18-802.1X配置 MyPower S4330 V1.0 系列交换机配置手册

版权所有 2011 迈普通信技术股份有限公司 保留所有权利 802 1X 配配置置 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 本手册著作权属迈普通信技术有限公司所有 未经著作权人书面许可 任何单位或个 人不得以任何方式摘录 复制或翻译 侵权必究 策 划 研究院 资料服务处 迈普通信技术有限公司 地址 成都市高新区九兴大道 16 号迈普大厦 技术支持热线 400 886 8669 传真 8628 85148948 E mail support 网址 邮编 610041 版本 2011 年 8 月 v1 0 版 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 目目 录录 第第 1 章章配置配置 802 1X 1 1 1 802 1X 协议简介 1 1 1 1 802 1x 认证系统 1 1 1 2 802 1x 认证流程 3 1 1 3 和 802 1x 配合使用的特性 4 1 2 AAA 配置 5 1 2 1 RADIUS 服务器配置 5 1 2 2 本地用户配置 6 1 2 3 域配置 6 1 2 4 RADIUS 特性配置 7 1 3 802 1X 配置 9 1 3 1 EAP 方式配置 9 1 3 2 功能开启配置 9 1 3 3 端口控制模式配置 10 1 3 4 重认证配置 10 1 3 5 守望功能配置 11 1 3 6 用户特性配置 11 1 3 7 配置基于端口认证模式下的主机模式 11 1 3 8 Guest VLAN 功能配置 12 1 3 9 EAPOL 报文透传功能配置 12 1 4 配置实例 13 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 1 第第 1 章章 配置配置 802 1X 1 1 802 1X协议简介协议简介 802 1x 是 IEEE 于 2001 年 6 月通过基于端口访问控制的接入管理协议标准 由于传 统的局域网不提供接入认证 只要用户能接入局域网 就可以访问局域网中的设备和资源 这是一个安全隐患 对于移动办公 驻地网运营等应用 ISP 希望能对用户的接入进行控 制和配置 此外还存在计费的需求 802 1x 是一种基于端口的认证协议 是一种对用户进行认证的方法和策略 802 1x 认证的最终目的就是确定一个端口是否可用 对于一个端口 如果认证成功那么就 打开 这个端口 允许所有的报文通过 如果认证不成功就使这个端口保持 关闭 即只允许 802 1x 的认证协议报文通过 1 1 1 802 1x 认证系统认证系统 系统要实现 802 1X 认证 授权计费过程需要具备一定的软硬件环境 归纳起来就是 以下三个部分 1 客户端 客户端 Supplicant System 是需要接入 LAN 及享受交换机提供服务的设 备 如 PC 机 客户端需要支持 EAPOL 协议 客户端必须运行 IEEE 802 1X 的认证客户 端软件 2 认证系统 认证系统 Authenticator System 在以太网系统中指认证交换机 其主要作 用是完成用户认证信息的上传 下发工作 并根据认证结果控制端口是否可用 就好像在 客户和认证服务器之间充当了一个代理的角色 3 认证服务器部分 认证服务器部分 Authentication Server 通常情况下指 RADIUS 服务器 RADIUS 通过检验客户端发送来的身份标识 用户名和口令 来判别用户是否有权使用网 络系统提供的网络服务 认证结束以后将结果下发给交换机 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 2 图 1 1 表现了这三个部分之间的关系 图 1 1 802 1X 认证系统 三个部分涉及到如下的基本概念 1 PAE Port Access Entity 端口访问实体 PAE 是认证机制中负责执行算法和协议操作的实体 设备端 PAE 利用认证服务器对 需要接入局域网的客户端执行认证 并根据认证结果相应地控制受控端口的授权 非授权状 态 客户端 PAE 负责响应设备端的认证请求 向设备端提交用户的认证信息 客户端 PAE 也可以主动向设备端发送认证请求和下线请求 2 受控端口 设备端为客户端提供接入局域网的端口 这个端口被划分为两个虚端口 受控端口和 非受控端口 非受控端口始终处于双向连通状态 主要用来传递 EAPOL 协议帧 保证客户端 始终能过发出或接收认证 受控端口在授权状态下处于连通状态 用于传递业务报文 在非授权状态下处于 断开状态 禁止传递任何业务报文 受控端口和非受控端口是同一端口的两个部分 任何到达该端口的帧 在受控端 口与非受控端口上均可见 3 受控方向 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 3 在非授权状态下 受控端口被设置成单向受控 实行单向受控时 禁止从客户端接收 帧 但允许向客户端发送帧 4 