最新8021X典型配置指导.docx
《最新8021X典型配置指导.docx》由会员分享,可在线阅读,更多相关《最新8021X典型配置指导.docx(46页珍藏版)》请在冰豆网上搜索。
最新8021X典型配置指导
802.1X典型配置指导
02-802.1X典型配置指导
1802.1X典型配置指导
1.1802.1X简介
IEEE802LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1X协议。
后来,802.1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。
802.1X协议是一种基于端口的网络接入控制协议(PortBasedNetworkAccessControl)。
“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。
连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
1.2802.1X典型配置指导
1.2.1应用需求
用户通过Switch的端口GE1/0/1接入网络。
要求通过对接入设备的配置实现用户的802.1X认证,以控制其访问Internet。
具体需求:
●用户采用iNode客户端进行802.1X认证。
●认证、授权、计费服务器均采用iMC服务器。
●Switch的端口GE1/0/1下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
●认证时,先进行RADIUS认证,如果RADIUS服务器没有响应再转而进行本地认证;计费时,采用包月计费方式,每月30小时,20元。
图1-1802.1X接入认证组网示意图
1.2.2配置思路
(1)配置Radius服务器(本例以iMC服务器配置为例)
●增加接入设备:
建立iMC服务器和接入设备Switch之间的联动关系。
●增加计费策略:
建立iMCCAMS的计费策略。
●增加服务:
用户进行认证、授权、计费的各种策略的集合。
●增加接入用户:
包含帐号名、密码等信息。
(2)配置接入设备Switch
●创建本地用户,用户名为guest,密码为123456。
●配置RADIUS方案radius1,指定RADIUS认证/授权/计费服务器IP地址为10.1.1.3;Switch与RADIUS服务器交互报文时的共享密钥为expert。
●设置交换机在向RADIUS服务器发送报文后5秒种内如果没有得到响应就向其重新发送报文,发送报文的次数总共为5次,设置系统每15分钟就向RADIUS服务器发送一次实时计费报文。
●创建ISP域test,并在该域下配置所有802.1X用户登录时采用的认证方案为radius1,并采用local作为备选方案。
●开启全局和端口GE1/0/1下的802.1X功能,802.1X用户的接入控制方式是基于MAC地址的接入控制方式。
(3)配置iNode客户端
1.2.3适用产品、版本
表1-1配置适用的产品与软硬件版本关系
产品
软件版本
S7500E系列以太网交换机
Release6100系列,Release6300系列,Release6600系列,Release6610系列
S7600系列以太网交换机
Release6600系列,Release6610系列
S5800&S5820X系列以太网交换机
Release1110,Release1211
CE3000-32F以太网交换机
Release1211
S5500-EI系列以太网交换机
Release2202,Release2208
S5500-EI-D系列以太网交换机
Release2208
S5500-SI系列以太网交换机
Release2202,Release2208
S5120-EI系列以太网交换机
Release2202,Release2208
S5120-EI-D系列以太网交换机
Release1505
S5120-SI系列以太网交换机
Release1101,Release1505
S5120-LI系列以太网交换机
Release1107
E552&E528以太网交换机
Release1103
S3610&S5510系列以太网交换机
Release5301,Release5303,Release5306,Release5309
S3500-EA系列以太网交换机
Release5303,Release5309
S3100V2系列以太网交换机
Release5103
E126B以太网交换机
Release5103
1.2.4配置过程和解释
1.RADIUS服务器上的配置(以iMC服务器为例)
下面以iMC为例(使用iMC版本为:
iMCPLAT3.20-R2602、iMCUAM3.60-E6102),说明RADIUSserver的基本配置。
iMC服务器上的配置主要包含如下四步:
●增加接入设备:
建立iMC服务器和接入设备之间的联动关系。
●增加计费策略:
配置计费方案。
●增加服务:
配置对用户进行认证、授权、计费的各种策略。
●增加接入用户:
添加802.1X用户的帐号名、密码等信息。
具体配置如下:
(1)增加接入设备。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备配置]菜单项,进入“接入设备配置”页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
