- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
12-802.1X配置(三层)
本章节下载: 12-802.1X配置(三层) (430.81 KB)
802.1X协议是一种基于接口的网络接入控制协议,即在局域网接入设备的接口上对所接入的用户和设备进行认证,以便控制用户设备对网络资源的访问。
传统有线网络中的802.1X是基于二层端口的网络接入控制协议。IPoE 802.1X认证是一种与IPoE接入方式配合、基于三层接口实现的802.1X认证功能。本文主要介绍基于三层接口实现的802.1X认证功能。
802.1X系统中包括三个实体:客户端(Client)、设备端(Device)和认证服务器(Authentication server),如图1-1所示。
图1-1 802.1X体系结构图
· 客户端是请求接入局域网的用户终端,由局域网中的设备端对其进行认证。客户端上必须安装支持802.1X认证的客户端软件。
· 设备端是局域网中控制客户端接入的网络设备,位于客户端和认证服务器之间,为客户端提供接入局域网的接口(物理接口或逻辑接口),并通过与认证服务器的交互来对所连接的客户端进行认证。
· 认证服务器用于对客户端进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。认证服务器根据设备端发送来的客户端认证信息来验证客户端的合法性,并将验证结果通知给设备端,由设备端决定是否允许客户端接入。在一些规模较小的网络环境中,认证服务器的角色也可以由设备端来代替,即由设备端对客户端进行本地认证、授权和计费。
802.1X系统使用EAP(Extensible Authentication Protocol,可扩展认证协议)来实现客户端、设备端和认证服务器之间认证信息的交互。EAP是一种C/S模式的认证框架,它可以支持多种认证方法,例如MD5-Challenge、EAP-TLS(Extensible Authentication Protocol -Transport Layer Security,可扩展认证协议-传输层安全)、PEAP(Protected Extensible Authentication Protocol,受保护的扩展认证协议)等。在客户端与设备端之间,EAP报文使用EAPOL(Extensible Authentication Protocol over LAN,局域网上的可扩展认证协议)封装格式承载于数据帧中传递。在设备端与RADIUS服务器之间,EAP报文的交互有EAP中继和EAP终结两种处理机制。
设备端对收到的EAP报文进行中继,使用EAPOR(EAP over RADIUS)封装格式将其承载于RADIUS报文中发送给RADIUS服务器。
图1-2 EAP中继原理示意图
该处理机制下,EAP认证过程在客户端和RADIUS服务器之间进行。RADIUS服务器作为EAP服务器来处理客户端的EAP认证请求,设备相当于一个中继,仅对EAP报文做中转。
设备对EAP认证过程进行终结,将收到的EAP报文中的客户端认证信息封装在标准的RADIUS报文中,与服务器之间采用PAP(Password Authentication Protocol,密码认证协议)或CHAP(Challenge Handshake Authentication Protocol,质询握手认证协议)方法进行认证。
图1-3 EAP终结原理示意图
表1-1 EAP中继与EAP终结的对比
|
报文交互方式 |
优势 |
局限性 |
|
EAP中继 |
· 支持多种EAP认证方法 · 设备端的配置和处理流程简单 |
一般来说需要RADIUS服务器支持EAP-Message和Message-Authenticator属性,以及客户端采用的EAP认证方法 |
|
EAP终结 |
对RADIUS服务器无特殊要求,支持PAP认证和CHAP认证即可 |
· 仅能支持MD5-Challenge类型的EAP认证以及iNode 802.1X客户端发起的“用户名+密码”方式的EAP认证 · 设备端处理相对复杂 |
EAP报文格式如图1-4所示。
图1-4 EAP报文格式
· Code:EAP报文的类型,包括Request(1)、Response(2)、Success(3)和Failure(4)。
· Identifier:用于匹配Request消息和Response消息的标识符。
· Length:EAP报文的长度,包含Code、Identifier、Length和Data域,单位为字节。
· Data:EAP报文的内容,该字段仅在EAP报文的类型为Request和Response时存在,它由类型域和类型数据两部分组成,例如,类型域为1表示Identity类型,类型域为4表示MD5 challenge类型。
EAPOL是802.1X协议定义的一种承载EAP报文的封装技术,主要用于在局域网中传送客户端和设备端之间的EAP协议报文。EAPOL数据包的格式如图1-5所示。
