接属性
图11 802.1X连接属性配置示意图
需要注意的是:用户选项中如果选择了“上传客户端版本号”则客户端会对标准的认证协议进行扩展,在上传用户名的报文中添加客户端版本号来与iMC服务器配合进行认证。如果不选此项,则采用标准的EAP报文进行身份认证。
(5) 发起802.1X连接
完成新建连接,输入正确的用户名和密码后,点击iNode客户端的<连接>按钮,发起802.1X连接。
图12 802.1X启动连接示意图
部分设备不支持VSI相关显示信息。
# 在Device B上查看到所有处于激活状态的RADIUS客户端信息以及RADIUS用户信息。
[DeviceB] display radius-server active-client
Total 1 RADIUS clients.
Client IP: 10.1.1.2
[DeviceB] display radius-server active-user dot1x
Total 1 RADIUS users matched.
Username: dot1x
Description: Not configured
Authorization attributes:
VLAN ID: 4
ACL number: Not configured
Validity period:
Expiration time: Not configured
# 在Device A上查看上线用户的连接情况。
[DeviceA] display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: 0010-9400-0021
Access interface: Bridge-Aggregation1024
Username: wang
User access state: Successful
Authentication domain: imc
EAP packet identifier: 4
Authentication method: CHAP
Initial VLAN: 117
Authorization untagged VLAN: N/A
Authorization tagged VLAN list: N/A
Authorization VSI: vsi6
Authorization microsegment ID: 3501
Authorization ACL number/name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: Default
Session timeout period: 86400 s
Online from: 2013/01/20 07:58:10
Online duration: 0h 0m 40s
<DeviceA>
#
dot1x
#
radius scheme rad
primary authentication 10.1.1.1 key cipher $c$3$l+xIXR7hboPo33+MkEf/01WsnVHhxZCeYg==
user-name-format without-domain
#
domain bbb
authentication lan-access radius-scheme rad
authorization lan-access radius-scheme rad
accounting lan-access none
#
interface GigabitEthernet1/0/1
port link-mode bridge
dot1x
dot1x mandatory-domain bbb
#
<DeviceB>
#
local-user dot1x class network
password cipher $c$3$GuUyAQq0JHH6iBF38xsnB/tQEPTZhTAMIGLweOXr2uPbqJ0=
authorization-attribute vlan 4
authorization-attribute user-role network-operator
#
radius-server client ip 10.1.1.2 key cipher $c$3$Po5RD6PcGZi+V6l6Nx7hpiLZNSMeOjbUzQ==
#
radius-server activate
#
如图13所示,802.1X用户通过其与Device的相连端口GigabitEthernet1/0/1接入网络。用户采用Windows XP自带的802.1X客户端软件进行认证。认证/授权服务器均采用iMC服务器。
图13 802.1X接入认证组网示意图
· 为了保证Device可以使用RADIUS server认证用户,需要在RADIUS server上添加接入设备和接入用户,并配置接入规则和服务。
· 未了保证Device能够对接入用户进行认证和授权,需要在Device上完成AAA配置,包括配置ISP域,以及与RADIUS服务器交互的RADIUS方案。
· 为了提高网络的安全性,对于不能主动发送EAPOL-Start报文的客户端(例如Windows XP自带的802.1X客户端软件),且用户网络内不希望出现过多的认证触发报文。可通过配置802.1X设备单播触发功能来触发接入设备进行802.1X认证,以控制其访问Internet。802.1X用户的接入控制方式是基于MAC地址的接入控制方式,认证时,采用进行RADIUS认证/授权方式。
表4 适用产品及版本
产品 |
软件版本 |
S5560X-EI系列 |
Release 63xx系列 |
S5560X-HI系列 |
Release 63xx系列 |
S5500V2-EI系列 |
Release 63xx系列 |
MS4520V2-30F |
