交换机802.1X认证配置

网络 路由交换
IEEE802.1X(基于端口的访问控制Port based network access control)是在利用LAN交换机和无线LAN接入点之前对用户进行认证的技术。

IEEE802.1X(基于端口的访问控制Port based network access control)是在利用LAN交换机和无线LAN接入点之前对用户进行认证的技术。普通LAN交换机将缆线连接到端口上即可使用LAN。不过,支持 802.1X的LAN交换机连接缆线后也不能直接使用LAN。只有在对连接的个人电脑进行认证、确认是合法用户以后才能使用LAN。通过认证,LAN交换机就可以通过或者屏蔽用户发送过来的信息。无线LAN接入点也基本上采用这一工作原理。

IEEE802.1x的体系结构中包括三个部分:Supplicant System,客户端;Authenticator System,认证设备;Authentication Sever System,认证服务器。

在客户端(如LanSwitch)实现 IEEE802.1x的认证系统部分,即Authenticator;IEEE802.1x的客户端一般安装在用户PC中,典型的为Windows XP操作系统自带的客户端; IEEE802.1x的认证服务器系统一般驻留在运营商的AAA中心。Authentication Sever可以采用标准的Radius认证服务器,也可以选用业务交换机来实现,后者主要用在网络规模不大的(300用户左右)情况中,华为3Com的 Quidway 3000系列以上交换机在新的软件版本中,都提供内嵌Authentication Sever(认证服务器)的功能,通过华为3Com内部集群通讯协议高效完成对用户的认证配置功能。

用户在通过认证之前,PC1所连接的物理端口E0/1只有认证端口是打开的,而数据端口是关闭状态,因此,当PC1通过dot1x认证之前,只有认证报文通过端口E0/1进行转发,而PC1无法上网;当PC1通过dot1x认证之后,端口E0/1的数据端口打开,PC1可以正常上网。

【配置环境参数】

1. PC1和PC2分别属于VLAN10和VLAN20,分别连接到交换机SwitchA的端口E0/1和E0/2;SwitchA通过G1/1端口连接到远端的Radius服务器

交换机连接RADIUS server接口interface vlan 100,地址为192.168.0.100/24

2. 下挂两个用户网段VLAN10和VLAN20,VLAN10包含端口为e0/1到e0/10网段为10.10.1.1/24,VLAN20包含端口为e0/11e0/20网段为10.10.2.1/24

【组网需求】

1. 在SwitchA上启动802.1X认证,对PC1、PC2完成认证

2. 在SwitchA上启动802.1X认证,对PC1和PC2进行远端RADIUS认证

【SwitchA相关配置】

1. 创建(进入)VLAN10

[SwitchA]vlan 10

2. 将E0/1加入到VLAN10

[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/10

3. 创建(进入)vlan10的虚接口

[SwitchA]interface Vlan-interface 10

4. 给vlan10的虚接口配置IP地址

[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.0

5. 创建(进入)VLAN20

[SwitchA]vlan 20

6. 将E0/2加入到VLAN20

[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/20

7. 创建(进入)vlan20虚接口

[SwitchA]interface Vlan-interface 20

8. 给vlan20虚接口配置IP地址

[SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.0

9. 创建(进入)VLAN100

[SwitchA]vlan 100

10. 将G1/1加入到VLAN100

[SwitchA-vlan100]port GigabitEthernet 1/1

11. 创建(进入)vlan100虚接口

[SwitchA]interface Vlan-interface 100

12. 给vlan100虚接口配置IP地址

[SwitchA-Vlan-interface100]ip address 192.168.0.100 255.255.255.0

【802.1X本地认证缺省域相关配置】

1. 在系统视图下开启802.1X功能,默认为基于MAC的认证方式

[SwitchA]dot1x

2. 在E0/1-E0/10端口上开启802.1X功能,如果dot1x interface后面不加具体的端口,就是指所有的端口都开启802.1X

[SwitchA]dot1x interface eth 0/1 to eth 0/10

3. 这里采用缺省域system,并且缺省域引用缺省radius方案system。

[SwitchA]local-user test

4. 设置该用户密码(明文)