图1-5 EAPOL数据包格式
· PAE Ethernet Type:表示协议类型。EAPOL的协议类型为0x888E。
· Protocol Version:表示EAPOL数据帧的发送方所支持的EAPOL协议版本号。
· Type:表示EAPOL数据帧类型。目前设备上支持的EAPOL数据帧类型见表1-2。
表1-2 EAPOL数据帧类型
|
类型值 |
数据帧类型 |
说明 |
|
0x00 |
EAP-Packet |
认证信息帧,用于承载客户端和设备端之间的EAP报文 |
|
0x01 |
EAPOL-Start |
认证发起帧,用于客户端向设备端发起认证请求 |
|
0x02 |
EAPOL-Logoff |
退出请求帧,用于客户端向设备端发起下线请求 |
· Length:表示数据域的长度,也就是Packet Body字段的长度,单位为字节。当EAPOL数据帧的类型为EAPOL-Start或EAPOL-Logoff时,该字段值为0,表示后面没有Packet Body字段。
· Packet Body:数据域的内容。
RADIUS为支持EAP认证增加了两个属性:EAP-Message(EAP消息)和Message-Authenticator(消息认证码)。在含有EAP-Message属性的数据包中,必须同时包含Message-Authenticator属性。关于RADIUS报文格式的介绍请参见“BRAS业务配置指导”中的“AAA”。的RADIUS协议简介部分。
· EAP-Message
如图1-6所示,EAP-Message属性用来封装EAP报文,Value域最长253字节,如果EAP报文长度大于253字节,可以对其进行分片,依次封装在多个EAP-Message属性中。
图1-6 EAP-Message属性封装
· Message-Authenticator
如图1-7所示,Message-Authenticator属性用于在EAP认证过程中验证携带了EAP-Message属性的RADIUS报文的完整性,避免报文被窜改。如果接收端对接收到的RADIUS报文计算出的完整性校验值与报文中携带的Message-Authenticator属性的Value值不一致,该报文会被认为无效而丢弃。
图1-7 Message-Authenticator属性封装
设备端支持采用EAP中继方式或EAP终结方式与远端RADIUS服务器交互。以下关于802.1X认证过程的描述,都以客户端主动发起认证为例。
这种方式是IEEE 802.1X标准规定的,将EAP承载在其它高层协议中,如EAP over RADIUS,以便EAP报文穿越复杂的网络到达认证服务器。一般来说,需要RADIUS服务器支持EAP属性:EAP-Message和Message-Authenticator。
如图1-8所示,以MD5-Challenge类型的EAP认证为例,具体认证过程如下。
图1-8 IEEE 802.1X认证系统的EAP中继方式认证流程
(1) 当用户需要访问外部网络时打开802.1X客户端程序,输入用户名和密码,发起连接请求。此时,客户端程序将向设备端发出认证请求帧(EAPOL-Start),开始启动一次认证过程。
(2) 设备端收到认证请求帧后,将发出一个Identity类型的请求帧(EAP-Request/Identity)要求用户的客户端程序发送输入的用户名。
(3) 客户端程序响应设备端发出的请求,将用户名信息通过Identity类型的响应帧(EAP-Response/Identity)发送给设备端。
(4) 设备端将客户端发送的响应帧中的EAP报文封装在RADIUS报文(RADIUS Access-Request)中发送给认证服务器进行处理。
(5) RADIUS服务器收到设备端转发的用户名信息后,将该信息与数据库中的用户名列表对比,找到该用户名对应的密码信息,用随机生成的一个MD5 Challenge对密码进行加密处理,同时将此MD5 Challenge通过RADIUS Access-Challenge报文发送给设备端。
(6) 设备端将RADIUS服务器发送的MD5 Challenge转发给客户端。
(7) 客户端收到由设备端传来的MD5 Challenge后,用该Challenge对密码进行加密处理,生成EAP-Response/MD5 Challenge报文,并发送给设备端。
(8) 设备端将此EAP-Response/MD5 Challenge报文封装在RADIUS报文(RADIUS Access-Request)中发送给RADIUS服务器。
(9) RADIUS服务器将收到的已加密的密码信息和本地经过加密运算后的密码信息进行对比,如果相同,则认为该用户为合法用户,并向设备端发送认证通过报文(RADIUS Access-Accept)。
(10) 设备收到认证通过报文后向客户端发送认证成功帧(EAP-Success),并将接口改为授权状态,允许用户通过接口访问网络。
