第22章 8021x配置Word格式文档下载.docx
《第22章 8021x配置Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《第22章 8021x配置Word格式文档下载.docx(29页珍藏版)》请在冰豆网上搜索。
认证开始时的EAPOL帧使用01-80-c2-00-00-03作为目的MAC地址,使用发送者的MAC地址作为源MAC地址。
4.采用纯以太网技术,通过认证之后的数据包不存在封装与解封装的问题,因而效率高,消除了网络瓶颈。
5.用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有特殊要求,业务可以很灵活,尤其在开展宽带组播等方面的业务有很大的优势,所有业务都不受认证方式限制。
同时,计费方式可以灵活选择,支持根据用户时长的计费方式。
6.802.1X实现了分散的访问控制(由靠近用户并支持802.1X协议的以太网交换机实现)与集中的认证管理(支持RADIUS和TACACS+服务器),因此整个认证结构比较协调。
22.1.2对标准802.1X的扩展
迈普系列交换机不仅支持标准802.1X协议还对其进行了扩展和优化以适应各种不同的应用需求。
1.支持在一个端口下接入多个用户。
标准802.1X协议是基于端口实现的,即只要该端口下某一个用户认证成功后,其他用户无需认证就可以使用网络资源,但是当该用户下线后,其他用户也会被拒绝使用网络。
迈普系列交换机支持基于用户的认证(基于MAC地址),当端口配置为基于用户的认证时,该端口下的每个用户都需要单独认证,只有认证成功的用户才能使用网络资源,某个用户下线后,也只有该用户无法使用网络,并不影响其他已认证用户的网络的使用。
2.支持EAP终结。
标准802.1X协议规定客户端和认证服务器之间通过EAP报文进行交互,设备在此交互中充当着“EAP中继”的角色,设备将客户端发送来的EAP数据封装在其他协议中,例如Radius协议,然后发送给认证服务器,同样地,设备也将认证服务器发送过来的EAP数据封装在EAPOL报文中转发给客户端,这种交互方式我们称之为EAP中继。
EAP中继要求认证服务器支持EAP协议,否则认证服务器将无法与客户端使用EAP进行交互。
考虑到实际应用环境中,部署较早的认证服务器可能并不支持EAP协议,迈普系列交换机对此进行扩展,支持EAP终结方式,客户端的EAP数据不会被直接发送到认证服务器,而是由设备完成与客户端的EAP交互,设备从中提取用户的认证信息然后发送到认证服务器进行认证。
22.1.3AutoVlan
802.1X用户在服务器上通过认证时,服务器会把授权信息传送给设备端。
如果服务器上配置了下发VLAN功能,则授权信息中含有授权下发的VLAN信息,设备会将端口加入到下发VLAN中。
我们称这个下发的VLAN为AutoVLAN。
(1)如果RADIUSserver授权信息中没有下发VLAN信息,那么认证成功之后,端口的VLAN属性保持不变。
(2)如果RADIUSserver授权信息中含有下发VLAN信息,那么认证成功之后,判断这个下发的AutoVLAN是否存在,如果存在的话,将端口以untag方式加入到这个AutoVLAN,并且端口的缺省VID为AutoVLAN的VID;
如果AutoVLAN不存在的话,这个端口的VLAN属性保持不变,认证失败。
(3)用户下线之后,端口恢复为“未认证”状态,端口从这个AutoVLAN中删除,端口的缺省VID也恢复为原来配置的VID。
授权下发的AutoVLAN并不改变端口的配置,也不影响端口的配置。
但是,授权下发的AutoVLAN的优先级高于用户配置的VLAN(即ConfigVLAN),即通过认证后起作用的VLAN是授权下发的AutoVLAN,用户配置的ConfigVLAN在用户下线后生效。
VLAN下发特性所关联的三个Radius属性为:
–[64]Tunnel-Type=VLAN
–[65]Tunnel-Medium-Type=802
–[81]Tunnel-Private-Group-ID=VLANID
注:
1、autovlan不能应用到动态vlan上,比如autovlan所指定的vlanid是由gvrp自动创建的vlan,那802.1x用户将会认证失败。
2、为保证各种功能可以正常使用,请为voicevlan、privatevlan以及802.1X的autovlan等分配不同的vlanid。
