最新8021X典型配置指导.docx

1、最新8021X典型配置指导802.1X典型配置指导02-802.1X典型配置指导 1802.1X典型配置指导1.1 802.1X简介IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1X协议。后来，802.1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。802.1X协议是一种基于端口的网络接入控制协议（Port Based Network Access Control）。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问

2、局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。1.2 802.1X典型配置指导1.2.1 应用需求用户通过Switch的端口GE1/0/1接入网络。要求通过对接入设备的配置实现用户的802.1X认证，以控制其访问Internet。具体需求： 用户采用iNode客户端进行802.1X认证。 认证、授权、计费服务器均采用iMC服务器。 Switch的端口GE1/0/1下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络。 认证时，先进行RADIUS认证，如果RADIUS服务器没有响应再转而进行本地认证；计费时，采用包月计费方式，每月30小时，20元。图1-180

3、2.1X接入认证组网示意图 1.2.2 配置思路(1) 配置Radius服务器（本例以iMC服务器配置为例） 增加接入设备：建立iMC服务器和接入设备Switch之间的联动关系。 增加计费策略：建立iMC CAMS的计费策略。 增加服务：用户进行认证、授权、计费的各种策略的集合。 增加接入用户：包含帐号名、密码等信息。(2) 配置接入设备Switch 创建本地用户，用户名为guest，密码为123456。 配置RADIUS方案radius1，指定RADIUS认证/授权/计费服务器IP地址为10.1.1.3；Switch与RADIUS服务器交互报文时的共享密钥为expert。 设置交换机在向RA

4、DIUS服务器发送报文后5秒种内如果没有得到响应就向其重新发送报文，发送报文的次数总共为5次，设置系统每15分钟就向RADIUS服务器发送一次实时计费报文。 创建ISP域test，并在该域下配置所有802.1X用户登录时采用的认证方案为radius1，并采用local作为备选方案。 开启全局和端口GE1/0/1下的802.1X功能，802.1X用户的接入控制方式是基于MAC地址的接入控制方式。(3) 配置iNode客户端1.2.3 适用产品、版本表1-1配置适用的产品与软硬件版本关系产品软件版本S7500E系列以太网交换机Release 6100系列，Release 6300系列，Releas

5、e 6600系列，Release 6610系列S7600系列以太网交换机Release 6600系列，Release 6610系列S5800&S5820X系列以太网交换机Release 1110，Release 1211CE3000-32F以太网交换机Release 1211S5500-EI系列以太网交换机Release 2202，Release 2208S5500-EI-D系列以太网交换机Release 2208S5500-SI系列以太网交换机Release 2202，Release 2208S5120-EI系列以太网交换机Release 2202，Release 2208S5120-EI-

6、D系列以太网交换机Release 1505S5120-SI系列以太网交换机Release 1101，Release 1505S5120-LI系列以太网交换机Release 1107E552&E528以太网交换机Release 1103S3610&S5510系列以太网交换机Release 5301，Release 5303，Release 5306，Release 5309S3500-EA系列以太网交换机Release 5303，Release 5309S3100V2系列以太网交换机Release 5103E126B以太网交换机Release 5103 1.2.4 配置过程和解释1.RADIUS

7、服务器上的配置（以iMC服务器为例）下面以iMC为例（使用iMC版本为：iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102），说明RADIUS server的基本配置。 iMC服务器上的配置主要包含如下四步： 增加接入设备：建立iMC服务器和接入设备之间的联动关系。 增加计费策略：配置计费方案。 增加服务：配置对用户进行认证、授权、计费的各种策略。 增加接入用户：添加802.1X用户的帐号名、密码等信息。具体配置如下：(1) 增加接入设备。登录进入iMC管理平台，选择“业务”页签，单击导航树中的接入业务/接入设备配置菜单项，进入“接入设备配置”页面，在该页面中单击“增