(11) 用户在线期间,设备端会通过向客户端定期发送握手报文的方法,对用户的在线情况进行监测。
(12) 客户端收到握手报文后,向设备发送应答报文,表示用户仍然在线。缺省情况下,若设备端发送的两次握手请求报文都未得到客户端应答,设备端就会让用户下线,防止用户因为异常原因下线而设备无法感知。
(13) 客户端可以发送EAPOL-Logoff帧给设备端,主动要求下线。
(14) 设备端把接口状态从授权状态改变成未授权状态,并向客户端发送EAP-Failure报文。
EAP中继方式下,需要保证在客户端和RADIUS服务器上选择一致的EAP认证方法,而在设备上,只需要通过dot1x authentication-method eap命令启动EAP中继方式即可。
这种方式将EAP报文在设备端终结并映射到RADIUS报文中,利用标准RADIUS协议完成认证、授权和计费。设备端与RADIUS服务器之间可以采用PAP或者CHAP认证方法。如图1-9所示,以CHAP认证为例,具体的认证流程如下。
图1-9 IEEE 802.1X认证系统的EAP终结方式认证流程
EAP终结方式与EAP中继方式的认证流程相比,不同之处在于用来对用户密码信息进行加密处理的MD5 challenge由设备端生成,之后设备端会把用户名、MD5 challenge和客户端加密后的密码信息一起发送给RADIUS服务器,进行相关的认证处理。
802.1X的认证过程可以由客户端主动发起,也可以由设备端发起。
· 组播触发:客户端主动向设备端发送EAPOL-Start报文来触发认证,该报文目的地址为组播MAC地址01-80-C2-00-00-03。
· 广播触发:客户端主动向设备端发送EAPOL-Start报文来触发认证,该报文的目的地址为广播MAC地址。该方式可解决由于网络中有些设备不支持上述的组播报文,而造成设备端无法收到客户端认证请求的问题。
· 目前,iNode的802.1X客户端可支持广播触发方式。
设备端主动触发方式用于支持不能主动发送EAPOL-Start报文的客户端。设备主动触发认证的方式为单播触发:当设备收到源MAC地址未知的报文时,主动向该MAC地址单播发送Identity类型的EAP-Request帧来触发认证。若设备端在设置的时长内没有收到客户端的响应,则重发该报文。
IPoE 802.1X认证是一种与IPoE接入方式配合、基于三层接口实现的802.1X认证功能。
三层接口上配置IPoE接入用户的认证方式为802.1X后,接口将会开启IPoE 802.1X认证。
IPoE 802.1X认证支持DHCP用户接入、IPv6 ND RS用户接入和静态用户接入,认证过程包含前域认证和后域认证两个阶段。
未配置802.1X认证优先时,在802.1X上线过程中需要进行前域阶段IPoE认证和后域阶段802.1X客户端认证两次认证过程;配置802.1X认证优先时,在802.1X上线过程中仅需进行802.1X客户端的一次认证即可,请管理员根据组网需要选择是否配置802.1X认证优先。
如果未配置802.1X认证优先,IPoE用户上线流程如下:
· 前域阶段:
前域阶段的用户接入流程与绑定认证方式相应的用户接入流程相同,该阶段不涉及802.1X认证流程。需要注意的是,如果用户在前域阶段上线前,该用户的802.1X客户端已在线,则IPoE不再使用IPoE前域阶段的ISP域进行认证,而是采用802.1X认证结果让用户直接在后域上线,此时记录的用户信息为802.1X用户信息(包括802.1X用户名、认证域、授权属性等)。
· 后域阶段:
IPoE用户在前域上线后,根据802.1X客户端的认证结果,决定后域的处理方式:
¡ 如果该用户的802.1X客户端已在线,则IPoE采用802.1X认证结果让用户直接在后域上线,此时记录的用户信息为802.1X用户信息(包括802.1X用户名、认证域、授权属性等)。
¡ 如果该用户的802.1X客户端不在线,则IPoE用户停留在前域阶段。当802.1X客户端上线后,与上一条处理一致。
¡ 当接口上同时配置了IPoE 802.1X认证和IPoE Web认证时:
- 如果在802.1X客户端上线之前,该IPoE用户已按Web认证方式在后域上线,待802.1X客户端上线后,设备会强制该用户从Web认证的后域返回前域,然后采用802.1X认证方式重新在802.1X的后域上线。
- 当IPoE用户采用802.1X认证方式在后域上线后,不允许再按Web认证方式在后域上线。
如果配置了802.1X认证优先,当IPoE用户触发前域阶段上线流程时:
· 如果该IPoE用户的802.1X客户端未认证上线,该IPoE用户将停留在前域阶段的认证前状态;待802.1X客户端上线后,IPoE采用802.1X认证结果让用户直接在后域上线,此时记录的用户信息为802.1X用户信息(包括802.1X用户名、认证域、授权属性等)。
· 如果该IPoE用户的802.1X客户端已认证上线,则IPoE采用802.1X认证结果让用户直接在后域上线,此时记录的用户信息为802.1X用户信息(包括802.1X用户名、认证域、授权属性等)。
