实验10 8021x及AAA配置实验V50Word格式.docx

1、标准5类线2根，配置电缆1根；10.2.3 实验组网图图10-1 802。1X实验组网图10.2.4 实验步骤1. 实验基本配置准备我们在交换机Sw1上配置802.1X对PC访问网络进行控制。在实施具体的配置之前，先请按照组网图连接有关设备并且配置好PC和Server的IP地址。2. 本地认证具体配置802.1X系统包括3个部件：用户（pc）、验证者（Sw1）和验证服务器（Server）。802.1X系统验证工作的顺利实施包括pc和Sw1之间的交互和Sw1和Server之间的交互两个过程。我们首先研究第一个过程。为了便于读者理解，我们先不配置Server的Radius功能，即先利用Sw1的本地

2、验证分析PC和Sw1之间的交互。Sw1上802.1X本地认证的具体配置可以分为如下几个步骤：添加一个用户在本地验证用户数据库中添加一个用户，这里添加的用户为pc，密码也为pc，具体命令为：Sw1local-user pcSw1-user-pc password simple pcSw1-user-pc service-type lan-access启动交换机和端口802.1X认证 Sw1dot1x802.1x is enabled globally Sw1interface ethernet0/24Sw1-Ethernet0/24dot1x 802.1x is enabled on port

3、Ethernet0/24在系统和端口下都启动802.1x认证后，在不经过认证的情况下，端口无法访问接入交换机。 C:PING 192.168.10.121Request timed out进行本地验证：这时可以通过认证。C:Reply from 192.168.10.121: bytes=32 time=9ms TTL=128.以上的验证是利用交换机系统默认的domain（domain system）进行的认证，domain system利用系统默认radius scheme system 策略。当交换机接收到用户名PC后，发现这个用户名不是userdomainame形式，就会利用默认的dom

4、ain（system）进行验证。 S6506display connectionIndex=14 ,Username=pcsystem MAC=00c0-df05-c579 ,IP=0.0.0.0Quidway交换机支持将所有接入用户划分到不同的域中每一个域可以采用统一的验证、计费方案。交换机按照接入用户名的后缀（如peter中的）确定用户属于哪一个域，进而决定对该用户的验证计费方案。对于没有后缀域名的用户，交换机缺省认为他们属于一个“全局缺省域”；基于配置，全局缺省域用户的用户名在进行验证前可以加上缺省域的域名。为了简单起见（避免用户在输入时输入域名以及在验证数据库中输入域名），我们可以配置

5、这里的接入用户的缺省域名为，并且配置不将域名发送给radius server，即仅发送用户名。当然，还必须制定交换机关于这个域的验证、计费方法（即进行本地验证，不记费）。具体的配置命令为：Sw1radius scheme byswNew Radius server Sw1-radius-byswserver-type huawei Sw1-radius-byswprimary authentication 127.0.0.1 1645Sw1-radius-byswprimary accounting 127.0.0.1 1646 Sw1-radius-byswuser-name-format

6、without-domainSw1-radius-byswquitSw1domain New Domain added. Sw1-isp-radius-scheme bysw Sw1domain default enable 本地进行验证计费（127.0.0.1），但本地不支持计费功能，在验证通过的情况下，即使计费失败，也允许用户接入，利用收到的用户名，查找用户所属的domain，如果你输入的用户名是pc，系统就会查找用户默认的domain，由于我们已经配置了命令：SW1domain default enable ，系统会用这个domain所规定的认证策略进行认证，否则用户名需输入为pc。然后

7、系统根据SW1-isp-radius-scheme bysw 查找bysw规定的radius服务器地址。此时bysw规定的地址是127.0.0.1，所以在本地查找用户pc，前面我们已经配置了这个用户（SW1local-user pc，并且密码相符，所以验证通过。如果此时用户输入的用户名是pc系统会直接查找domain在交换机上配置一个三层接口，这里的配置为：Sw1-Vlan-interface1ip address 192.168.10.1 255.255.255.0如果Pc是Windows XP操作系统，则自带802.1x认证客户端。否则，可以使用华为提供的802.1x软件客户端。现在请运行

