• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

11-安全配置指导

目录

22-802.1X Client配置

本章节下载 22-802.1X Client配置  (229.84 KB)

22-802.1X Client配置


1 802.1X Client

1.1  802.1X Client功能简介

802.1X的体系结构包括客户端、设备端和认证服务器。客户端通常有两种表现形式:安装了802.1X客户端软件的终端和网络设备。802.1X Client功能允许网络设备作为客户端。有关802.1X体系的详细介绍请参见“安全配置指导”中的“802.1X”。

应用了802.1X Client功能的典型组网图如图1-1所示:

图1-1 802.1X Client组网图

 

1.2  802.1X Client功能配置任务简介

表1-1 802.1X Client功能配置任务简介

配置任务

说明

详细配置

开启802.1X Client功能

必选

1.3.1 

配置802.1X Client认证用户名和密码

必选

1.3.2 

配置802.1X Client采用的EAP认证方法

必选

1.3.4 

配置802.1X Client认证使用的报文发送方式

可选

1.3.5 

配置802.1X Client匿名认证用户名

可选

1.3.6 

配置802.1X Client引用的SSL客户端策略

可选

1.3.7 

 

1.3  配置802.1X Client功能

1.3.1  开启802.1X Client功能

开启802.1X Client功能前,请确保认证设备端上关于802.1X认证的配置已完成。有关802.1X认证的配置请参见“安全配置指导”中的“802.1X”。

表1-2 开启802.1X Client功能

操作

命令

说明

进入系统视图

system-view

-

进入以太网接口视图

interface interface-type interface-number

-

开启802.1X Client功能

dot1x supplicant enable

缺省情况下,802.1X Client功能处于关闭状态

 

1.3.2  配置802.1X Client认证用户名和密码

开启了802.1X Client功能的接入设备在进行802.1X认证时,会使用已配置的用户名和密码进行认证。

请确保接入设备上配置的用户名和密码与认证服务器上配置的用户名和密码保持一致,否则会导致802.1X认证失败,最终造成被认证设备无法接入网络。

表1-3 配置802.1X Client认证用户名和密码

操作

命令

说明

进入系统视图

system-view

-

进入以太网接口视图

interface interface-type interface-number

-

配置802.1X Client认证用户名

dot1x supplicant username username

缺省情况下,不存在802.1X Client认证用户名

配置802.1X Client认证密码

dot1x supplicant password { cipher | simple } string

缺省情况下,不存在802.1X Client认证密码

 

1.3.3  配置802.1X Client认证使用的MAC地址

802.1X Client认证通过后,接入设备的接口上将802.1X Client的MAC地址加入到MAC地址表项中,使用户具有相应的访问权限。当802.1X Client上有多个端口同时进行802.1X认证时,可通过以太网接口视图下的mac-address命令为接口配置不同的MAC地址,或通过本命令为以太网接口配置不同的802.1X Client认证使用的MAC地址。关于mac-address命令的详细介绍请参见“二层技术-以太网交换命令参考”中的“MAC地址表”。

表1-4 配置802.1X Client认证使用的MAC地址

操作

命令

说明

进入系统视图

system-view

-

进入以太网接口视图

interface interface-type interface-number

-

配置802.1X Client认证使用的MAC地址

dot1x supplicant mac-address mac-address

缺省情况下,802.1X Client认证使用接口的MAC地址,若获取不到接口MAC地址则使用设备的MAC地址

 

1.3.4  配置802.1X Client采用的EAP认证方法

802.1X Client支持的EAP认证方法分为以下几种:

·     MD5-Challenge(MD5-质询)

·     PEAP-MSCHAPv2(Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol v2,受保护的扩展认证协议-Microsoft质询握手身份验证协议版本2)

·     PEAP-GTC(Protected Extensible Authentication Protocol-Microsoft Generic Token Card,受保护的扩展认证协议-通用令牌卡)

·     TTLS-MSCHAPv2(Tunneled Transport Layer Security-Microsoft Challenge Handshake Authentication Protocol v2,管道式传输层安全-Microsoft质询握手身份验证协议版本2)

·     TTLS-GTC(Tunneled Transport Layer Security-Microsoft Generic Token Card,管道式传输层安全-通用令牌卡)