●设置与Switch交互报文时的认证、计费共享密钥为expert;
●设置认证及计费的端口号分别为1812和1813;
●选择业务类型为“LAN接入业务”;
●选择接入设备类型为H3C;
●选择或手工增加接入设备,添加IP地址为192.168.0.1的接入设备。
图1-2增加接入设备
(2)增加计费策略
选择“业务”页签,单击导航树中的[计费策略管理]菜单项,在该页面中单击“增加”按钮,进入增加计费策略页面。
●配置策略名称“test”;
●计费策略模板选择“包月类型计费”;
●包月基本信息:
计费方式“按时长”,计费周期类型“月”,周期内固定费用“20”元;
●包月使用量限制设置:
周期内限制量“30”,周期内限制单位“小时”;
●其它参数采用缺省值,点击<确定>按钮。
(3)增加服务。
选择“业务”页签,单击导航树中的[接入业务/服务配置管理]菜单项,进入“服务配置管理”页面,在该页面中单击“增加”按钮,进入增加服务配置页面。
●输入服务名“service1”(可以任意命名),服务后缀“test”(关于服务后缀的设置规则请参考表1-2);
●计费策略选择上一步中设置的“test”策略;
●其它参数采用缺省值;
●点击<确定>按钮。
(4)增加接入用户。
选择“用户”页签,单击导航树中的[接入用户视图/所有接入用户]菜单项,进入“所有接入用户”列表页面,在该页面中单击<增加>按钮,进入增加接入用户页面。
●单击<增加用户>按钮,添加用户信息;
●选择或增加新用户;
●输入帐号名“guest”(该帐号为用户接入网络时使用的标识),密码“123456”;
●在接入服务部分选中“service1”;
●点击<确定>按钮。
2.接入设备上的配置
(1)配置各接口的IP地址。
system-view
[Switch]interfacevlan-interface1
[Switch-vlan-interface1]ipaddress192.168.0.1255.255.255.0
[Switch-vlan-interface1]quit
(2)添加本地接入用户,用户名为guest,密码为123456。
[Switch]local-userguest
[Switch-luser-guest]service-typelan-access
[Switch-luser-guest]passwordsimple123456
[Switch-luser-guest]quit
(3)配置RADIUS方案
#创建RADIUS方案radius1并进入其视图。
[Switch]radiusschemeradius1
#设置主认证/授权/计费RADIUS服务器的IP地址。
[Switch-radius-radius1]primaryauthentication10.1.1.3
[Switch-radius-radius1]primaryaccounting10.1.1.3
#设置系统与RADIUS服务器交互报文时的共享密钥。
[Switch-radius-radius1]keyauthenticationexpert
[Switch-radius-radius1]keyaccountingexpert
#设置服务类型为extended.
[Switch-radius-radius1]server-typeextended
#设置系统向RADIUS服务器重发报文的时间间隔与次数。
[Switch-radius-radius1]timerresponse-timeout5
[Switch-radius-radius1]retry5
#设置系统向RADIUS服务器发送实时计费报文的时间间隔。
[Switch-radius-radius1]timerrealtime-accounting15
#查看并确认RADIUS方案的配置。
[Switch-radius-radius1]displaythis
#
radiusschemeradius1
server-typeextended
primaryauthentication10.1.1.3
primaryaccounting10.1.1.3
keyauthenticationexpert
keyaccountingexpert
timerrealtime-accounting15
timerresponse-timeout5
retry5
[Switch-radius-radius1]quit
(4)创建并配置域
#创建域test并进入其视图。
[Switch]domaintest
#指定radius1为该域用户的RADIUS方案,并采用local作为备选方案。
[Switch-isp-test]authenticationdefaultradius-schemeradius1local
[Switch-isp-test]authorizationdefaultradius-schemeradius1local
[Switch-isp-test]accountingdefaultradius-schemeradius1local
#设置该域最多可容纳30个用户。
[Switch-isp-test]access-limitenable30
#启动闲置切断功能并设置相关参数。
[Switch-isp-test]idle-cutenable20
#配置域test为缺省用户域。
[Switch]domaindefaultenabletest
(5)配置802.1X功能