8、这个客户端，并输入用户名pc和密码pc，现在您可以尝试从Pc上Ping Sw1的三层接口地址：192.168.10.1来检查是否可以获得对于网络的访问权限。如果一切配置正确，应该是可以访问的。可以用命令display dot1x interface ethernet0/24查看当前端口E0/24的dot1x配置运行情况：display dot1x interface ethernet0/24 802.1X protocol is enabled DHCP-launch is disabled Configure: Transmit Period 000030 s, Commit Period

9、000015 s Max-req is 000003 Quiet Period 000060 s, Value of Quiet Period Timer is disabled Supp Timeout 000030 s, Value of Server Timeout 000100 s Total maximum on-line user number is 512 Total current on-line user number is 1 port Ethernet0/24 is link-up The port is a（n） authenticator Authentication

10、 Mode is auto Port Control Type is Mac-based Max on-line user number is 64 1. Authenticated user : MAC address: 0010-a4a0-0300 Controlled User（s） amount to 1以上划线部分明确给出了有关当前接入用户的有关信息。3. 交互过程现在让我们更加仔细地分析pc和Sw1之间的交互过程。Pc和Sw1之间运行的是封装在以太网之上的EAP协议，即EAPOL协议。为便于读者参考，我们先将EAPOL协议的报文封装格式列在这里：图10-1 EAPOL协议的报文封装

11、格式Packet Type值和报文类型的对照关系为：Type=0 EAP-PacketType=1 EAPOL-StartType=2 EAPOL-LogoffType=3 EAPOL-KeyType=4 EAPOL-Encapsulated-ASF-AlertEAPOL Type=0时其中包含EAP数据包，EAP数据包封装格式为：现在让我们通过逐个分析pc和Sw之间EAPOL报文的方式来观察EAPOL协议的工作机制。现在请在pc上打开“开始-程序-管理工具-网络监视器”，并开始监听网络。在pc上运行并输入用户名（pc）和密码（pc）登陆网络，此时在网络监视器上会有一系列Sw1和Pc之间的交互

12、报文。这里提请大家知晓，我们这里的pc的MAC地址是：00.10.a4.a0.03.00；Sw1的Interface Vlan 1的MAC地址是：00.e0.fc.07.70.8a。现在我们来一一分析它们：图10-2 pc发给Sw1的第1个报文Response Data值70 63是pc的Identity（data type=01）即我们输入的用户名pc。下面然我们来观察Sw1收到这个报文以后的反应：图10-3 Sw1发给pc的第2个报文Challenge的第一个字节0x10表示其长度为16,随后为一个16字节的随机报文）。pc收到这个Challenge以后，以这个随机报文和密钥pc为MD5算

13、法的输入得出一个Response ，再发送给Sw1：图10-4 pc发给Sw1的第3个报文从EAP Identifier=02来看，上面这个EAPOL报文所包含的EAP Response（EAP type=02）正是pc回应Sw1刚才向他发的EAP Request（EAP Identifier=2），不过这里的EAP Response data结构上有点改变：紧随Challenge的16 bytes由MD5算法利用key和16-bit Challenge计算而得。Challenge需具备相同Identifier，并将结果和这里的16个字节作比较，如果相同认证就通过，否则就不通过。在我们的情形下

14、，Sw1发给pc的数据包是：图10-5 Sw1发给pc的第3个报文一望便知，这个EAPOL报文中包含的EAP报文是Type=03的EAP Success报文。这说明Sw1通知pc验证已经通过。当然，同时Sw1会打开对于端口E0/24的锁定，从而从pc上就可以ping通Sw1的三层接口了。对于退出登陆的过程分析是类似的，我们把这个作为练习留给读者。当然通过如下调试命令：debugging dot1x packetterminal debugging也可以观察到大致相同的信息，不过只是没有上面分析的这么细致。对于一个熟练的工程师而言，他应该可以从Debug信息中快速获取他想获取的信息。我们这里就不