Release 63xx系列 |
S6520X-HI系列 S6520X-EI系列 |
Release 63xx系列 |
S6520X-SI系列 S6520-SI系列 |
Release 63xx系列 |
S5000-EI系列 |
Release 63xx系列 |
MS4600系列 |
Release 63xx系列 |
S5560S-EI系列 S5560S-SI系列 |
Release 63xx系列 |
S5130S-HI系列 S5130S-EI系列 S5130S-SI系列 S5130S-LI系列 |
Release 63xx系列 |
S5120V2-SI系列 S5120V2-LI系列 |
Release 63xx系列 |
S3100V3-EI系列 S3100V3-SI系列 |
Release 63xx系列 |
S5110V2系列 |
Release 63xx系列 |
S5110V2-SI系列 |
Release 63xx系列 |
S5000V3-EI系列 |
Release 63xx系列 |
S5000E-X系列 |
Release 63xx系列 |
E128C E152C E500C系列 E500D系列 |
Release 63xx系列 |
MS4520V2系列(除MS4520V2-30F) |
Release 63xx系列 |
MS4320V2系列 MS4300V2系列 MS4320系列 MS4200系列 |
Release 63xx系列 |
WS5850-WiNet系列 |
Release 63xx系列 |
WS5820-WiNet系列 WS5810-WiNet系列 |
Release 63xx系列 |
WAS6000系列 |
Release 63xx系列 |
开启单播触发功能时,建议关闭组播触发功能,以免认证报文重复发送。
· 按照组网图配置设备各接口的IP地址,保证各主机、服务器和设备之间的路由可达。
· 下面以iMC PLAT 7.3(E0506)、iMC EIA 7.3(E0503)、iMC EIP 7.3(E0503)版本为例,说明RADIUS server的基本配置。
配置RADIUS服务器,添加接入设备与用户账户,并保证用户的认证/授权/计费功能正常运行。
登录进入iMC管理平台,选择“用户”页签,单击左侧导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项,进入“接入设备配置”页面;在该页面中单击“增加”按钮,进入“增加接入设备”页面。
· 设置认证端口和计费端口分别为“1812”和“1813”;
· 设置与Device交互报文时的共享密钥为“expert”,并确认该共享密钥;
· 选择接入设备类型为“H3C(General)”;
· 选择或手工增加接入设备,添加IP地址为10.1.1.2的接入设备。
· 其它参数采用缺省值,单击<确定>按钮完成操作。
图14 增加接入设备
选择“用户”页签,单击导航树中的“接入策略管理 > 接入策略管理”菜单项,进入“接入策略管理”页面,在该页面中单击“增加”按钮,进入“增加接入策略”页面。
· 输入接入规则名“default”;
· 其它参数采用缺省值;
· 点击<确定>按钮完成操作。
图15 增加接入规则
选择“用户”页签,单击导航树中的“接入策略管理 > 接入服务管理”菜单项,进入“接入服务管理”页面,在该页面中单击“增加”按钮,进入“增加接入服务”页面。
· 输入服务名“service1”,服务后缀“test”;
· 缺省接入规则选择“default”;
· 其它参数采用缺省值;
· 点击<确定>按钮。
图16 增加服务配置
选择“用户”页签,单击导航树中的“接入用户管理 > 接入用户”菜单项,进入“接入用户”列表页面,在该页面中单击<增加>按钮,进入“增加接入用户”页面。
· 单击<增加用户>按钮,添加用户信息;
· 输入帐号名“guest”(该帐号为用户接入网络时使用的标识),密码“123456TESTplat&!”;
· 在接入服务部分选中“service1”;
· 其它参数采用缺省值;
· 点击<确定>按钮。
图17 增加接入用户
# 创建VLAN和VLAN接口,并配置各接口的IP地址(略)。
# 创建RADIUS方案radius1并进入其视图。
<Device> system-view
[Device] radius scheme radius1
# 设置主认证/授权RADIUS服务器的IP地址。
[Device-radius-radius1] primary authentication 10.1.1.1
# 设置系统与认证RADIUS服务器交互报文时的共享密钥。
[Device-radius-radius1] key authentication simple aabbcc
# 创建域test并进入其视图。
[Device] domain test
# 指定radius1为该域用户的RADIUS方案。
[Device-isp-test] authentication lan-access radius-scheme radius1
[Device-isp-test] authorization lan-access radius-scheme radius1
[Device-isp-test] quit
# 配置域test为缺省用户域。
[Device] domain default enable test
# 关闭端口GigabitEthernet1/0/1的802.1X的组播触发功能。
[Device] interface gigabitEthernet 1/0/1
[Device-GigabitEthernet1/0/1] undo dot1x multicast-trigger
# 开启端口GigabitEthernet1/0/1的802.1X的单播触发功能。
[Device-GigabitEthernet 1/0/1] dot1x unicast-trigger