端口受控方式 基于端口的认证 只要该物理端口下的第一个用户认证成功后 其他接入用户无 须认证就可使用网络资源 当第一个用户下线后 其他用户也会被拒绝使用网络 基于 MAC 地址认证 该物理端口下的所有接入用户都需要单独认证 当某个用 户下线时 也只有该用户无法使用网络 1 1 2 802 1x 认证流程认证流程 基于 802 1x 的认证系统在客户端和认证系统之间使用 EAPOL 格式封装 EAP 协议传 送认证信息 认证系统与认证服务器之间通过 RADIUS 协议传送认证信息 由于 EAP 协 议的可扩展性 基于 EAP 协议的认证系统可以使用多种不同的认证算法 如 EAP MD5 EAP TLS EAP SIM EAP TTLS 以及 EAP AKA 等认证方法 以 EAP MD5 为例 描述 802 1x 的认证流程 EAP MD5 是一种单向认证机制 可以 完成网络对用户的认证 但认证过程不支持加密密钥的生成 认证流程包括以下步骤 1 客户端向接入设备发送一个 EAPoL Start 报文 开始 802 1x 认证接入 2 接入设备向客户端发送 EAP Request Identity 报文 要求客户端将用户名送上来 3 客户端回应一个 EAP Response Identity 给接入设备的请求 其中包括用户名 4 接入设备将 EAP Response Identity 报文封装到 RADIUS Access Request 报文中 发送给认证服务器 5 认证服务器产生一个 Challenge 通过接入设备将 RADIUS Access Challenge 报 文发送给客户端 其中包含有 EAP Request MD5 Challenge 6 接入设备通过 EAP Request MD5 Challenge 发送给客户端 要求客户端进行认证 7 客户端收到 EAP Request MD5 Challenge 报文后 将密码和 Challenge 做 MD5 算法后的 Challenged Pass word 在 EAP Response MD5 Challenge 回应给接入设备 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 4 8 接入设备将 Challenge Challenged Password 和用户名一起送到 RADIUS 服务器 由 RADIUS 服务器进行认证 9 RADIUS 服务器根据用户信息 做 MD5 算法 判断用户是否合法 然后回应认证 成功 失败报文到接入设备 如果成功 携带协商参数 以及用户的相关业务属性给用户授 权 如果认证失败 则流程到此结束 10 如果认证通过 用户通过标准的 DHCP 协议 可以是 DHCP Relay 通过接入设 备获取规划的 IP 地址 与此同时接入设备发起计费开始请求给 RADIUS 服务器 11 RADIUS 服务器回应计费开始请求报文 用户上线完毕 1 1 3 和和 802 1x 配合使用的特性配合使用的特性 1 VLAN 下发 802 1X 用户在服务器上通过认证时 服务器会把授权信息传送给设备端 如果服务器 上配置了下发 VLAN 功能 则授权信息中含有授权下发的 VLAN 信息 设备会将端口加入 到下发 VLAN 中 1 如果 RADIUS server 授权信息中没有下发 VLAN 信息 那么认证成功之后 端 口的 VLAN 属性保持不变 2 如果 RADIUS server 授权信息中含有下发 VLAN 信息 那么认证成功之后 判 断这个下发的 VLAN 是否存在 如果存在的话 将端口以 untag 方式加入到这个 VLAN 并且端口的缺省 VID 为该 VLAN 如果这个 VLAN 不存在的话 这个端口的 VLAN 属性保 持不变 3 用户下线之后 端口恢复为 未认证 状态 端口从这个 VLAN 中删除 端口 的缺省 VID 也恢复为原来配置的 VID 授权下发的 VLAN 并不改变端口的配置 也不影响端口的配置 但是 授权下发的 VLAN 的优先级高于用户配置的 VLAN 即 Config VLAN 即通过认证后起作用的 VLAN 是授权下发的 VLAN 用户配置的 Config VLAN 在用户下线后生效 2 Guest VLAN Guest VLAN 功能允许用户在未认证的情况下 可以访问某一特定 VLAN 中的资源 比如获取客户端软件 升级客户端或执行其他一些用户升级程序 用户认证端口在通过 802 1X 认证之前属于一个缺省 VLAN 即 Guest VLAN 用户访问该 VLAN 内的资源不 需要认证 但此时不能够访问其他网络资源 认证成功后 端口离开 Guest VLAN 用户 可以访问其他的网络资源 配置时需要注意 Config VLAN radius 下发的 VLAN 和 Guest VLAN 不能相同 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 5 1 当端口开启 portbased 认证时 端口处在 Config VLAN 中 用户不能访问任何 网络资源 如果端口上配置了 