15、分析这些信息了。4. Server做Radius 服务器首先，让我们把我们的实验做得更加接近于实际情况：通常情况下，一个远程用户接入网络时本身都没有IP地址，而是等待运营商的DHCP服务器给它分配一个IP地址。所以，请配置pc的IP地址为自动获取，我们将配置Server提供DHCP服务。具体配置清单为：Sw1undo local-user pc /*删除本地用户数据库中用户pc*/Sw1radius scheme byser /*设置Radius方案byser*/*配置主验证服务器192.168.10.121*/Sw1-radius-byserprimary authentication 19

16、2.168.10.121 /*配置主计费服务器192.168.10.121*/Sw1-radius-byserprimary accounting 192.168.10.121 /*配置和验证服务器之间的共享密钥为huawei*/Sw1-radius-byserkey authentication huawei /*配置和计费服务器之间的共享密钥为huawei*/Sw1-radius-byserkey accounting huawei Sw1domain /*在域中应用这些方案*/Sw1-isp-radius-scheme byser 现在我们来配置Shiva Radius服务器。尽管W2K

17、也支持Radius服务，但是配置比较繁琐，为了集中精力于我们的主要议题，我们使用一个使用比较方便的Shiva Radius服务器来做示例，您可以用任何其他标准Radius服务器做同样的实验。我们先打开Shiva Access Manager，用超级用户supermanager（密码为空）登录，并且打开一个控制台（同样用密码为空的supermanager登录），Shiva的具体配置如下：首先配置一个用户，具体操作方法是打开“user-manager users”，在如下图所示的对话框中输入用户名pc，密码pc，特别要注意Account Expiration Date要设置成距离现在较晚的一个日期

18、；然后再打开“options-general”对话框，并按照下图所示设置radius端口参数：重新设置这里的端口可能要重新启动系统；最后再打开“options-encryption keys”设置Radius客户端有关参数，这里的参数设置如下图所示：在上图中设置NAS Ip Address为192.168.10.1，Encryption Key为huawei。这样radius服务器就设置好了。配置完Radius服务以后，还要在Server上配置DHCP服务。首先请打开“开始-DHCP”，我们配置Server给用户分配一个192.168.10.2到192.168.10.10这个范围内的地址。请新

19、建一个作用域，具体的配置如下面几张图所示：全部配置完成以后，现在我们在pc上测试是否能够登录到网络上去。首先，运行登录程序输入用户名pc和密码pc，如果不能登录，请检查确认Radius和Sw1配置正确；如果可以登录，但是不能ping通192.168.10.1，请利用ipconfig /renew更新IP地址，如果不能获得Server分配的IP地址，请检查DHCP配置。现在，让我们回到验证流程这个主题的讨论上来。Sw1默认情形下将会把EAP消息完全转化为标准Radius Access-Request报文。我们可以在Server上捕获有关pc登录时Sw1和Server之间的交互报文来观察具体的报文

20、内容。由于Win2000自带的报文分析器对于Radius报文的各个选项都解析得非常清楚，我们就不必再引用radius报文格式了。如下两个报文是我们捕获的Radius Access Request和Radius Access Accept报文：由上图可以看出，Sw1在发往Server的Radius报文中给出了用户名（pc）和Sw1曾经发给用户pc的challenge和pc的Response，Server收到这个Request以后，它根据这个用户名查找它的用户数据库得到相关的密码并作计算以后判断所得到的结果是否和Sw1发过来的pc的应答一致，如果不一致就给Sw1发Access Reject，否则发如下图所示的Access Accept：作为一个练习，您可以在pc上尝试不同的密钥并且观察Sw1和Server之间的Radius报文交互。