实验10 8021x及AAA配置实验V50Word格式.docx
《实验10 8021x及AAA配置实验V50Word格式.docx》由会员分享,可在线阅读,更多相关《实验10 8021x及AAA配置实验V50Word格式.docx(14页珍藏版)》请在冰豆网上搜索。
标准5类线2根,配置电缆1根;
10.2.3实验组网图
图10-1802。
1X实验组网图
10.2.4实验步骤
1.实验基本配置准备
我们在交换机Sw1上配置802.1X对PC访问网络进行控制。
在实施具体的配置之前,先请按照组网图连接有关设备并且配置好PC和Server的IP地址。
2.本地认证具体配置
802.1X系统包括3个部件:
用户(pc)、验证者(Sw1)和验证服务器(Server)。
802.1X系统验证工作的顺利实施包括pc和Sw1之间的交互和Sw1和Server之间的交互两个过程。
我们首先研究第一个过程。
为了便于读者理解,我们先不配置Server的Radius功能,即先利用Sw1的本地验证分析PC和Sw1之间的交互。
Sw1上802.1X本地认证的具体配置可以分为如下几个步骤:
添加一个用户
在本地验证用户数据库中添加一个用户,这里添加的用户为pc,密码也为pc,具体命令为:
[Sw1]local-userpc
[Sw1-user-pc]passwordsimplepc
[Sw1-user-pc]service-typelan-access
启动交换机和端口802.1X认证
[Sw1]dot1x
802.1xisenabledglobally
[Sw1]interfaceethernet0/24
[Sw1-Ethernet0/24]dot1x
802.1xisenabledonportEthernet0/24
在系统和端口下都启动802.1x认证后,在不经过认证的情况下,端口无法访问接入交换机。
C:
\PING192.168.10.121
Requesttimedout…
进行本地验证:
这时可以通过认证。
C:
Replyfrom192.168.10.121:
bytes=32time=9msTTL=128...
以上的验证是利用交换机系统默认的domain(domainsystem)进行的认证,domainsystem利用系统默认radiusschemesystem策略。
当交换机接收到用户名PC后,发现这个用户名不是user@domainame形式,就会利用默认的domain(@system)进行验证。
[S6506]displayconnection
Index=14,Username=pc@system
MAC=00c0-df05-c579,IP=0.0.0.0
Quidway交换机支持将所有接入用户划分到不同的域中
每一个域可以采用统一的验证、计费方案。
交换机按照接入用户名的后缀(如peter@中的)确定用户属于哪一个域,进而决定对该用户的验证计费方案。
对于没有后缀域名的用户,交换机缺省认为他们属于一个“全局缺省域”;
基于配置,全局缺省域用户的用户名在进行验证前可以加上缺省域的域名。
为了简单起见(避免用户在输入时输入域名以及在验证数据库中输入域名),我们可以配置这里的接入用户的缺省域名为,并且配置不将域名发送给radiusserver,即仅发送用户名。
当然,还必须制定交换机关于这个域的验证、计费方法(即进行本地验证,不记费)。
具体的配置命令为:
[Sw1]radiusschemebysw
NewRadiusserver
[Sw1-radius-bysw]server-typehuawei
[Sw1-radius-bysw]primaryauthentication127.0.0.11645
[Sw1-radius-bysw]primaryaccounting127.0.0.11646
[Sw1-radius-bysw]user-name-formatwithout-domain
[Sw1-radius-bysw]quit
[Sw1]domain
NewDomainadded.