8、加”按钮，进入增加接入设备页面。 设置与Switch交互报文时的认证、计费共享密钥为expert； 设置认证及计费的端口号分别为1812和1813； 选择业务类型为“LAN接入业务”； 选择接入设备类型为H3C； 选择或手工增加接入设备，添加IP地址为192.168.0.1的接入设备。图1-2增加接入设备 (2) 增加计费策略选择“业务”页签，单击导航树中的计费策略管理菜单项，在该页面中单击“增加”按钮，进入增加计费策略页面。 配置策略名称“test”； 计费策略模板选择“包月类型计费”； 包月基本信息：计费方式“按时长”，计费周期类型“月”，周期内固定费用“20”元； 包月使用量限制设置：周

9、期内限制量“30”，周期内限制单位“小时”； 其它参数采用缺省值，点击按钮。 (3) 增加服务。选择“业务”页签，单击导航树中的接入业务/服务配置管理菜单项，进入“服务配置管理”页面，在该页面中单击“增加”按钮，进入增加服务配置页面。 输入服务名“service1”(可以任意命名)，服务后缀“test”（关于服务后缀的设置规则请参考表1-2）； 计费策略选择上一步中设置的“test”策略； 其它参数采用缺省值； 点击按钮。 (4) 增加接入用户。选择“用户”页签，单击导航树中的接入用户视图/所有接入用户菜单项，进入“所有接入用户”列表页面，在该页面中单击按钮，进入增加接入用户页面。 单击按钮，

10、添加用户信息； 选择或增加新用户； 输入帐号名“guest”（该帐号为用户接入网络时使用的标识），密码“123456”； 在接入服务部分选中“service1”； 点击按钮。 2.接入设备上的配置(1) 配置各接口的IP地址。 system-viewSwitch interface vlan-interface 1Switch-vlan-interface1 ip address 192.168.0.1 255.255.255.0Switch-vlan-interface1 quit(2) 添加本地接入用户，用户名为guest，密码为123456。Switch local-user guest

11、Switch-luser-guest service-type lan-accessSwitch-luser-guest password simple 123456Switch-luser-guest quit(3) 配置RADIUS方案#创建RADIUS方案radius1并进入其视图。Switch radius scheme radius1#设置主认证/授权/计费RADIUS服务器的IP地址。Switch-radius-radius1 primary authentication 10.1.1.3Switch-radius-radius1 primary accounting 10.1.1

12、.3#设置系统与RADIUS服务器交互报文时的共享密钥。Switch-radius-radius1 key authentication expertSwitch-radius-radius1 key accounting expert#设置服务类型为extended.Switch-radius-radius1 server-type extended#设置系统向RADIUS服务器重发报文的时间间隔与次数。Switch-radius-radius1 timer response-timeout 5Switch-radius-radius1 retry 5#设置系统向RADIUS服务器发送实时计

13、费报文的时间间隔。Switch-radius-radius1 timer realtime-accounting 15#查看并确认RADIUS方案的配置。Switch-radius-radius1 display this#radius scheme radius1 server-type extended primary authentication 10.1.1.3 primary accounting 10.1.1.3 key authentication expert key accounting expert timer realtime-accounting 15 timer re

14、sponse-timeout 5 retry 5Switch-radius-radius1 quit(4) 创建并配置域#创建域test并进入其视图。Switch domain test#指定radius1为该域用户的RADIUS方案，并采用local作为备选方案。Switch-isp-test authentication default radius-scheme radius1 localSwitch-isp-test authorization default radius-scheme radius1 localSwitch-isp-test accounting default r

15、adius-scheme radius1 local#设置该域最多可容纳30个用户。Switch-isp-test access-limit enable 30#启动闲置切断功能并设置相关参数。Switch-isp-test idle-cut enable 20#配置域test为缺省用户域。Switch domain default enable test(5) 配置802.1X功能#开启指定端口GE1/0/1的802.1X功能。Switch interface gigabitthernet 1/0/1Switch-GigabitEthernet1/0/1 dot1xSwitch-Gigabi