Guest VLAN 则设备会把该端口加入到 Guest VLAN 此 时用户可以并且只能访问 Guest VLAN 内的资源 2 当 Guest VLAN 中端口下的用户发起认证时 如果认证失败 该端口将会仍然 处在 Guest VLAN 内 如果认证成功 则端口自动离开 Guest VLAN 若 radius server 有 下发 VLAN 则将端口加入到下发的 VLAN 内 若 radius server 没有下发 VLAN 则将端 口加入到之前的 Config VLAN 内 此时用户可以正常访问网络 但不能再访问 Guest VLAN 内的资源 3 当用户下线后 端口离开其他所有 VLAN 然后自动回到 Guest VLAN 内 此时 用户只能访问 Guest VLAN 内的资源 4 当端口关闭认证功能时 端口离开其他 VLAN 包括 Guest VLAN radius 下发 的 VLAN 然后回到之前的 Config VLAN 内 3 ACL 下发 ACL Access Control List 访问控制列表 提供了控制用户访问网络资源和限制用 户访问权限的功能 当用户上线时 如果 RADIUS 服务器上配置了授权 ACL 则设备会根 据服务器下发的授权 ACL 对用户所在端口的数据流进行控制 在服务器上配置授权 ACL 之前 需要在设备上配置相应的规则 管理员可以通过改变服务器的授权 ACL 设置或设备 上对应的 ACL 规则来改变用户的访问权限 1 2 AAA配置配置 802 1x 进行认证时需要对用户的合法身份进行验证 现在支持使用 RADIUS 服务器 或者本地数据库进行身份验证 1 2 1 RADIUS 服务器配置服务器配置 RADIUS 服务器上保存有合法用户的身份信息等 用户在认证时 系统将用户的身份 信息转发到 RADIUS 服务器 并将 RADIUS 服务器的验证结果信息转发给用户 接入系统的用户只有通过了 RADIUS 服务器的认证才能访问 LAN 内的资源 表 1 1配置 RADIUS 服务器基本功能 操作命令备注 进入全局配置模式configure terminal 进入 AAA 模式aaa 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 6 创建并进入 RADIUS 配置 方案 radius host name必选 配置主认证服务器primary auth ip ipaddr port必选 配置次认证服务器second auth ip ipaddr port可选 配置主计费服务器 primary acct ip ipaddr port 可选 配置次计费服务器 second acct ip ipaddr port 可选 配置认证服务器共享密钥auth secret key keystring必选 配置计费服务器共享密钥acct secret key keystring可选 配置发送给 RADIUS 服务 器的 NAS IPAddress 值 如果没有配置则使用设备的 IP 地址 nas ipaddress ipaddr可选 设定系统给当前 RADIUS 服务器传递报文时用户名是 否要带域名 username format with domain without domain 可选 配置实时计费功能realtime account 可选 配置实时计费发送间隔realtime account interval time可选 1 2 2 本地用户配置本地用户配置 当使用本地用户信息进行认证时 需要在系统添加相关本地用户名称和密码等信息 表 1 2配置本地用户基本功能 操作命令备注 进入全局配置模式configure terminal 进入 AAA 模式aaa 配置本地用户信息 local user username name password pwd vlan vid 可选 1 2 3 域配置域配置 客户端在认证时需要提供用户名和密码 用户名中一般包括该用户 ISP 信息 域和 ISP 一一对应 域最主要的信息就是该域的用户到哪一个 RADIUS 服务器认证和计费 表 1 3配置域基本功能 操作命令备注 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 7 进入全局配置模式configure terminal 进入 AAA 模式aaa 默认域配置default domain name enable domain name disable 可选 创建并进入域方案domain name必选 配置使用 radius 服务器或 者本地用户信息进行认证 scheme local radius local 可选 为当前域选择 RADIUS 服 务器 radius host binding radius name可选 配置当前域允许认证通过的 最大用户数 access limit enable number disable 可选 激活当前域state active block 必选 1 2 4 RADIUS 特性配置特性配置 对 RADIUS 作一些兼容或者独特特性的配置 