[Sw1-isp-]radius-schemebysw
[Sw1]domaindefaultenable
本地进行验证计费(127.0.0.1),但本地不支持计费功能,在验证通过的情况下,即使计费失败,也允许用户接入,利用收到的用户名,查找用户所属的domain,如果你输入的用户名是pc,系统就会查找用户默认的domain,由于我们已经配置了命令:
[SW1]domaindefaultenable,系统会用这个domain所规定的认证策略进行认证,否则用户名需输入为pc@。
然后系统根据[SW1-isp-]radius-schemebysw查找bysw规定的radius服务器地址。
此时bysw规定的地址是127.0.0.1,所以在本地查找用户pc,前面我们已经配置了这个用户([SW1]local-userpc,并且密码相符,所以验证通过。
如果此时用户输入的用户名是pc@系统会直接查找domain
在交换机上配置一个三层接口,这里的配置为:
[Sw1-Vlan-interface1]ipaddress192.168.10.1255.255.255.0
如果Pc是WindowsXP操作系统,则自带802.1x认证客户端。
否则,可以使用华为提供的802.1x软件客户端。
现在请运行这个客户端,并输入用户名pc和密码pc,现在您可以尝试从Pc上PingSw1的三层接口地址:
192.168.10.1来检查是否可以获得对于网络的访问权限。
如果一切配置正确,应该是可以访问的。
可以用命令displaydot1xinterfaceethernet0/24查看当前端口E0/24的dot1x配置运行情况:
<
Sw1>
displaydot1xinterfaceethernet0/24
802.1Xprotocolisenabled
DHCP-launchisdisabled
Configure:
TransmitPeriod000030s,CommitPeriod000015s
Max-reqis000003
QuietPeriod000060s,ValueofQuietPeriodTimerisdisabled
SuppTimeout000030s,ValueofServerTimeout000100s
Totalmaximumon-lineusernumberis512
Totalcurrenton-lineusernumberis1
portEthernet0/24islink-up
Theportisa(n)authenticator
AuthenticationModeisauto
PortControlTypeisMac-based
Maxon-lineusernumberis64
1.Authenticateduser:
MACaddress:
0010-a4a0-0300
ControlledUser(s)amountto1
以上划线部分明确给出了有关当前接入用户的有关信息。
3.交互过程
现在让我们更加仔细地分析pc和Sw1之间的交互过程。
Pc和Sw1之间运行的是封装在以太网之上的EAP协议,即EAPOL协议。
为便于读者参考,我们先将EAPOL协议的报文封装格式列在这里:
图10-1EAPOL协议的报文封装格式
PacketType值和报文类型的对照关系为:
Type=0EAP-Packet
Type=1EAPOL-Start
Type=2EAPOL-Logoff
Type=3EAPOL-Key
Type=4EAPOL-Encapsulated-ASF-Alert
EAPOLType=0时其中包含EAP数据包,EAP数据包封装格式为:
现在让我们通过逐个分析pc和Sw之间EAPOL报文的方式来观察EAPOL协议的工作机制。
现在请在pc上打开“开始->
程序->
管理工具->
网络监视器”,并开始监听网络。
在pc上运行并输入用户名(pc)和密码(pc)登陆网络,此时在网络监视器上会有一系列Sw1和Pc之间的交互报文。
这里提请大家知晓,我们这里的pc的MAC地址是:
00.10.a4.a0.03.00;
Sw1的InterfaceVlan1的MAC地址是:
00.e0.fc.07.70.8a。
现在我们来一一分析它们:
图10-2pc发给Sw1的第1个报文
ResponseData值7063是pc的Identity(datatype=01)即我们输入的用户名pc。
下面然我们来观察Sw1收到这个报文以后的反应:
图10-3Sw1发给pc的第2个报文
Challenge的第一个字节0x10表示其长度为16,随后为一个16字节的随机报文)。
pc收到这个Challenge以后,以这个随机报文和密钥pc为MD5算法的输入得出一个Response,再发送给Sw1:
图10-4pc发给Sw1的第3个报文
从EAPIdentifier=02来看,上面这个EAPOL报文所包含的EAPResponse(EAPtype=02)正是pc回应Sw1刚才向他发的EAPRequest(EAPIdentifier=2),不过这里的EAPResponsedata结构上有点改变:
紧随Challenge的16bytes由MD5算法利用key和16-bitChallenge计算而得。