· 如果该IPoE用户的802.1X客户端认证失败,则IPoE用户继续走IPoE认证流程上线,此时记录的用户信息为IPoE用户信息(包括IPoE用户名、认证域、授权属性等)。
IPoE功能的详细介绍请参见“BRAS业务配置指导”中的“IPoE”。
802.1X重认证是指:是指设备周期性对接口上在线的802.1X用户发起重认证,以检测用户连接状态的变化、确保用户的正常在线,并及时更新服务器下发的授权属性。
认证服务器可以通过下发RADIUS属性(session-timeout、termination-action)来指定用户会话超时时长以及会话中止的动作类型。认证服务器上如何下发以上RADIUS属性的具体配置以及是否可以下发重认证周期的情况与服务器类型有关,请参考具体的认证服务器实现。
802.1X用户认证通过后,接口对用户的重认证功能具体实现如下:
· 当认证服务器下发了用户会话超时时长,且指定的会话中止动作为要求用户进行重认证,则无论设备上是否开启周期性重认证功能,接口都会在用户会话超时时长到达后对该用户发起重认证。
· 当认证服务器下发了用户会话超时时长,且指定的会话中止动作为要求用户下线时:
¡ 若设备上开启了周期性重认证功能,且设备上配置的重认证定时器值小于用户会话超时时长,则接口会以重认证定时器的值为周期向该接口在线802.1X用户发起重认证;若设备上配置的重认证定时器值大于等于用户会话超时时长,则接口会在用户会话超时时长到达后强制该用户下线。
¡ 若设备上未开启周期性重认证功能,则接口会在用户会话超时时长到达后强制该用户下线。
· 当认证服务器未下发用户会话超时时长时,是否对用户进行重认证,由设备上配置的重认证功能决定。
有关本功能在standard和sdn-wan工作模式下各单板的支持情况,请参见“BRAS业务配置指导”中的“IPoE”。
配置802.1X认证方式时,需要注意:
· 仅当接口工作在IPoE二层接入模式时,该接口上的802.1X认证配置才生效。
· 同一接口上,IPoE 802.1X认证与IPoE三层接入模式、IPoE接口专线用户、IPoE子网专线用户和L2VPN专线用户的配置互斥。
· 同一个接口上,IPoE 802.1X认证可以与IPoE Web认证同时配置,但与其它认证方式的IPoE认证互斥。当接口上同时配置了802.1X认证方式和Web认证方式时,一个用户同一时刻只能选择其中一种认证方式上线,并且802.1X认证方式的优先级高于Web认证方式。
· 本章中802.1X相关功能在接口下的配置,仅支持三层以太网接口、三层聚合接口、三层以太网子接口或三层聚合子接口。
802.1X配置任务如下:
(1) 开启IPoE 802.1X认证
(2) 配置802.1X认证的基本功能
¡ (可选)配置接口的强制认证域
¡ (可选)配置802.1X支持的域名分隔符
¡ (可选)配置802.1X认证超时定时器
¡ (可选)配置802.1X重认证功能
¡ (可选)配置802.1X静默功能
(3) (可选)配置802.1X其它功能
在配置802.1X之前,需要完成以下任务:
· 配置802.1X用户所属的ISP认证域及其使用的AAA方案,即本地认证方案或RADIUS方案。
· 如果需要通过RADIUS服务器进行认证,则应该在RADIUS服务器上配置相应的用户名和密码。
· 如果需要本地认证,则应该在设备上手动添加认证的用户名和密码。配置本地认证时,用户使用的服务类型必须设置为lan-access。
· 接口上配置IPoE 802.1X认证之前,请保证接口未加入聚合组。
· 802.1X支持双协议栈,建议指定二层接入模式时同时开启IPv4和IPv6协议栈的IPoE功能。
开启IPoE 802.1X认证方式的配置步骤请参见“BRAS业务配置指导”中的“IPoE”。
设备上的802.1X系统采用的认证方法与设备对于EAP报文的处理机制有关,具体如下:
· 若指定authentication-method为eap,则表示设备采用EAP中继认证方式。该方式下,设备端对客户端发送的EAP报文进行中继处理,并能支持客户端与RADIUS服务器之间所有类型的EAP认证方法。
· 若指定authentication-method为chap或pap,则表示设备采用EAP终结认证方式,该方式下,设备端对客户端发送的EAP报文进行本地终结,并能支持与RADIUS服务器之间采用CHAP或PAP类型的认证方法。
· 如果客户端采用了MD5-Challenge类型的EAP认证,则设备端只能采用CHAP认证;如果iNode 802.1X客户端采用了“用户名+密码”方式的EAP认证,设备上可选择使用PAP认证或CHAP认证,从安全性上考虑,通常使用CHAP认证。
· 如果采用EAP中继认证方式,则设备会把客户端输入的内容直接封装后发给服务器,这种情况下user-name-format命令的设置无效,user-name-format的介绍请参见“BRAS业务命令参考”中的“AAA”。