表 1 4配置 RADIUS 特性功能 操作命令备注 进入全局配置模式configure terminal 进入 AAA 模式aaa 设备重启用户再认证功能 此功 能开启后 设备重启后在有用 户认证时会向 RADIUS 服务器 发送 Accounting On 报文 通 知 RADIUS 服务器强制该设备 的用户下线 accounting on enable sen num disable 可选 H3C Cams 兼容 在此特性下可 以通过 uprate value dnrate value 来配置上行带宽 下行带 宽在 Vendor Specific 属性名中 的属性号 在此特性下可以通过 radius attribute client version 来配置 发送客户端的版本信息到 RADIUS 服务器 h3c cams enable disable 可选 开启计费功能radius accounting可选 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 8 计费报文无响应切断用户radius server disconnect drop 1x可选 端口优先级 此功能开启后 如果用户认证 通过会修改该用户所在的端口 的优先级 此功能默认通过 Vendor Specific 属性名中的 77 属性号 进行 使用 radius config attribute 可以修改属性号 radius 8021p enable可选 端口 PVID 此功能开启后 如果用户认证 通过后会修改该用户所在端口 的 PVID 此功能固定通过 Tunnel Pvt Group ID 属性名进行 要求此 属性值为字符串 通过此字符 串查找 VLAN 的名称描述符匹 配 VLAN 值 radius vlan enable可选 端口 MAC 地址数目限制 此功能开启后 如果用户认证 通过后会修改该用户所在的端 口的 MAC 地址学习数目限制 此功能默认通过 Vendor Specific 属性名中的 50 属性号 进行 使用 radius config attribute 可以修改属性号 radius mac address number enable可选 端口带宽控制 此功能开启后 如果用户认证 通过后会修改该用户所在端口 的带宽控制 上行带宽控制默 认通过 Vendor Specific 属性名 中的 75 属性号进行 使用 radius config attribute 可以修 改属性号 下行带宽控制默认 通过 Vendor Specific 属性名中 的 76 属性号进行 使用 radius radius bandwidth limit enable可选 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 9 config attribute 可以修改属性 号 单位值默认为 kbps 可以通过 radius config attribute access bandwidth unit 进行修改 1 3 802 1X配置配置 1 3 1 EAP 方式配置方式配置 802 1x 标准使用把用户发过来的 用 EAP 帧封装的 802 1X 认证报文 不作任何处理 直接转发给 RADIUS 服务器 但传统 RADIUS 服务器不支持 EAP 特性 故系统支持把用 户发过来的 用 EAP 帧封装的 802 1X 认证报文先转换为标准 RADIUS 协议封装的数据帧 再转发给 RADIUS 服务器 表 1 5配置 EAP 方式功能 操作命令备注 进入全局配置模式configure terminal 设置系统和 RADIUS 服务 器之间的协议交互方式 dot1x eap finish eap transfer 可选 1 3 2 功能开启配置功能开启配置 启动 802 1X 认证功能后 接入到系统的用户只有在认证通过以后 才能访问 LAN 内 的资源 开启时需要同时指明开启方式是基于 MAC 地址认证还是基于端口认证 不需要 参与 802 1x 认证的端口不用开启 802 1x 认证功能 1 当端口配置为基于端口的认证时 只要该端口下某一个用户认证成功后 其他 用户无需认证就可以使用网络资源 但是当该用户下线后 其他用户也会被拒绝使用网络 2 当端口配置为基于用户 基于 MAC 地址 的认证时 该端口下的每个用户都需 要单独认证 只有认证成功的用户才能使用网络资源 某个用户下线后 也只有该用户无 法使用网络 并不影响其他已认证用户的网络的使用 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 10 表 1 6配置开启功能 操作命令备注 进入全局配置模式configure terminal 开启 802 1x 认证功能 dot1x method macbased portbased interface list 必选 1 3 3 端口控制模式配置端口控制模式配置 端口打开 802 1X 认证功能后 该端口缺省为需要认证 auto 状态 但是上行端口 