Challenge需具备相同Identifier,并将结果和这里的16个字节作比较,如果相同认证就通过,否则就不通过。
在我们的情形下,Sw1发给pc的数据包是:
图10-5Sw1发给pc的第3个报文
一望便知,这个EAPOL报文中包含的EAP报文是Type=03的EAPSuccess报文。
这说明Sw1通知pc验证已经通过。
当然,同时Sw1会打开对于端口E0/24的锁定,从而从pc上就可以ping通Sw1的三层接口了。
对于退出登陆的过程分析是类似的,我们把这个作为练习留给读者。
当然通过如下调试命令:
debuggingdot1xpacket
terminaldebugging
也可以观察到大致相同的信息,不过只是没有上面分析的这么细致。
对于一个熟练的工程师而言,他应该可以从Debug信息中快速获取他想获取的信息。
我们这里就不分析这些信息了。
4.Server做Radius服务器
首先,让我们把我们的实验做得更加接近于实际情况:
通常情况下,一个远程用户接入网络时本身都没有IP地址,而是等待运营商的DHCP服务器给它分配一个IP地址。
所以,请配置pc的IP地址为自动获取,我们将配置Server提供DHCP服务。
具体配置清单为:
[Sw1]undolocal-userpc/*删除本地用户数据库中用户pc*/
[Sw1]radiusschemebyser/*设置Radius方案byser*/
/*配置主验证服务器192.168.10.121*/
[Sw1-radius-byser]primaryauthentication192.168.10.121
/*配置主计费服务器192.168.10.121*/
[Sw1-radius-byser]primaryaccounting192.168.10.121
/*配置和验证服务器之间的共享密钥为huawei*/
[Sw1-radius-byser]keyauthenticationhuawei
/*配置和计费服务器之间的共享密钥为huawei*/
[Sw1-radius-byser]keyaccountinghuawei
[Sw1]domain/*在域中应用这些方案*/
[Sw1-isp-]radius-schemebyser
现在我们来配置ShivaRadius服务器。
尽管W2K也支持Radius服务,但是配置比较繁琐,为了集中精力于我们的主要议题,我们使用一个使用比较方便的ShivaRadius服务器来做示例,您可以用任何其他标准Radius服务器做同样的实验。
我们先打开ShivaAccessManager,用超级用户supermanager(密码为空)登录,并且打开一个控制台(同样用密码为空的supermanager登录),Shiva的具体配置如下:
首先配置一个用户,具体操作方法是打开“user->
managerusers”,在如下图所示的对话框中输入用户名pc,密码pc,特别要注意AccountExpirationDate要设置成距离现在较晚的一个日期;
然后再打开“options->
general”对话框,并按照下图所示设置radius端口参数:
重新设置这里的端口可能要重新启动系统;
最后再打开“options->
encryptionkeys”设置Radius客户端有关参数,这里的参数设置如下图所示:
在上图中设置NASIpAddress为192.168.10.1,EncryptionKey为huawei。
这样radius服务器就设置好了。
配置完Radius服务以后,还要在Server上配置DHCP服务。
首先请打开“开始->
DHCP”,我们配置Server给用户分配一个192.168.10.2到192.168.10.10这个范围内的地址。
请新建一个作用域,具体的配置如下面几张图所示:
全部配置完成以后,现在我们在pc上测试是否能够登录到网络上去。
首先,运行登录程序输入用户名pc和密码pc,如果不能登录,请检查确认Radius和Sw1配置正确;
如果可以登录,但是不能ping通192.168.10.1,请利用ipconfig/renew更新IP地址,如果不能获得Server分配的IP地址,请检查DHCP配置。
现在,让我们回到验证流程这个主题的讨论上来。
Sw1默认情形下将会把EAP消息完全转化为标准RadiusAccess-Request报文。
我们可以在Server上捕获有关pc登录时Sw1和Server之间的交互报文来观察具体的报文内容。
由于Win2000自带的报文分析器对于Radius报文的各个选项都解析得非常清楚,我们就不必再引用radius报文格式了。
如下两个报文是我们捕获的RadiusAccessRequest和RadiusAccessAccept报文:
由上图可以看出,Sw1在发往Server的Radius报文中给出了用户名(pc)和Sw1曾经发给用户pc的challenge和pc的Response,Server收到这个Request以后,它根据这个用户名查找它的用户数据库得到相关的密码并作计算以后判断所得到的结果是否和Sw1发过来的pc的应答一致,如果不一致就给Sw1发AccessReject,否则发如下图所示的AccessAccept:
作为一个练习,您可以在pc上尝试不同的密钥并且观察Sw1和Server之间的Radius报文交互。
升级会员 