· 设备进行本地认证时不支持采用EAP认证方法。
(1) 进入系统视图。
system-view
(2) 配置802.1X系统的认证方法。
dot1x authentication-method { chap | eap | pap }
缺省情况下,设备启用EAP终结方式,并采用CHAP认证方法。
在接口上指定强制认证域为802.1X接入提供了一种安全控制策略。所有从该接口接入的802.1X用户将被强制使用指定的认证域来进行认证、授权和计费,从而防止用户通过恶意假冒其它域账号从本接口接入网络。另外,管理员也可以通过配置强制认证域对不同接口接入的用户指定不同的认证域,从而增加了管理员部署802.1X接入策略的灵活性。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 指定接口上802.1X用户使用的强制认证域。
dot1x mandatory-domain domain-name
每个接入用户都属于一个ISP域,该域是由用户登录时提供的用户名决定的,若用户名中携带域名,则设备使用该域中的AAA配置对用户进行认证、授权和计费,否则使用系统中的缺省域;若设备指定了802.1X的强制认证域,则无论用户名中是否携带域名,设备均使用指定的强制认证域。因此,设备能够准确解析用户名中的纯用户名和域名对于为用户提供认证服务非常重要。由于不同的802.1X客户端所支持的用户名域名分隔符不同,为了更好地管理和控制不同用户名格式的802.1X用户接入,需要在设备上指定802.1X可支持的域名分隔符。
目前,802.1X支持的域名分隔符包括@、\、.、和/,对应的用户名格式分别为username@domain-name, domain-name\username,username.domain-name和username/domain-name,其中username为纯用户名、domain-name为域名。如果用户名中包含有多个域名分隔符字符,则设备仅将最后一个出现的域名分隔符识别为实际使用的域名分隔符,例如,用户输入的用户名为123/22\@abc,设备上指定802.1X支持的域名分隔符为/、\,则识别出的纯用户名为@abc,域名为123/22。
· 如果用户输入的用户名中不包含任何802.1X可支持的域名分隔符,则设备会认为该用户名并未携带域名,则使用系统中的缺省域对该用户进行认证。
· 若设备上指定发送给认证服务器的用户名携带域名(user-name-format with-domain),则发送给认证服务器的用户名包括三个部分:识别出的纯用户名、域名分隔符@、最终使用的认证域名。例如,用户输入的用户名为121.123/22\@abc,指定802.1X支持的域名分隔符为/、\、.,最终使用的认证域为xyz,则发送给认证服务器的用户名为@abc@xyz。user-name-format命令的具体介绍请参考“BRAS业务命令参考”中的“AAA”。
· 为保证用户信息可在认证服务器上被准确匹配到,设备上指定的802.1X支持的域名分隔符必须与认证服务器支持的域名分隔符保持一致,否则可能会因为服务器匹配用户失败而导致用户认证失败。
(1) 进入系统视图。
system-view
(2) 指定802.1X支持的域名分隔符。
dot1x domain-delimiter string
缺省情况下,仅支持域名分隔符@。
802.1X认证过程中会启动多个定时器以控制客户端、设备以及RADIUS服务器之间进行合理、有序的交互。可配置的802.1X认证定时器包括以下三种:
· 用户名请求超时定时器:当设备端向客户端发送EAP-Request/Identity请求报文后,设备端启动该定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,则设备端将重发认证请求报文。
· 客户端认证超时定时器:当设备端向客户端发送了EAP-Request/MD5 Challenge请求报文后,设备端启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,设备端将重发该报文。
· 认证服务器超时定时器:当设备端向认证服务器发送了RADIUS Access-Request请求报文后,设备端启动该定时器,若在该定时器设置的时长内,设备端没有收到认证服务器的响应,则802.1X认证失败。
一般情况下,无需改变认证超时定时器的值,除非在一些特殊或恶劣的网络环境下,才需要通过命令来调节。例如,用户网络状况比较差的情况下,可以适当地将客户端认证超时定时器值调大一些;还可以通过调节认证服务器超时定时器的值来适应不同认证服务器的性能差异。
(1) 进入系统视图。
system-view
(2) 配置用户名请求超时定时器。
dot1x timer tx-period tx-period-value
缺省情况下,认证服务器超时定时器的值为30秒。