# 开启端口GigabitEthernet1/0/1的802.1X功能。
[Device-GigabitEthernet1/0/1] dot1x
[Device-GigabitEthernet1/0/1] quit
# 开启全局802.1 X功能。
[Device] dot1x
接入用户以Windows XP 自带客户端为例,如图18所示,启动802.1X认证功能。
图18 启动Windows XP的802.1X认证功能
启动802.1X验证功能以后,如果用户需要访问Internet,接入设备的端口GigabitEthernet1/0/1会收到源MAC地址不在设备当前的MAC地址表中的数据帧,该端口将发送EAP单播报文来触发802.1X认证。因此,Host的状态栏会收到提示信息“单击此处输入您的网络用户名和密码”,用户输入正确的用户名“guest@test”和密码“123456TESTplat&!”,即可正常访问Internet。
部分设备不支持port link-mode bridge命令。
#
domain default enable test
#
dot1x
#
radius scheme radius1
primary authentication 10.1.1.1
key authentication cipher $c$3$LAV0oGNaM9Z/CuVcWONBH4xezu48Agh5aQ==
#
domain test
authentication default radius-scheme radius1
authorization default radius-scheme radius1
#
interface GigabitEthernet1/0/1
port link-mode bridge
undo dot1x multicast-trigger
dot1x
dot1x unicast-trigger
#
如图19所示,一台主机通过802.1X认证接入网络,认证服务器为RADIUS服务器。Host接入Device的端口GigabitEthernet1/0/2在VLAN 1内;认证服务器在VLAN 2内;Update Server是用于客户端软件下载和升级的服务器,在VLAN 10内;Device连接Internet网络的端口GigabitEthernet1/0/3在VLAN 5内。现有如下组网需求:
· 在端口上配置完Guest VLAN,则立即将该端口GigabitEthernet1/0/2加入Guest VLAN(VLAN 10)中,此时Host和Update Server都在VLAN 10内,Host可以访问Update Server并下载802.1X客户端。
· 配置QoS策略,在VLAN 10的出方向上过滤掉目的IP为Internet(5.1.1.1)的报文,以防止加入Guest VLAN的客户端未通过认证私自访问Internet。
· 用户认证成功上线后,认证服务器下发VLAN 5,此时Host和连接Internet网络的端口GigabitEthernet1/0/3都在VLAN 5内,Host可以访问Internet。
图19 Guest VLAN及VLAN下发组网图
· 为实现802.1X用户可以访问Update Server进行软件升级等操作,需配置Host接入Device的端口加入Guest VLAN(VLAN 10)。
· 为防止加入Guest VLAN的客户端未通过认证就私自访问Internet,在Guest VLAN的出接口上配置QoS策略,过滤掉目的IP为Internet(5.1.1.1)的报文。
· 为实现802.1X用户认证成功后可以访问Internet,需配置认证服务器对于认证成功用户下发VLAN 5,此时Host和连接Internet网络的端口在同一VLAN(VLAN 5)内。
表5 适用产品及版本
产品 |
软件版本 |
S5560X-EI系列 |
Release 63xx系列 |
S5560X-HI系列 |
Release 63xx系列 |
S5500V2-EI系列 |
Release 63xx系列 |
MS4520V2-30F |
Release 63xx系列 |
S6520X-HI系列 S6520X-EI系列 |
Release 63xx系列 |
S6520X-SI系列 S6520-SI系列 |
Release 63xx系列 |
S5000-EI系列 |
Release 63xx系列 |
MS4600系列 |
Release 63xx系列 |
S5560S-EI系列 S5560S-SI系列 |
Release 63xx系列 |
S5130S-HI系列 S5130S-EI系列 S5130S-SI系列 S5130S-LI系列 |
Release 63xx系列 |
S5120V2-SI系列 S5120V2-LI系列 |
Release 63xx系列 |
S3100V3-EI系列 S3100V3-SI系列 |
Release 63xx系列 |
S5110V2系列 |
Release 63xx系列 |
S5110V2-SI系列 |
Release 63xx系列 |
S5000V3-EI系列 |
Release 63xx系列 |
S5000E-X系列 |
Release 63xx系列 |
E128C E152C E500C系列 E500D系列 |
Release 63xx系列 |
MS4520V2系列(除MS4520V2-30F) |
Release 63xx系列 |
MS4320V2系列 MS4300V2系列 MS4320系列 MS4200系列 |
Release 63xx系列 |
WS5850-WiNet系列 |
Release 63xx系列 |