#开启指定端口GE1/0/1的802.1X功能。
[Switch]interfacegigabitthernet1/0/1
[Switch-GigabitEthernet1/0/1]dot1x
[Switch-GigabitEthernet1/0/1]quit
#设置接入控制方式(该命令可以不配置,因为端口的接入控制在缺省情况下就是基于MAC地址的)。
[Switch]dot1xport-methodmacbasedinterfacegigabitethernet1/0/1
#开启全局802.1X功能。
[Switch]dot1x
3.接入用户上的配置
接入用户需要安装H3C公司iNode客户端,然后进行如下操作:
(1)启动客户端
图1-3iNode客户端界面示意图
(2)新建802.1X连接
点击<新建>按钮,接入新建连接向导对话框,并选择“802.1X协议”。
图1-4新建802.1X连接示意图
(3)输入用户名和密码
图1-5802.1X用户名、密码配置示意图
需要注意:
iNode认证连接的用户名,备用于认证的域,以及服务器的后缀三者密切相连,具体的配置关系参加下表。
表1-2认证域配置关系表
iNode认证连接的用户名
设备用于认证的domian
设备配置的相关命令
iMC中的服务后缀
X@Y
Y
with-domain
Y
without-domain
无
X
Defaultdomain
(设备上指定的缺省域)
with-domain
Defaultdomain
without-domain
无
(4)设置连接属性
图1-6802.1X连接属性配置示意图
需要注意的是:
用户选项中如果选择了“上传客户端版本号”则客户端会对标准的认证协议进行扩展,在上传用户名的报文中添加客户端版本号来与iMC服务器配合进行认证。
如果不选此项,则采用标准的EAP报文进行身份认证。
本例的认证方式是RADIUS认证失败转本地认证,由于本地认证不能对客户端上传的版本号进行识别,因此请不要勾选“上传客户端版本号”选项。
(5)创建新连接
图1-7完成新建连接示意图
(6)启动连接
完成新建连接后,点击iNode客户端的<连接>按钮,发起802.1X连接。
图1-8802.1X启动连接示意图
输入正确的用户名和密码后,客户端认证成功,可以正常使用网络。
图1-9802.1X连接成功示意图
1.2.5完整配置
●接入设备Switch上的完整配置如下
#
domaindefaultenabletest
#
dot1x
#
vlan1
#
radiusschemeradius1
server-typeextended
primaryauthentication10.1.1.3
primaryaccounting10.1.1.3
keyauthenticationname
keyaccountingmoney
timerrealtime-accounting15
timerresponse-timeout5
retry5
#
domaintest
authenticationdefaultradius-schemeradius1local
authorizationdefaultradius-schemeradius1local
accountingdefaultradius-schemeradius1local
access-limitenable30
stateactive
idle-cutenable2010240
self-service-urldisable
#
local-userguest
passwordsimple123456
service-typelan-access
#
interfaceVlan-interface1
ipaddress192.168.0.1255.255.255.0
#
interfaceGigabitEthernet1/0/1
dot1x
#
1.2.6配置注意事项
●使能全局的802.1X认证功能一般放在最后,因为当相关参数未配置完成时,会造成合法用户无法访问网络。
●只有同时开启全局和端口的802.1X特性后,802.1X的配置才能在端口上生效。
●一般情况下,用户无需使用dot1xtimer命令改变部分定时器值,除非在一些特殊或恶劣的网络环境下,可以使用该命令调节交互进程。
例如,用户网络状况比较差的情况下,可以适当地将客户端认证超时定时器值调大一些;网络处在风险位置,容易受攻击的情况下,可以适当地将静默定时器值调大一些,反之,可以将其调小一些来提高对用户认证请求的响应速度。
另外,可以通过调节认证服务器超时定时器的值来适应认证服务器性能的不同情况。
●对于802.1X用户,如果采用EAP中继认证方式,则设备会把客户端输入的内容直接封装后发给服务器,这种情况下user-name-format命令的设置无效。
1.3802.1X设备单播触发典型配置案例
1.3.1应用需求
用户Host通过Switch的端口GE1/0/1接入网络。
为了提高网络的安全性,要求通过对接入设备的配置实现接入用户的802.1X认证,以控制其访问Internet,且用户网络内不希望出现过多的认证触发报文。
具体需求:
●用户采用WindowsXP自带的802.1X客户端软件进行认证。
●认证/授权服务器均采用iMC服务器。
●802.1X用户的接入控制方式是基于MAC地址的接入控制方式,认证时,采用进行RADIUS认证、授权方式。
●所有接入用户都属于一个缺省的域:
guest,该域最多可容纳30个用户。