22.1.4GuestVlan
GuestVLAN功能用来允许未认证用户访问某些特定资源。
用户认证端口在通过802.1X认证之前属于一个缺省VLAN(即GuestVLAN),用户访问该VLAN内的资源不需要认证,但此时不能够访问其他网络资源;
认证成功后,端口离开GuestVLAN,用户可以访问其他的网络资源。
用户在GuestVLAN中可以获取802.1X客户端软件,升级客户端,或执行其他一些应用升级程序(例如防病毒软件、操作系统补丁程序等)。
端口上配置GuestVlan成功后,设备会把该端口加入到GuestVLAN。
开启802.1X特性并正确配置GuestVLAN后,该端口将以untagged方式加入到GuestVLAN内。
此时GuestVLAN中端口下的用户发起认证,如果认证失败,该端口将会仍然处在GuestVLAN内;
如果认证成功,分为以下两种情况:
(1)如果认证服务器下发一个VLAN,这时端口离开GuestVLAN,加入下发的VLAN中。
用户下线后,端口会回到GuestVLAN中。
(2)如果认证服务器不下发VLAN,这时端口离开GuestVLAN,加入ConfigVLAN中。
用户下线后,端口加入到GuestVLAN中。
端口的guestvlan不能应用到动态vlan上,比如guestvlan所指定的vlanid是由gvrp自动创建的vlan,那guestvlan可以配置成功,但不会生效。
22.2802.1X配置
本节主要内容:
●802.1X配置命令基本描述
●802.1X启用与关闭
●配置802.1X端口最大用户数
●配置802.1X组播触发
●配置802.1XEAP中继/终结
●配置802.1XGuestVlan
●配置802.1X端口认证模式
●配置802.1X重认证
●配置802.1XEAPOL报文透传
●配置802.1X定时器参数
22.2.1基本指令描述
命令
描述
配置模式
dot1xport-control{enable|disable}
端口启用/关闭802.1X
config-port-xxx,
config-port-range,
config-link-aggregation-x
nodot1xport-controlenable
端口关闭802.1X
dot1xeapol-relay{enable|disable}
端口启用/关闭802.1XEAPOL报文透传
nodot1xeapol-relayenable
端口关闭802.1XEAPOL报文透传
dot1xeapol-relayuplink{port|link-aggregation}
配置EAPOL报文透传上联端口
nodot1xeapol-relayuplink
取消EAPOL透传上联端口
dot1xport-controlmax-user-num{1-4096}
配置端口最大用户数
nodot1xport-controlmax-user-num
取消端口最大用户数
dot1xmulticast-trigger
配置端口组播触发
nodot1xmulticast-trigger
取消端口组播触发
dot1xmulticast-period{5-3600}
配置端口组播触发周期
nodot1xmulticast-period
取消端口组播触发周期
dot1xeap-relay{enable|disable}
端口启用/关闭EAP中继
nodot1xeap-relayenable
端口关闭EAP中继
dot1xguest-vlan{vlanId}
配置端口guestvlan
nodot1xguest-vlan
取消端口guestvlan
dot1xdefault
恢复端口dot1x缺省配置
dot1xport-method{portbased|macbased}
配置端口认证模式
nodot1xport-method
取消端口认证模式
dot1xmax-authfail{1-10}
配置端口最大认证失败次数
nodot1xmax-authfail
取消端口最大认证失败次数
dot1xreauthentication
启用端口重认证
nodot1xreauthentication
取消端口重认证
dot1xtimeoutre-authperiod{5-3600}
配置端口重认证定时器参数
nodot1xtimeoutre-authperiod
取消端口重认证定时器参数
dot1xtimeoutquiet-period{1-65535}