16、tEthernet1/0/1 quit#设置接入控制方式（该命令可以不配置，因为端口的接入控制在缺省情况下就是基于MAC地址的）。Switch dot1x port-method macbased interface gigabitethernet 1/0/1#开启全局802.1 X功能。Switch dot1x3.接入用户上的配置接入用户需要安装H3C公司iNode客户端，然后进行如下操作：(1) 启动客户端图1-3iNode客户端界面示意图 (2) 新建802.1X连接点击按钮，接入新建连接向导对话框，并选择“802.1X协议”。图1-4新建802.1X连接示意图 (3) 输入用户名和密码

17、图1-5802.1X用户名、密码配置示意图 需要注意：iNode认证连接的用户名，备用于认证的域，以及服务器的后缀三者密切相连，具体的配置关系参加下表。表1-2认证域配置关系表iNode认证连接的用户名设备用于认证的domian设备配置的相关命令iMC中的服务后缀XYYwith-domainYwithout-domain无XDefault domain(设备上指定的缺省域)with-domainDefault domainwithout-domain无 (4) 设置连接属性图1-6802.1X连接属性配置示意图 需要注意的是：用户选项中如果选择了“上传客户端版本号”则客户端会对标准的认证协议进

18、行扩展，在上传用户名的报文中添加客户端版本号来与iMC服务器配合进行认证。如果不选此项，则采用标准的EAP报文进行身份认证。本例的认证方式是RADIUS认证失败转本地认证，由于本地认证不能对客户端上传的版本号进行识别，因此请不要勾选“上传客户端版本号”选项。(5) 创建新连接图1-7完成新建连接示意图 (6) 启动连接完成新建连接后，点击iNode客户端的按钮，发起802.1X连接。图1-8802.1X启动连接示意图 输入正确的用户名和密码后，客户端认证成功，可以正常使用网络。图1-9802.1X连接成功示意图 1.2.5 完整配置 接入设备Switch上的完整配置如下# domain def

19、ault enable test# dot1x#vlan 1#radius scheme radius1 server-type extended primary authentication 10.1.1.3 primary accounting 10.1.1.3 key authentication name key accounting money timer realtime-accounting 15 timer response-timeout 5 retry 5#domain test authentication default radius-scheme radius1 lo

20、cal authorization default radius-scheme radius1 local accounting default radius-scheme radius1 local access-limit enable 30 state active idle-cut enable 20 10240 self-service-url disable#local-user guest password simple 123456 service-type lan-access#interface Vlan-interface1 ip address 192.168.0.1

21、255.255.255.0#interface GigabitEthernet1/0/1 dot1x#1.2.6 配置注意事项 使能全局的802.1X认证功能一般放在最后，因为当相关参数未配置完成时，会造成合法用户无法访问网络。 只有同时开启全局和端口的802.1X特性后，802.1X的配置才能在端口上生效。 一般情况下，用户无需使用dot1x timer命令改变部分定时器值，除非在一些特殊或恶劣的网络环境下，可以使用该命令调节交互进程。例如，用户网络状况比较差的情况下，可以适当地将客户端认证超时定时器值调大一些；网络处在风险位置，容易受攻击的情况下，可以适当地将静默定时器值调大一些，反之，可

22、以将其调小一些来提高对用户认证请求的响应速度。另外，可以通过调节认证服务器超时定时器的值来适应认证服务器性能的不同情况。 对于802.1X用户，如果采用EAP中继认证方式，则设备会把客户端输入的内容直接封装后发给服务器，这种情况下user-name-format命令的设置无效。1.3 802.1X设备单播触发典型配置案例1.3.1 应用需求用户Host通过Switch的端口GE1/0/1接入网络。为了提高网络的安全性，要求通过对接入设备的配置实现接入用户的802.1X认证，以控制其访问Internet，且用户网络内不希望出现过多的认证触发报文。具体需求： 用户采用Windows XP自带的80