WS5820-WiNet系列 WS5810-WiNet系列 |
Release 63xx系列 |
WAS6000系列 |
Release 63xx系列 |
· 在接入控制方式为MAC-based的端口上生成的Guest VLAN表项会覆盖已生成的阻塞MAC表项,但如果端口因检测到非法报文而关闭,则802.1X Guest VLAN功能无法生效。
· 如果用户端设备发出的是携带Tag的数据流,且接入端口上使能了802.1X认证并配置了Guest VLAN,为保证各种功能的正常使用,请为Voice VLAN、端口的缺省VLAN和802.1X的Guest VLAN分配不同的VLAN ID。
· 如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的Guest VLAN;同样,如果某个VLAN被指定为某个端口的Guest VLAN,则该VLAN不能被指定为Super VLAN。
下述配置步骤中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍请参考“安全命令参考”中的“AAA”。
下面以iMC为例(使用iMC版本为:iMC PLAT 7.3(E0506)、iMC EIA 7.3(E0503)、iMC EIP 7.3(E0503)),说明RADIUS服务器的基本配置。
配置RADIUS服务器,添加用户账户,指定要授权下发的VLAN(本例中为VLAN 5),并保证用户的认证/授权/计费功能正常运行。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项,进入接入设备配置页面。在该页面中单击“增加”按钮,进入增加接入设备页面。
· 设置认证及计费的端口号分别为“1812”和“1813”;
· 选择接入设备类型为“H3C (General)”;
· 设置与Switch交互报文时的认证、计费共享密钥为“expert”;
· 选择或手工增加接入设备,添加IP地址为10.1.1.2的接入设备;
· 其它参数采用缺省值;
· 单击<确定>按钮完成操作。
添加的接入设备IP地址要与Switch发送RADIUS报文的源地址保持一致。缺省情况下,设备发送RADIUS报文的源地址是发送RADIUS报文的接口IP地址。若设备上通过命令nas-ip或者radius nas-ip指定了发送RADIUS报文的源地址,则此处的接入设备IP地址就需要修改并与指定源地址保持一致。
图20 增加接入设备页面
选择“用户”页签,单击导航树中的“接入策略管理 > 接入策略管理”菜单项,进入接入策略管理页面。在该页面中单击<增加>按钮,进入增加接入策略页面。
· 输入接入策略名称“Dot1x auth”;
· 配置授权下发的VLAN ID为“5”;
· 本配置页面中还有其它策略配置选项,请根据实际情况选择配置;
· 单击<确定>按钮完成操作。
图21 增加接入策略页面
选择“用户”页签,单击导航树中的“接入策略管理 > 接入服务管理”菜单项,进入接入服务管理页面。在该页面中单击<增加>按钮,进入增加服务配置页面。
· 输入服务名为“Dot1x Service”、服务后缀为“bbb”,此服务后缀为802.1X用户使用的认证域。指定服务后缀的情况下,RADIUS方案中必须指定向服务器发送的用户名中携带域名;
· 选择缺省接入策略为“Dot1x auth”;
· 本配置页面中还有其它服务配置选项,请根据实际情况选择配置;
· 单击<确定>按钮完成操作。
图22 增加服务配置页面
选择“用户”页签,单击导航树中的“接入用户管理 > 接入用户”菜单项,进入接入用户页面。在该页面中单击<增加>按钮,进入增加接入用户页面。
· 选择或者手工增加用户姓名为“test”;
· 输入账号名“dot1x”和密码“123456TESTplat&!”;
· 选择该用户所关联的接入服务为“Dot1x Service”;
· 本配置页面中还有其它服务配置选项,请根据实际情况选择配置;
· 单击<确定>按钮完成操作。
图23 增加接入用户页面
(1) 创建VLAN并将端口加入对应VLAN(端口GigabitEthernet1/0/2缺省在VLAN 1内)
<Device> system-view
[Device] vlan 10
[Device-vlan10] port gigabitethernet 1/0/1
[Device-vlan10] quit
[Device] vlan 2
[Device-vlan2] port gigabitethernet 1/0/4
[Device-vlan2] quit
[Device] vlan 5
[Device-vlan5] port gigabitethernet 1/0/3
[Device-vlan5] quit
(2) 配置QoS策略
# 定义高级ACL 3000,过滤目的IP地址为5.1.1.1的报文。
[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule permit ip destination 5.1.1.1 0.0.0.255
[Device-acl-ipv4-adv-3000] quit
# 定义类classifier_1,匹配高级ACL 3000。
[Device] traffic classifier classifier_1
[Device-classifier-classifier_1] if-match acl 3000
[Device-classifier-classifier_1] quit
# 定义流行为behavior_1,动作为流量过滤(deny),对数据包进行丢弃。
[Device] traffic behavior behavior_1
[Device-behavior-behavior_1] filter deny
