20-802.1X Client配置
本章节下载: 20-802.1X Client配置 (195.23 KB)
802.1X的体系结构包括客户端、设备端和认证服务器。客户端通常有两种表现形式:安装了802.1X客户端软件的终端和网络设备。802.1X Client功能允许网络设备作为客户端。有关802.1X体系的详细介绍请参见“安全配置指导”中的“802.1X”。
应用了802.1X Client功能的典型组网图如图1-1所示:
关闭802.1X Client功能会导致已在线用户被强制下线,请谨慎操作。
(4) (可选)配置802.1X Client认证使用的MAC地址
(5) (可选)配置802.1X Client认证使用的报文发送方式
(6) (可选)配置802.1X Client匿名认证用户名
(7) 配置802.1X Client引用的SSL客户端策略
当802.1X Client认证采用PEAP-MSCHAPv2、PEAP-GTC、TTLS-MSCHAPv2或TTLS-GTC认证方式时,需要引用SSL客户端策略。
system-view
(2) 进入以太网接口视图。
interface interface-type interface-number
(3) 开启802.1X Client功能。
dot1x supplicant enable
缺省情况下,802.1X Client功能处于关闭状态。
为确保认证成功,请将接入设备上配置的用户名和密码与认证服务器上配置的用户名和密码保持一致。
(1) 进入系统视图。
system-view
(2) 进入以太网接口视图。
interface interface-type interface-number
(3) 配置802.1X Client认证用户名。
dot1x supplicant username username
(4) 配置802.1X Client认证密码。
dot1x supplicant password { cipher | simple } string
802.1X Client支持的EAP认证方法分为MD5-Challenge、PEAP-MSCHAPv2、PEAP-GTC、TTLS-MSCHAPv2和TTLS-GTC。
若802.1X Client采用MD5-Challenge认证方法,则设备端(Authenticator)的802.1X认证方法可以配置为PAP、CHAP或EAP。
若802.1X Client采用其它认证方法,则设备端的认证方法必须配置为EAP。
有关设备端认证方法的详细介绍,请参见“安全配置指导”中的“802.1X”。
配置的802.1X Client认证方法必须和认证服务器端支持的EAP认证方法保持一致。
(1) 进入系统视图。
system-view
(2) 进入以太网接口视图。
interface interface-type interface-number
(3) 配置802.1X Client认证方法。
dot1x supplicant eap-method { md5 | peap-gtc | peap-mschapv2 | ttls-gtc | ttls-mschapv2 }
缺省情况下,802.1X Client采用的EAP认证方法为MD5-Challenge。
802.1X Client通过认证后,认证设备上接入802.1X Client的接口会将802.1X Client的MAC地址加入到MAC地址表项中,使802.1X Client具有相应的访问权限。当802.1X Client上有多个接口同时进行802.1X认证时,为保证各接口能顺利通过认证,需要为各接口配置不同的MAC地址。可通过以太网接口视图下的mac-address命令为接口配置不同的MAC地址,或通过本命令为以太网接口配置不同的802.1X Client认证使用的MAC地址。关于mac-address命令的详细介绍请参见“二层技术-以太网交换命令参考”中的“MAC地址表”。
(1) 进入系统视图。
system-view
(2) 进入以太网接口视图。
interface interface-type interface-number
(3) 配置802.1X Client认证使用的MAC地址。
dot1x supplicant mac-address mac-address
缺省情况下,802.1X Client认证使用接口的MAC地址,若获取不到接口MAC地址则使用设备的MAC地址。
设备作为802.1X Client进行802.1X认证时,如果网络中的NAS设备不支持接收单播EAP-Response或EAPOL-Logoff报文,会导致802.1X认证失败,此时建议开启组播发送方式。
(1) 进入系统视图。
system-view
(2) 进入以太网接口视图。
interface interface-type interface-number
(3) 配置802.1X Client认证使用的报文发送方式。
dot1x supplicant transmit-mode { multicast | unicast }
缺省情况下,802.1X Client认证使用单播方式发送EAP-Response和EAPOL-Logoff报文。
仅在采用PEAP-MSCHAPv2、PEAP-GTC、TTLS-MSCHAPv2和TTLS-GTC认证方法时,才需要配置匿名认证用户名。802.1X Client在第一阶段的认证过程中,优先发送匿名认证用户名,而在第二阶段将在被加密的报文中发送配置的认证用户名。配置了802.1X Client匿名认证用户名可有效保护认证用户名不在第一阶段的认证过程中被泄露。如果设备上没有配置匿名认证用户名,则两个认证阶段均使用配置的认证用户名进行认证。
当802.1X Client认证采用的认证方法为MD5-Challenge时,被认证设备不会使用配置的匿名认证用户名认证,而是使用配置的认证用户名进行认证。
如果认证服务器厂商不支持匿名认证用户名,则不要配置匿名认证用户名。
(1) 进入系统视图。
system-view
(2) 进入以太网接口视图。
interface interface-type interface-number
(3) 配置802.1X Client匿名认证用户名。
dot1x supplicant anonymous identify identifier
当802.1X Client认证采用PEAP-MSCHAPv2、PEAP-GTC、TTLS-MSCHAPv2或TTLS-GTC时,被认证设备作为SSL客户端会在802.1X Client第一阶段认证过程中,与对端SSL服务器进行SSL协商。在第二阶段被认证设备使用SSL协商出来的结果对交互的认证报文进行加密传输。
在SSL协商过程中,802.1X Client作为SSL客户端连接SSL服务器时,需要使用本命令来引用SSL客户端策略。SSL客户端策略中配置了SSL客户端启动时使用的SSL参数,包括使用的PKI域、支持的加密套件和使用的SSL协议版本。有关SSL客户端策略的详细配置请参见“安全配置指导”中的“SSL”。
(1) 进入系统视图。
system-view
(2) 进入以太网接口视图。
interface interface-type interface-number
(3) 配置802.1X Client引用的SSL客户端策略。
dot1x supplicant ssl-client-policy policy-name
缺省情况下,802.1X Client引用系统缺省的SSL客户端策略。
在完成上述配置后,在任意视图下执行display命令可以显示配置后802.1X Client功能的运行情况,通过查看显示信息验证配置的效果。
表1-1 802.1X Client功能显示和维护
操作 |
命令 |
显示802.1X Client功能的配置信息、运行情况和统计信息 |
display dot1x supplicant [ interface interface-type interface-number ] |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!