23、2.1X客户端软件进行认证。 认证/授权服务器均采用iMC服务器。 802.1X用户的接入控制方式是基于MAC地址的接入控制方式，认证时，采用进行RADIUS认证、授权方式。 所有接入用户都属于一个缺省的域：guest，该域最多可容纳30个用户。图1-10802.1X接入认证组网示意图二 1.3.2 配置思路本例与上例的主要区别在于： 客户端采用了Windows XP自带的802.1X客户端进行认证 客户端网络不希望收到太多的EAP认证触发报文由于Windows XP自带的802.1X客户端不能主动发送EAPOL-Start报文，且客户端网络不希望收到太多的EAP认证触发报文，因此建议关闭80

24、2.1X的组播触发方式（交换机默认开启），开启802.1X的单播触发方式，在该方式下，当端口GE1/0/1收到一个数据帧，且该数据帧的源MAC地址不在设备当前的MAC地址表中，则认为端口下有新用户接入，此时设备将从该端口发送单播报文来触发802.1X认证。设备上的其它配置，同上例类似，这里不再重复描述。1.3.3 适用产品、版本表1-3配置适用的产品与软硬件版本关系产品软件版本S7500E系列以太网交换机Release 6600系列，Release 6610系列S7600系列以太网交换机Release 6600系列，Release 6610系列S5800&S5820X系列以太网交换机Relea

25、se 1110，Release 1211CE3000-32F以太网交换机Release 1211S5500-EI系列以太网交换机Release 2208S5500-EI-D系列以太网交换机Release 2208S5500-SI系列以太网交换机Release 2208S5120-EI系列以太网交换机Release 2208S5120-EI-D系列以太网交换机Release 1505S5120-SI系列以太网交换机Release 1505S3100V2系列以太网交换机Release 5103E126B以太网交换机Release 5103 1.3.4 配置过程和解释1.RADIUS服务器上的配置（

26、同上例）2.接入设备的配置(1) 创建VLAN和VLAN接口，并配置各接口的IP地址。 system-viewSwitch interface vlan-interface 1Switch-vlan-interface1 ip address 192.168.0.1 255.255.255.0Switch-vlan-interface1 quit(2) 配置RADIUS方案#创建RADIUS方案radius1并进入其视图。Switch radius scheme radius1#设置主认证/授权/计费RADIUS服务器的IP地址。Switch-radius-radius1 primary au

27、thentication 10.1.1.3Switch-radius-radius1 primary accounting 10.1.1.3#设置备份认证/计费RADIUS服务器的IP地址。Switch-radius-radius1 secondary authentication 10.1.1.3Switch-radius-radius1 secondary accounting 10.1.1.3#设置系统与认证RADIUS服务器交互报文时的共享密钥。Switch-radius-radius1 key authentication expert#设置系统与计费RADIUS服务器交互报文时的共

28、享密钥。Switch-radius-radius1 key accounting expert#设置服务类型为extended.Switch-radius-radius1 server-type extended(3) 配置认证域#创建域test并进入其视图。Switch domain test#指定radius1为该域用户的RADIUS方案。Switch-isp-test authentication default radius-scheme radius1Switch-isp-test authorization default radius-scheme radius1Switch-i

29、sp-test accounting default radius-scheme radius1#设置该域最多可容纳30个用户。Switch-isp-test access-limit enable 30#配置域test为缺省用户域。Switch domain default enable test(4) 配置802.1X功能#关闭端口GE1/0/1的802.1X的组播触发功能。Switch interface gigabitthernet 1/0/1Switch-GigabitEthernet1/0/1 undo dot1x multicast-trigger#开启端口GE1/0/1的802

30、.1X的单播触发功能。Switch-GigabitEthernet 1/0/1 dot1x unicast-trigger#开启端口GE1/0/1的802.1X功能。Switch-GigabitEthernet1/0/1 dot1xSwitch-GigabitEthernet1/0/1 quit#设置接入控制方式（该命令可以不配置，因为端口的接入控制在缺省情况下就是基于MAC地址的）。Switch dot1x port-method macbased interface gigabitethernet 1/0/1#开启全局802.1 X功能。Switch dot1x3.接入用户上的配置接入用户以Windows XP自带客户端为例进行介绍。(1