[Device-behavior-behavior_1] quit
# 定义策略policy_1,为类classifier_1指定流行为behavior_1。
[Device] qos policy policy_1
[Device-qospolicy-policy_1] classifier classifier_1 behavior behavior_1
[Device-qospolicy-policy_1] quit
# 在VLAN 10的出方向应用策略policy_1。
[Device] qos vlan-policy policy_1 vlan 10 outbound
(3) 配置RADIUS方案
# 创建RADIUS方案2000并进入其视图。
[Device] radius scheme 2000
# 配置主认证/计费RADIUS服务器及其共享密钥。
[Device-radius-2000] primary authentication 10.1.1.1 1812
[Device-radius-2000] primary accounting 10.1.1.1 1813
[Device-radius-2000] key authentication simple abc
[Device-radius-2000] key accounting simple abc
# 配置发送给RADIUS服务器的用户名不携带域名。
[Device-radius-2000] user-name-format without-domain
[Device-radius-2000] quit
(4) 配置ISP域
# 创建域bbb并进入其视图。
[Device] domain bbb
# 配置802.1X用户使用RADIUS方案2000进行认证、授权、计费。
[Device-isp-bbb] authentication lan-access radius-scheme 2000
[Device-isp-bbb] authorization lan-access radius-scheme 2000
[Device-isp-bbb] accounting lan-access radius-scheme 2000
[Device-isp-bbb] quit
(5) 配置802.1X
# 开启端口GigabitEthernet1/0/2的802.1X。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] dot1x
# 配置端口的802.1X接入控制的方式为Port-based。
[Device-GigabitEthernet1/0/2] dot1x port-method portbased
# 配置端口的802.1X授权状态为auto。(此配置可选,端口的授权状态缺省为auto)
[Device-GigabitEthernet1/0/2] dot1x port-control auto
# 配置端口的 802.1X Guest VLAN为VLAN10。
[Device-GigabitEthernet1/0/2] dot1x guest-vlan 10
[Device-GigabitEthernet1/0/2] quit
# 开启全局802.1X。
[Device] dot1x
(6) 配置802.1X客户端,并保证接入端口加入Guest VLAN或授权VLAN之后,802.1X客户端能够及时更新IP地址,以实现与相应网络资源的互通(略)
可以通过命令display dot1x interface查看端口GigabitEthernet1/0/2上Guest VLAN的配置情况。
在端口上配置完Guest VLAN,则该端口会被立即加入其所属的Guest VLAN,通过命令display vlan 10可以查看到端口GigabitEthernet1/0/2加入了配置的Guest VLAN(VLAN 10)。
在用户认证成功之后,通过命令display interface可以看到用户接入的端口GigabitEthernet1/0/2加入了认证服务器下发的VLAN 5中。
#
vlan 2
#
vlan 5
#
vlan 10
#
acl advanced 3000
rule 0 permit ip destination 5.1.1.0 0.0.0.255
#
traffic classifier classifier_1 operator and
if-match acl 3000
#
traffic behavior behavior_1
filter deny
#
qos policy policy_1
classifier classifier_1 behavior behavior_1
#
qos vlan-policy policy_1 vlan 10 outbound
#
radius scheme 2000
primary authentication 10.1.1.1
primary accounting 10.1.1.1
key authentication cipher $c$3$LAV0oGNaM9Z/CuVcWONBH4xezu48Agh5aQ==
key accounting cipher $c$3$LAV0oGNaM9Z/CuVcWONBH4xezu48Agh5aQ==
user-name-format without-domain
#
domain bbb
authentication lan-access radius-scheme 2000
authorization lan-access radius-scheme 2000
accounting lan-access radius-scheme 2000
#
interface GigabitEthernet1/0/1