(3) 配置客户端认证超时定时器。
dot1x timer supp-timeout supp-timeout-value
缺省情况下,客户端认证超时定时器的值为30秒。
(4) 配置认证服务器超时定时器。
dot1x timer server-timeout server-timeout-value
缺省情况下,认证服务器超时定时器的值为100秒。
(1) 进入系统视图。
system-view
(2) (可选)配置周期性重认证定时器。
dot1x timer reauth-period reauth-period-value
缺省情况下,周期性重认证定时器的值为3600秒。
(3) 进入接口视图。
interface interface-type interface-number
(4) 开启周期性重认证功能。
dot1x re-authenticate
缺省情况下,周期性重认证功能处于关闭状态。
(5) (可选)配置重认证服务器不可达或重认证失败时接口上的802.1X用户保持在线状态。
dot1x re-authenticate { authentication-fail | server-unreachable } keep-online
缺省情况下,接口上的802.1X在线用户重认证时,若认证服务器不可达或认证失败,则会被强制下线。
当802.1X用户认证失败以后,设备需要静默一段时间(通过命令dot1x timer quiet-period设置)后再重新发起认证,在静默期间,设备不对处于静默状态的用户进行802.1X认证处理。
通过配置fail-retry和retry-period参数,可以设置用户在一定时间内可以认证失败的次数。在配置的时间内用户可以多次认证,直至认证成功或到达配置的认证失败次数。若到达配置的认证失败次数,则进入静默状态。若静默前客户端认证失败重试定时器超时,但未到达允许认证失败的次数,则重新开始计数。
若不指定fail-retry和retry-period参数,用户首次认证失败就会进入静默状态。
若指定fail-retry参数为1时,用户首次认证失败就会进入静默状态。
在网络处在风险位置,容易受攻击的情况下,可以适当地将静默定时器值调大一些,反之,可以将其调小一些来提高对用户认证请求的响应速度。
(1) 进入系统视图。
system-view
(2) 开启静默定时器功能。
dot1x quiet-period
缺省情况下,静默定时器功能处于关闭状态。
(3) (可选)配置静默定时器。
dot1x timer quiet-period quiet-period-value [ fail-retry fail-retries retry-period retry-period-value ]
缺省情况下,静默定时器的值为60秒。
由于系统资源有限,如果当前接口上接入的用户过多,接入用户之间会发生资源的争用。因此限制接入用户数可以使属于当前接口的用户获得可靠的性能保障。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置接口同时接入用户数的最大值。
dot1x max-user max-number
缺省情况下,接口上最多允许同时接入的802.1X用户数为4294967295。
配置接口上802.1X最大接入用户数告警功能并设置上限告警阈值和恢复阈值后,如果当前接口802.1X接入用户数占接口上最大用户数的百分比达到配置的告警阈值,则发送超限告警信息;如果当前接口802.1X接入用户数占接口上最大用户数的百分比低于配置的恢复阈值,则发送恢复提示信息。可通过dot1x max-user命令配置接口上最多允许同时接入的802.1X用户数。
达到上限告警阈值并发送超限告警信息后,除非恢复到恢复阈值,否则不会再次发送超限告警信息。
配置的上限告警阈值应大于恢复阈值。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置接口上802.1X最大接入用户数告警功能,并设置上限告警阈值和恢复阈值。
dot1x max-user-alarm high-threshold high-threshold clear-threshold clear-threshold
缺省情况下,接口上802.1X最大用户数告警功能处于关闭状态。
如果设备向用户发送认证请求报文后,在规定的时间里(对于EAP-Request/Identity报文,可通过dot1x timer tx-period设置;对于EAP-Request/MD5 Challenge报文,可通过dot1x timer supp-timeout设置)没有收到用户的响应,则设备将向用户重发该认证请求报文,若设备累计发送认证请求报文的次数达到配置的最大值后,仍然没有得到用户响应,则停止发送认证请求。
(1) 进入系统视图。
system-view
(2) 配置设备向接入用户发送认证请求报文的最大次数。
dot1x retry retries