配置端口惩罚定时器参数
nodot1xtimeoutquiet-period
取消端口惩罚定时器参数
dot1xtimeoutserver-timeout{5-3600}
配置服务器超时定时器参数
nodot1xtimeoutserver-timeout
取消服务器超时定时器参数
dot1xtimeoutsupp-timeout{5-3600}
配置客户端超时定时器参数
nodot1xtimeoutsupp-timeout
取消客户端超时定时器参数
dot1xtimeoutoffline-detect{5-3600}
配置MAC认证用户下线检测定时器参数
nodot1xtimeoutoffline-detect
取消MAC认证用户下线检测定时器参数
dot1xmac-authentication{enable|disable}
端口启用/关闭MAC认证功能
config-link-aggregation-x
nodot1xmac-authenticationenable
端口关闭MAC认证功能
dot1xmac-authenticationuser-name-format{fixedaccountusernamepasswordpassword|mac-address{with-hyphen|without-hyphen}}
配置MAC认证用户名格式
nodot1xmac-authenticationuser-name-format
取消MAC认证用户名格式
dot1xkeepalive{enable|disable}
端口启用/关闭保活报文功能
nodot1xkeepaliveenable
端口关闭保活报文功能
dot1xkeepaliveperiod{5-3600}
配置保活报文发送周期
nodot1xkeepaliveperiod
取消保活报文发送周期
dot1xkeepaliveretries{1-100}
配置保活报文重传次数
nodot1xkeepaliveretries
取消保活报文重传次数
⏹dot1xport-control
该命令在端口启用或者关闭802.1X功能。
该命令的no形式也可关闭802.1X功能。
语法
enable
启用802.1X
disable
关闭802.1X
【缺省情况】disable
1、如果端口上启用了MAC认证(dot1xmac-authenticationenable)功能,则该功能不能启用。
2、是否支持MAC认证功能视不同的产品型号而定:
RM1800-21-AC、RM1800-22-AC、RM1800-23-AC这些型号不支持。
⏹dot1xport-method
该命令配置端口802.1X的认证模式,基于端口认证模式或者基于用户认证模式。
该命令的no形式也可将认证模式配置成缺省值。
portbased
基于端口的认证模式
macbased
基于用户的认证模式
【缺省情况】macbased
1、基于端口的认证模式时,端口最大用户数不生效。
基于用户的认证模式时,端口最大用户数缺省值为256。
2、是否支持该命令视不同的产品型号而定:
⏹dot1xport-controlmax-user-num
该命令设置端口的最大用户数。
该命令的no形式设置端口的最大用户数为缺省值。
1-4096
最大用户数
【缺省情况】256
1、该命令只在基于用户的认证(macbased)模式下有效,基于端口的认证(portbased)模式下,该配置不生效。
⏹dot1xmulticast-trigger
该命令开启端口组播触发功能,使用相关的no命令关闭端口组播触发功能。
【缺省情况】关闭
⏹dot1xmulticast-period
该命令配置端口组播报文的发送周期。
该命令的no形式设置组播报文的发送周期为缺省值。
5-3600
组播报文发送周期(秒)
【缺省情况】15(秒)
⏹dot1xeap-relay
该命令配置端口的EAP模式,EAP中继或者EAP终结。
该命令的no形式关闭EAP中继。
启用EAP中继模式
关闭EAP中继模式(启用EAP终结模式)
【缺省情况】disable(EAP终结模式)
使用EAP终结模式时支持PAP认证(仅适合客户端使用迈普802.1X客户端)和CHAP认证。
使用EAP中继模式时,具体支持的认证机制取决于802.1X客户端和认证服务器。
⏹dot1xguest-vlan
该命令配置端口的guestvlan,相关的no命令取消端口的guestvlan。
vlanId
v