port access vlan 10
#
interface GigabitEthernet1/0/2
dot1x
dot1x port-method portbased
dot1x guest-vlan 10
#
interface GigabitEthernet1/0/3
port access vlan 5
#
interface GigabitEthernet1/0/4
port access vlan 2
#
dot1x
#
用户通过Device的端口GigabitEthernet1/0/1接入网络,Device对该端口接入的用户进行802.1X认证以控制其访问Internet,具体要求如下:
· 使用RADIUS服务器10.1.1.1/24作为认证/授权服务器,RADIUS服务器10.1.1.2/24作为计费服务器;
· 通过认证服务器下发ACL,禁止上线的802.1X用户在工作日的工作时间(8:00~18:00)访问IP地址为10.0.0.1/24的FTP服务器。
图24 802.1X支持ACL下发典型组网图
· 为了保证Device可以使用RADIUS server认证用户,需要在RADIUS server上添加接入设备和接入用户,并配置接入规则和服务。
· 未了保证Device能够对接入用户进行认证和授权,需要在Device上完成AAA配置,包括配置ISP域,以及与RADIUS服务器交互的RADIUS方案。
· 为了实现通过下发ACL来控制用户的访问权限,需要在RADIUS server和Device上配置相应的ACL规则。
表6 适用产品及版本
产品 |
软件版本 |
S5560X-EI系列 |
Release 63xx系列 |
S5560X-HI系列 |
Release 63xx系列 |
S5500V2-EI系列 |
Release 63xx系列 |
MS4520V2-30F |
Release 63xx系列 |
S6520X-HI系列 S6520X-EI系列 |
Release 63xx系列 |
S6520X-SI系列 S6520-SI系列 |
Release 63xx系列 |
S5000-EI系列 |
Release 63xx系列 |
MS4600系列 |
Release 63xx系列 |
S5560S-EI系列 S5560S-SI系列 |
Release 63xx系列 |
S5130S-HI系列 S5130S-EI系列 S5130S-SI系列 S5130S-LI系列 |
Release 63xx系列 |
S5120V2-SI系列 S5120V2-LI系列 |
Release 63xx系列 |
S3100V3-EI系列 S3100V3-SI系列 |
Release 63xx系列 |
S5110V2系列 |
Release 63xx系列 |
S5110V2-SI系列 |
Release 63xx系列 |
S5000V3-EI系列 |
Release 63xx系列 |
S5000E-X系列 |
Release 63xx系列 |
E128C E152C E500C系列 E500D系列 |
Release 63xx系列 |
MS4520V2系列(除MS4520V2-30F) |
Release 63xx系列 |
MS4320V2系列 MS4300V2系列 MS4320系列 MS4200系列 |
Release 63xx系列 |
WS5850-WiNet系列 |
Release 63xx系列 |
WS5820-WiNet系列 WS5810-WiNet系列 |
Release 63xx系列 |
WAS6000系列 |
Release 63xx系列 |
· 在微分段组网中,若服务器为802.1X用户同时下发了ACL和微分段,则授权的ACL不生效,授权微分段生效。
· 授权ACL除了需要在服务器上配置,还需要在设备上配置相应的ACL规则。
· 管理员可以通过改变服务器的授权ACL设置或设备上对应的ACL规则来改变用户的访问权限。
下述配置步骤中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍请参考“安全命令参考”中的“AAA”。
下面以iMC为例(使用iMC版本为:iMC PLAT 7.3(E0506)、iMC EIA 7.3(E0503)、iMC EIP 7.3(E0503)),说明RADIUS服务器的基本配置。
配置RADIUS服务器,添加用户账户,指定要授权下发的ACL(本例中为ACL 3000),并保证用户的认证/授权/计费功能正常运行。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项,进入接入设备配置页面。在该页面中单击“增加”按钮,进入增加接入设备页面。
· 设置认证及计费的端口号分别为“1812”和“1813”;
· 选择接入设备类型为“H3C (General)”;
· 设置与Device交互报文时的认证、计费共享密钥为“expert”;
· 选择或手工增加接入设备,添加IP地址为192.168.1.1的接入设备;
· 其它参数采用缺省值;
· 单击<确定>按钮完成操作。
添加的接入设备IP地址要与Switch发送RADIUS报文的源地址保持一致。缺省情况下,设备发送RADIUS报文的源地址是发送RADIUS报文的接口IP地址。若设备上通过命令nas-ip或者radius nas-ip指定了发送RADIUS报文的源地址,则此处的接入设备IP地址就需要修改并与指定源地址保持一致。
图25 增加接入设备页面
选择“用户”页签,单击导航树中的“接入策略管理 > 接入策略管理”菜单项,进入接入策略管理页面。在该页面中单击<增加>按钮,进入增加接入策略页面。
· 输入接入策略名称“Dot1x auth”;
· 配置授权信息勾选“下发ACL”,并手工输入ACL编号“3000”;
