188021X配置 MyPower S4330 V10 系列交换机配置手册Word格式文档下载.docx
《188021X配置 MyPower S4330 V10 系列交换机配置手册Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《188021X配置 MyPower S4330 V10 系列交换机配置手册Word格式文档下载.docx(16页珍藏版)》请在冰豆网上搜索。
support@
网址:
邮编:
610041
版本:
2011年8月v1.0版
目录
第1章配置802.1X1
1.1802.1X协议简介1
1.1.1802.1x认证系统1
1.1.2802.1x认证流程3
1.1.3和802.1x配合使用的特性4
1.2AAA配置5
1.2.1RADIUS服务器配置5
1.2.2本地用户配置6
1.2.3域配置6
1.2.4RADIUS特性配置7
1.3802.1X配置9
1.3.1EAP方式配置9
1.3.2功能开启配置9
1.3.3端口控制模式配置10
1.3.4重认证配置10
1.3.5守望功能配置11
1.3.6用户特性配置11
1.3.7配置基于端口认证模式下的主机模式11
1.3.8GuestVLAN功能配置12
1.3.9EAPOL报文透传功能配置12
1.4配置实例13
第1章配置802.1X
1.1802.1X协议简介
802.1x是IEEE于2001年6月通过基于端口访问控制的接入管理协议标准。
由于传统的局域网不提供接入认证,只要用户能接入局域网,就可以访问局域网中的设备和资源,这是一个安全隐患。
对于移动办公,驻地网运营等应用,ISP希望能对用户的接入进行控制和配置。
此外还存在计费的需求。
802.1x是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。
802.1x认证的最终目的就是确定一个端口是否可用。
对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;
如果认证不成功就使这个端口保持“关闭”,即只允许802.1x的认证协议报文通过。
1.1.1802.1x认证系统
系统要实现802.1X认证、授权计费过程需要具备一定的软硬件环境,归纳起来就是以下三个部分:
1.客户端(SupplicantSystem):
是需要接入LAN,及享受交换机提供服务的设备(如PC机),客户端需要支持EAPOL协议,客户端必须运行IEEE802.1X的认证客户端软件。
2.认证系统(AuthenticatorSystem):
在以太网系统中指认证交换机,其主要作用是完成用户认证信息的上传、下发工作,并根据认证结果控制端口是否可用。
就好像在客户和认证服务器之间充当了一个代理的角色。
3.认证服务器部分(AuthenticationServer):
通常情况下指RADIUS服务器。
RADIUS通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的网络服务。
认证结束以后将结果下发给交换机。
图1-1表现了这三个部分之间的关系。
图1-1.802.1X认证系统
三个部分涉及到如下的基本概念:
1.PAE(PortAccessEntity,端口访问实体)
PAE是认证机制中负责执行算法和协议操作的实体。
设备端PAE利用认证服务器对需要接入局域网的客户端执行认证,并根据认证结果相应地控制受控端口的授权/非授权状态。
客户端PAE负责响应设备端的认证请求,向设备端提交用户的认证信息。
客户端PAE也可以主动向设备端发送认证请求和下线请求。
2.受控端口
设备端为客户端提供接入局域网的端口,这个端口被划分为两个虚端口:
受控端口和非受控端口。
●非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,保证客户端始终能过发出或接收认证。
●受控端口在授权状态下处于连通状态,用于传递业务报文;
在非授权状态下处于断开状态,禁止传递任何业务报文。
●受控端口和非受控端口是同一端口的两个部分;
任何到达该端口的帧,在受控端口与非受控端口上均可见。
3.受控方向
在非授权状态下,受控端口被设置成单向受控:
实行单向受控时,禁止从客户端接收帧,但允许向客户端发送帧。
4.端口受控方式
●基于端口的认证:
只要该物理端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,当第一个用户下线后,其他用户也会被拒绝使用网络。
●基于MAC地址认证:
该物理端口下的所有接入用户都需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
1.1.2802.1x认证流程
基于802.1x的认证系统在客户端和认证系统之间使用EAPOL格式封装EAP协议传送认证信息,认证系统与认证服务器之间通过RADIUS协议传送认证信息。
由于EAP协议的可扩展性,基于EAP协议的认证系统可以使用多种不同的认证算法,如EAP-MD5,EAP-TLS,EAP-SIM,EAP-TTLS以及EAP-AKA等认证方法。
以EAP-MD5为例,描述802.1x的认证流程。
EAP-MD5是一种单向认证机制,可以完成网络对用户的认证,但认证过程不支持加密密钥的生成。
认证流程包括以下步骤:
(1)客户端向接入设备发送一个EAPoL-Start报文,开始802.1x认证接入;
(2)接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;