和连接服务器的端口应该不需要认证 可以将不需要认证的端口配置为 forceauthorized 或 者关闭认证功能 可以将不允许执行 802 1x 认证功能的端口配置为 forceunauthorized 表 1 7配置端口控制模式功能 操作命令备注 进入全局配置模式configure terminal 端口控制模式 dot1x port control auto forceauthorized forceunauthorized interface list 可选 1 3 4 重认证配置重认证配置 在 EAP FINISH 方式中 端口支持重认证功能 在用户认证通过后 可以配置端口立 即进行重认证或者周期性进行重认证 表 1 8配置重认证功能 操作命令备注 进入全局配置模式configure terminal 立即进行重认证dot1x re authenticate interface list 可选 开启端口周期性重认证功能dot1x re authentication interface list 可选 配置端口周期性重认证时间dot1x timeout re authperiod time interface list 可选 1 3 5 守望功能配置守望功能配置 开启功能后 端口在没有用户的情况下 会定时发送一个 1x 守望报文 触发下面的 用户进行 802 1x 认证 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 11 表 1 9配置守望功能 操作命令备注 进入全局配置模式configure terminal 开启守望功能dot1x daemon interface list 可选 配置守望报文发送间隔时间dot1x daemon time time interface list 可选 1 3 6 用户特性配置用户特性配置 主要进行端口的用户数目配置 用户心跳检测和删除用户等操作 表 1 10 配置用户特性功能 操作命令备注 进入全局配置模式configure terminal 配置允许通过认证的最大用 户数 dot1x max user interface list 可选 删除指定的在线用户 dot1x user cut username name mac address mac vlan vid 可选 打开心跳检测功能dot1x detect interface list 可选 心跳检测时间配置dot1x detect interval time可选 配置静默功能 当用户认证 失败时将该用户置为静默状 态 在静默期间不允许该用 户继续认证 超过静默周期 后允许该用户重新认证 dot1x quiet period value time 可选 1 3 7 配置基于端口认证模式下的主机模式配置基于端口认证模式下的主机模式 主机模式配置只在基于端口的认证方式下生效 在配置该命令时请先设置端口为 portbased 认证 如果在配置了主机模式为 single host 的情况下将端口设置为 macbased 认证时 主机模式自动失效 1 multi hosts 多主机模式 当该端口上有一个用户认证通过后 该端口上的其它 用户无需认证即可以访问网络 2 single host 单主机模式 该端口上只允许一个认证通过的用户访问网络 其它 用户无法访问网络 也无法再认证通过 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 12 表 1 1配置主机模式 操作命令备注 进入全局配置模式 configure terminal 配置基于端口认证模式下的 主机模式 dot1x portbased host mode multi hosts single host interface list 可选 1 3 8 Guest VLAN 功能配置功能配置 端口的 Guest VLAN 只有在开启 portbased 认证时生效 在端口配置 Guest VLAN 后 端口以 untag 方式加入到这个 VLAN 此时用户能且仅能访问该 VLAN 的网路资源 一旦 用户认证成功后 端口自动恢复到以前配置的 VLAN 中 如果认证服务器下发了有效的 VLAN 则端口自动加入到下发的 VLAN 中 用户下线后 端口又恢复到 Guest VLAN 中 为保证各种功能可以正常使用 请为 Config VLAN radius 下发 VLAN 以及 Guest VLAN 等分配不同的 VLAN ID 表 1 2配置端口的 Guest VLAN 操作命令备注 进入全局配置模式 configure terminal 配置端口的 Guest VLAN dot1x guest vlan vlan id interface list 可选 1 3 9 EAPOL 报文透传功能配置报文透传功能配置 当端口关闭 802 1x 认证时要求能够透传用户的 802 1x EAPOL 报文 本设备作为中 继 使用户可以在上层设备进行 802 1x 认证 此功能只能处理 EAPOL 报文上 cpu 的情况 对于不上 cpu 的报文由硬件自行处理 不受此