· 本配置页面中还有其它策略配置选项,请根据实际情况选择配置;
· 单击<确定>按钮完成操作。
图26 增加接入策略页面
选择“用户”页签,单击导航树中的“接入策略管理 > 接入服务管理”菜单项,进入接入服务管理页面。在该页面中单击<增加>按钮,进入增加服务配置页面。
· 输入服务名为“Dot1x Service”、服务后缀为“bbb”,此服务后缀为802.1X用户使用的认证域。指定服务后缀的情况下,RADIUS方案中必须指定向服务器发送的用户名中携带域名;
· 选择缺省接入策略为“Dot1x auth”;
· 本配置页面中还有其它服务配置选项,请根据实际情况选择配置;
· 单击<确定>按钮完成操作。
图27 增加服务配置页面
选择“用户”页签,单击导航树中的“接入用户管理 > 接入用户”菜单项,进入接入用户在该页面中单击<增加>按钮,进入增加接入用户页面。
· 选择或者手工增加用户姓名为“test”;
· 输入账号名“dot1x”和密码“123456TESTplat&!”;
· 选择该用户所关联的接入服务为“Dot1x Service”;
· 本配置页面中还有其它服务配置选项,请根据实际情况选择配置;
· 单击<确定>按钮完成操作。
图28 增加接入用户页面
(1) 配置各接口的IP地址(略)
(2) 配置RADIUS方案
<Device> system-view
[Device] radius scheme 2000
[Device-radius-2000] primary authentication 10.1.1.1 1812
[Device-radius-2000] primary accounting 10.1.1.2 1813
[Device-radius-2000] key authentication simple abc
[Device-radius-2000] key accounting simple abc
[Device-radius-2000] user-name-format without-domain
[Device-radius-2000] quit
(3) 配置ISP域的AAA方法
[Device] domain bbb
[Device-isp-bbb] authentication lan-access radius-scheme 2000
[Device-isp-bbb] authorization lan-access radius-scheme 2000
[Device-isp-bbb] accounting lan-access radius-scheme 2000
[Device-isp-bbb] quit
(4) 配置名为ftp的时间段,其时间范围为每周工作日的8点到18点
[Device] time-range ftp 8:00 to 18:00 working-day
(5) 配置ACL 3000,拒绝用户在工作日的工作时间内访问FTP服务器10.0.0.1的报文通过
[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule 0 deny ip destination 10.0.0.1 0 time-range ftp
[Device-acl-ipv4-adv-3000] quit
(6) 配置802.1X
# 开启全局802.1X。
[Device] dot1x
# 开启端口GigabitEthernet1/0/1的802.1X。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] dot1x
(7) 配置802.1X客户端,并保证接入端口加入Guest VLAN或授权VLAN之后客户端能够及时更新IP地址,以实现与相应网络资源的互通(略)
当用户认证成功上线后,在工作日的工作时间Ping FTP服务器。
C:\>ping 10.0.0.1
Pinging 10.0.0.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 10.0.0.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
由以上过程可知,用户无法ping通FTP服务器,说明认证服务器下发的ACL已对该用户生效。
#
time-range ftp 8:00 to 18:00 working-day
#
radius scheme 2000
primary authentication 10.1.1.1
primary accounting 10.1.1.2
key authentication cipher $c$3$LAV0oGNaM9Z/CuVcWONBH4xezu48Agh5aQ==
key accounting cipher $c$3 $LAV0oGNaM9Z/CuVcWONBH4xezu48Agh5aQ==
user-name-format without-domain
#
domain bbb
authentication lan-access radius-scheme 2000
authorization lan-access radius-scheme 2000
accounting lan-access radius-scheme 2000
#
acl advanced 3000
rule 0 deny ip destination 10.0.0.1 0 time-range ftp
#
interface GigabitEthernet1/0/1
port link-mode bridge
dot1x
#
dot1x
#
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!