缺省情况下,设备最多可向接入用户发送2次认证请求报文。
在用户的802.1X认证过程中,如果设备收到了该用户重复的EAPOL-Start报文,为了避免服务器无法响应此类报文而导致用户认证失败,建议在用户接入的接口上直接对其丢弃。
本特性仅在服务器无法响应冗余EAPOL-Start报文的环境中推荐配置,其它情况下建议保持缺省情况。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置接口同时接入用户数的最大值。
dot1x duplicate-eapol-start discard
缺省情况下,设备不丢弃收到的合法EAPOL-Start报文。
开启设备的在线用户握手功能后,设备会定期(时间间隔通过命令dot1x timer handshake-period设置)向通过802.1X认证的在线用户发送握手请求报文(EAP-Request/Identity),以定期检测用户的在线情况。如果设备连续多次(通过命令dot1x retry设置)没有收到客户端的应答报文(EAP-Response/Identity),则会将用户置为下线状态。
有些802.1X客户端如果没有收到设备回应的在线握手成功报文(EAP-Success),就会自动下线。为了避免这种情况发生,需要在接口上开启发送在线握手成功报文功能。
在线用户握手功能处于开启状态的前提下,还可以通过开启在线用户握手安全功能,来防止在线的802.1X认证用户使用非法的客户端与设备进行握手报文的交互,而逃过代理检测、双网卡检测等iNode客户端的安全检查功能。开启了在线用户握手安全功能的设备通过检验客户端上传的握手报文中携带的验证信息,来确认用户是否使用iNode客户端进行握手报文的交互。如果握手检验不通过,则会将用户置为下线状态。
· 部分802.1X客户端不支持与设备进行握手报文的交互,因此建议在这种情况下,关闭设备的在线用户握手功能,避免该类型的在线用户因没有回应握手报文而被强制下线。
· 只有当802.1X客户端需要收到在线握手成功报文时,才需要开启接口发送在线握手成功报文功能。
· 在线用户握手功能处于开启状态时,安全握手功能才会生效。
· 在线用户握手安全功能仅能在iNode客户端和iMC服务器配合使用的组网环境中生效。
· 只有当802.1X客户端需要收到在线握手成功报文时,才需要开启接口发送在线握手成功报文功能。
(1) 进入系统视图。
system-view
(2) (可选)配置握手定时器。
dot1x timer handshake-period handshake-period-value
缺省情况下,握手定时器的值为15秒。
(3) 进入接口视图。
interface interface-type interface-number
(4) 开启在线用户握手功能。
dot1x handshake
缺省情况下,在线用户握手功能处于关闭状态。
(5) (可选)开启在线用户握手安全功能。
dot1x handshake secure
缺省情况下,在线用户握手安全功能处于关闭状态。
(6) (可选)开启接口发送在线握手成功报文功能。
dot1x handshake reply enable
缺省情况下,接口不发送在线握手成功报文。
在完成上述配置后,在任意视图下执行display命令可以显示配置后802.1X的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除802.1X的统计信息。
表2-1 802.1X显示和维护
|
操作 |
命令 |
|
显示802.1X的会话连接信息、相关统计信息或配置信息 |
display dot1x [ sessions | statistics ] [ interface interface-type interface-number ] |
|
显示当前802.1X在线用户的详细信息 |
(独立运行模式) display dot1x connection [ interface interface-type interface-number | slot slot-number | user-mac mac-address | user-name name-string ] (IRF模式) display dot1x connection [ chassis chassis-number slot slot-number | interface interface-type interface-number | user-mac mac-address | user-name name-string ] |
|
清除802.1X的统计信息 |
reset dot1x statistics [ interface interface-type interface-number ] |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