图1-10802.1X接入认证组网示意图二
1.3.2配置思路
本例与上例的主要区别在于:
●客户端采用了WindowsXP自带的802.1X客户端进行认证
●客户端网络不希望收到太多的EAP认证触发报文
由于WindowsXP自带的802.1X客户端不能主动发送EAPOL-Start报文,且客户端网络不希望收到太多的EAP认证触发报文,因此建议关闭802.1X的组播触发方式(交换机默认开启),开启802.1X的单播触发方式,在该方式下,当端口GE1/0/1收到一个数据帧,且该数据帧的源MAC地址不在设备当前的MAC地址表中,则认为端口下有新用户接入,此时设备将从该端口发送单播报文来触发802.1X认证。
设备上的其它配置,同上例类似,这里不再重复描述。
1.3.3适用产品、版本
表1-3配置适用的产品与软硬件版本关系
产品
软件版本
S7500E系列以太网交换机
Release6600系列,Release6610系列
S7600系列以太网交换机
Release6600系列,Release6610系列
S5800&S5820X系列以太网交换机
Release1110,Release1211
CE3000-32F以太网交换机
Release1211
S5500-EI系列以太网交换机
Release2208
S5500-EI-D系列以太网交换机
Release2208
S5500-SI系列以太网交换机
Release2208
S5120-EI系列以太网交换机
Release2208
S5120-EI-D系列以太网交换机
Release1505
S5120-SI系列以太网交换机
Release1505
S3100V2系列以太网交换机
Release5103
E126B以太网交换机
Release5103
1.3.4配置过程和解释
1.RADIUS服务器上的配置(同上例)
2.接入设备的配置
(1)创建VLAN和VLAN接口,并配置各接口的IP地址。
system-view
[Switch]interfacevlan-interface1
[Switch-vlan-interface1]ipaddress192.168.0.1255.255.255.0
[Switch-vlan-interface1]quit
(2)配置RADIUS方案
#创建RADIUS方案radius1并进入其视图。
[Switch]radiusschemeradius1
#设置主认证/授权/计费RADIUS服务器的IP地址。
[Switch-radius-radius1]primaryauthentication10.1.1.3
[Switch-radius-radius1]primaryaccounting10.1.1.3
#设置备份认证/计费RADIUS服务器的IP地址。
[Switch-radius-radius1]secondaryauthentication10.1.1.3
[Switch-radius-radius1]secondaryaccounting10.1.1.3
#设置系统与认证RADIUS服务器交互报文时的共享密钥。
[Switch-radius-radius1]keyauthenticationexpert
#设置系统与计费RADIUS服务器交互报文时的共享密钥。
[Switch-radius-radius1]keyaccountingexpert
#设置服务类型为extended.
[Switch-radius-radius1]server-typeextended
(3)配置认证域
#创建域test并进入其视图。
[Switch]domaintest
#指定radius1为该域用户的RADIUS方案。
[Switch-isp-test]authenticationdefaultradius-schemeradius1
[Switch-isp-test]authorizationdefaultradius-schemeradius1
[Switch-isp-test]accountingdefaultradius-schemeradius1
#设置该域最多可容纳30个用户。
[Switch-isp-test]access-limitenable30
#配置域test为缺省用户域。
[Switch]domaindefaultenabletest
(4)配置802.1X功能
#关闭端口GE1/0/1的802.1X的组播触发功能。
[Switch]interfacegigabitthernet1/0/1
[Switch-GigabitEthernet1/0/1]undodot1xmulticast-trigger
#开启端口GE1/0/1的802.1X的单播触发功能。
[Switch-GigabitEthernet1/0/1]dot1xunicast-trigger
#开启端口GE1/0/1的802.1X功能。
[Switch-GigabitEthernet1/0/1]dot1x
[Switch-GigabitEthernet1/0/1]quit
#设置接入控制方式(该命令可以不配置,因为端口的接入控制在缺省情况下就是基于MAC地址的)。
[Switch]dot1xport-methodmacbasedinterfacegigabitethernet1/0/1
#开启全局802.1X功能。
[Switch]dot1x
3.接入用户上的配置
接入用户以WindowsXP自带客户端为例进行介绍。
(1