[SwitchA-user-test]password simple test

5. 设置该用户接入类型为802.1X

[SwitchA-user-test]service-type lan-access

6. 激活该用户

[SwitchA-user-test]state active

【802.1X本地认证自建域相关配置】

1. 在系统视图下开启802.1X功能,默认为基于MAC的认证方式

[SwitchA]dot1x

2. 在E0/1-E0/10端口上开启802.1X功能,如果dot1x interface后面不加具体的端口,就是指所有的端口都开启802.1X

[SwitchA]dot1x interface eth 0/1 to eth 0/10

3. 设置认证方式为radius

[SwitchA]radius scheme radius1

4. 设置主认证服务器为本地,端口号1645

[SwitchA-radius-radius1]primary authentication 127.0.0.1 1645

5. 设置主计费服务器为本地,端口号1646

[SwitchA-radius-radius1]primary accounting 127.0.0.1 1646

6. 这里本地用户认证采用自建域huawei

[SwitchA]domain Huawei

7. 在域中引用认证方案radius1

[SwitchA-isp-huawei]radius-scheme radius1

8. 设置本地用户名test@huawei

[SwitchA]local-user test@huawei

9. 设置用户密码(明文)

[SwitchA-user-test@huawei]password simple test

10. 设置用户接入类型为802.1X

[SwitchA-user-test@huawei]service-type lan-access

11. 激活该用户

[SwitchA-user-test@huawei]state active

【802.1X RADIUS认证相关配置】

1. 在系统视图下开启802.1X功能,默认为基于MAC的方式

[SwitchA]dot1x

2. 在E0/1-E0/10端口上开启802.1X功能,如果dot1x interface后面不加具体的端口,就是指所有的端口都开启802.1X

[SwitchA]dot1x interface eth 0/1 to eth 0/10

3. 设置认证方式为radius,radius认证不成功取本地认证

[SwitchA]radius scheme radius1

4. 设置主认证服务器

[SwitchA-radius-radius1]primary authentication 192.168.0.100

5. 设置主计费服务器

[SwitchA-radius-radius1]primary accounting 192.168.0.100

6. 设置交换机与认证服务器的密钥,二者应保持一致

[SwitchA-radius-radius1]key authentication test

7. 设置交换机与计费服务器的密钥,二者应保持一致

[SwitchA-radius-radius1]key accounting test

8. 交换机送给radius的报文不带域名

[SwitchA-radius-radius1]user-name-format without-domain

9. 这里用户认证采用自建域huawei

[SwitchA]domain Huawei

10. 在域中引用认证方案radius1

[SwitchA-isp-huawei]radius-scheme radius1

【补充说明】

端口开启dot1x认证后可以采用基于端口(portbased)或基于MAC地址(macbased)两种接入控制方式,缺省是接入控制方式为 macbased。两种方法的区别是:当采用macbased方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络;而采用portbased方式时,只要该端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其他用户也会被拒绝使用网络。

例如,修改端口E0/1的接入控制方式为portbased方式:

[SwitchA]dot1x port-method portbased interface Ethernet 0/1

或者:

[SwitchA]interface Ethernet 0/1

[SwitchA-Ethernet0/1]dot1x port-method portbased

如果RADIUS服务器不是与SwitchA直连,那么需要在SwitchA上增加路由的配置,来确保SwitchA与RADIUS服务器之间的认证报文通讯正常

博客地址:http://caihua2222.blog.163.com/blog/static/1280139682010061645516/

责任编辑:张存 来源: 博客
相关推荐

2010-01-06 14:40:01

2020-10-09 09:04:16

802.1x远端认证网络

2010-01-05 14:24:58

2010-06-13 10:18:11

IEEE 802.1x

2010-08-04 13:13:48

路由器配置

2009-11-17 12:33:55

2012-12-25 10:27:55

2010-01-12 13:47:57

2010-06-13 12:53:41

2010-06-25 14:34:11

IEEE 802.1x

2010-10-19 09:44:34

802.1X验证最佳实践

2010-09-26 08:46:08

802.1x

2010-01-26 14:28:10

2010-01-05 14:56:56

2011-08-16 10:21:48

交换机端口安全

2010-06-13 12:56:40

IEEE 802.1x

2010-09-02 10:32:41

2015-09-02 11:52:03

802.1xEAPPEAP

2010-01-14 10:43:18

交换机配置交换机种类

2009-12-24 14:43:53

网络接入控制NAC
点赞
收藏

51CTO技术栈公众号