(3)客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名;
(4)接入设备将EAP-Response/Identity报文封装到RADIUSAccess-Request报文中,发送给认证服务器;
(5)认证服务器产生一个Challenge,通过接入设备将RADIUSAccess-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge;
(6)接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证;
(7)客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备;
(8)接入设备将Challenge,ChallengedPassword和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证:
(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。
如果成功,携带协商参数,以及用户的相关业务属性给用户授权。
如果认证失败,则流程到此结束;
(10)如果认证通过,用户通过标准的DHCP协议(可以是DHCPRelay),通过接入设备获取规划的IP地址;
与此同时接入设备发起计费开始请求给RADIUS服务器;
(11)RADIUS服务器回应计费开始请求报文。
用户上线完毕。
1.1.3和802.1x配合使用的特性
1、VLAN下发
802.1X用户在服务器上通过认证时,服务器会把授权信息传送给设备端。
如果服务器上配置了下发VLAN功能,则授权信息中含有授权下发的VLAN信息,设备会将端口加入到下发VLAN中。
(1)如果RADIUSserver授权信息中没有下发VLAN信息,那么认证成功之后,端口的VLAN属性保持不变。
(2)如果RADIUSserver授权信息中含有下发VLAN信息,那么认证成功之后,判断这个下发的VLAN是否存在,如果存在的话,将端口以untag方式加入到这个VLAN,并且端口的缺省VID为该VLAN;
如果这个VLAN不存在的话,这个端口的VLAN属性保持不变。
(3)用户下线之后,端口恢复为“未认证”状态,端口从这个VLAN中删除,端口的缺省VID也恢复为原来配置的VID。
授权下发的VLAN并不改变端口的配置,也不影响端口的配置。
但是,授权下发的VLAN的优先级高于用户配置的VLAN(即ConfigVLAN),即通过认证后起作用的VLAN是授权下发的VLAN,用户配置的ConfigVLAN在用户下线后生效。
2、GuestVLAN
GuestVLAN功能允许用户在未认证的情况下,可以访问某一特定VLAN中的资源,比如获取客户端软件,升级客户端或执行其他一些用户升级程序。
用户认证端口在通过802.1X认证之前属于一个缺省VLAN(即GuestVLAN),用户访问该VLAN内的资源不需要认证,但此时不能够访问其他网络资源;
认证成功后,端口离开GuestVLAN,用户可以访问其他的网络资源。
配置时需要注意,ConfigVLAN、radius下发的VLAN和GuestVLAN不能相同。
(1)当端口开启portbased认证时,端口处在ConfigVLAN中,用户不能访问任何网络资源;
如果端口上配置了GuestVLAN,则设备会把该端口加入到GuestVLAN,此时用户可以并且只能访问GuestVLAN内的资源;
(2)当GuestVLAN中端口下的用户发起认证时,如果认证失败,该端口将会仍然处在GuestVLAN内;
如果认证成功,则端口自动离开GuestVLAN,若radiusserver有下发VLAN,则将端口加入到下发的VLAN内,若radiusserver没有下发VLAN,则将端口加入到之前的ConfigVLAN内,此时用户可以正常访问网络,但不能再访问GuestVLAN内的资源;
(3)当用户下线后,端口离开其他所有VLAN,然后自动回到GuestVLAN内,此时用户只能访问GuestVLAN内的资源;
(4)当端口关闭认证功能时,端口离开其他VLAN(包括GuestVLAN、radius下发的VLAN),然后回到之前的ConfigVLAN内。
3、ACL下发
ACL(AccessControlList,访问控制列表)提供了控制用户访问网络资源和限制用户访问权限的功能。
当用户上线时,如果RADIUS服务器上配置了授权ACL,则设备会根据服务器下发的授权ACL对用户所在端口的数据流进行控制;
在服务器上配置授权ACL之前,需要在设备上配置相应的规则。
管理员可以通过改变服务器的授权ACL设置或设备上对应的ACL规则来改变用户的访问权限。
1.2AAA配置
802.1x进行认证时需要对用户的合法身份进行验证,现在支持使用RADIUS服务器或者本地数据库进行身份验证。
1.2.1RADIUS服务器配置
RADIUS服务器上保存有合法用户的身份信息等。
用户在认证时,系统将用户的身份信息转发到RADIUS服务器,并将RADIUS服务器的验证结果信息转发给用户。
接入系统的用户只有通过了RADIUS服务器的认证才能访问LAN内的资源。
表1-1配置RADIUS服务器基本功能
操作
命令
备注
进入全局配置模式
configureterminal
-
进入AAA模式
aaa
创建并进入RADIUS配置方案
radiushostname
必选
配置主认证服务器
primary-auth-ipipaddrport
配置次认证服务器
second-auth-ipipaddrport
可选
配置主计费服务器
primary-acct-ipipaddrport
配置次计费服务器
second-acc