设备端(Authenticator)上支持两种EAP报文交互机制:EAP中继和EAP终结。MD5-Challenge认证方法支持以上两种EAP报文交互机制,而其余认证方法仅支持EAP中继。

说明

有关EAP报文交互机制的详细介绍,请参见“安全配置指导”中的“802.1X”。

 

需要注意的是,配置的802.1X Client认证方法必须和认证服务器端支持的EAP认证方法保持一致。

表1-5 配置802.1X Client采用的EAP认证方法

操作

命令

说明

进入系统视图

system-view

-

进入以太网接口视图

interface interface-type interface-number

-

配置802.1X Client认证方法

dot1x supplicant eap-method { md5 | peap-gtc | peap-mschapv2 | ttls-gtc | ttls-mschapv2 }

缺省情况下,802.1X Client采用的EAP认证方法为MD5-Challenge

 

1.3.5  配置802.1X Client认证使用的报文发送方式

设备作为802.1X Client进行802.1X认证时,如果网络中的NAS设备不支持接收单播EAP-Response或EAPOL-Logoff报文,会导致802.1X认证失败,此时建议开启组播发送方式。

表1-6 配置802.1X Client匿名认证用户名

操作

命令

说明

进入系统视图

system-view

-

进入以太网接口视图

interface interface-type interface-number

-

配置802.1X Client认证使用的报文发送方式

dot1x supplicant transmit-mode { multicast | unicast }

缺省情况下,802.1X Client认证使用单播方式发送EAP-Response和EAPOL-Logoff报文

 

1.3.6  配置802.1X Client匿名认证用户名

仅在采用PEAP-MSCHAPv2、PEAP-GTC、TTLS-MSCHAPv2和TTLS-GTC认证方法时,才需要配置匿名认证用户名。802.1X Client在第一阶段的认证过程中,优先发送匿名认证用户名,而在第二阶段将在被加密的报文中发送配置的认证用户名。配置了802.1X Client匿名认证用户名可有效保护认证用户名不在第一阶段的认证过程中被泄露。如果设备上没有配置匿名认证用户名,则两个认证阶段均使用配置的认证用户名进行认证。

当802.1X Client认证采用的认证方法为MD5-Challenge时,被认证设备不会使用配置的匿名认证用户名认证,而是使用配置的认证用户名进行认证。

如果认证服务器厂商不支持匿名认证用户名,则不要配置匿名认证用户名。

表1-7 配置802.1X Client匿名认证用户名

操作

命令

说明

进入系统视图

system-view

-

进入以太网接口视图

interface interface-type interface-number

-

配置802.1X Client匿名认证用户名

dot1x supplicant anonymous identify identifier

缺省情况下,不存在802.1X Client匿名认证用户名

 

1.3.7  配置802.1X Client引用的SSL客户端策略

当802.1X Client认证采用PEAP-MSCHAPv2、PEAP-GTC、TTLS-MSCHAPv2或TTLS-GTC时,被认证设备作为SSL客户端会在802.1X Client第一阶段认证过程中,与对端SSL服务器进行SSL协商。在第二阶段被认证设备使用SSL协商出来的结果对交互的认证报文进行加密传输。

在SSL协商过程中,802.1X Client作为SSL客户端连接SSL服务器时,需要使用本命令来引用SSL客户端策略。SSL客户端策略中配置了SSL客户端启动时使用的SSL参数,包括使用的PKI域、支持的加密套件和使用的SSL协议版本。有关SSL客户端策略的详细配置请参见“安全配置指导”中的“SSL”。

表1-8 配置802.1X Client引用的SSL客户端策略

操作

命令

说明

进入系统视图

system-view

-

进入以太网接口视图

interface interface-type interface-number

-

配置802.1X Client引用的SSL客户端策略

dot1x supplicant ssl-client-policy policy-name

缺省情况下,802.1X Client引用系统缺省的SSL客户端策略

 

1.4  802.1X Client功能显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后802.1X Client功能的运行情况,通过查看显示信息验证配置的效果。

表1-9 802.1X Client功能显示和维护

操作

命令

显示802.1X Client功能的配置信息、运行情况和统计信息

display dot1x supplicant [ interface interface-type interface-number ]

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们