IEEE802.1X(基于端口的访问控制Port based network access control)是在利用LAN交换机和无线LAN接入点之前对用户进行认证的技术。普通LAN交换机将缆线连接到端口上即可使用LAN。不过,支持 802.1X的LAN交换机连接缆线后也不能直接使用LAN。只有在对连接的个人电脑进行认证、确认是合法用户以后才能使用LAN。通过认证,LAN交换机就可以通过或者屏蔽用户发送过来的信息。无线LAN接入点也基本上采用这一工作原理。
IEEE802.1x的体系结构中包括三个部分:Supplicant System,客户端;Authenticator System,认证设备;Authentication Sever System,认证服务器。
在客户端(如LanSwitch)实现 IEEE802.1x的认证系统部分,即Authenticator;IEEE802.1x的客户端一般安装在用户PC中,典型的为Windows XP操作系统自带的客户端; IEEE802.1x的认证服务器系统一般驻留在运营商的AAA中心。Authentication Sever可以采用标准的Radius认证服务器,也可以选用业务交换机来实现,后者主要用在网络规模不大的(300用户左右)情况中,华为3Com的 Quidway 3000系列以上交换机在新的软件版本中,都提供内嵌Authentication Sever(认证服务器)的功能,通过华为3Com内部集群通讯协议高效完成对用户的认证配置功能。
用户在通过认证之前,PC1所连接的物理端口E0/1只有认证端口是打开的,而数据端口是关闭状态,因此,当PC1通过dot1x认证之前,只有认证报文通过端口E0/1进行转发,而PC1无法上网;当PC1通过dot1x认证之后,端口E0/1的数据端口打开,PC1可以正常上网。
【配置环境参数】
1. PC1和PC2分别属于VLAN10和VLAN20,分别连接到交换机SwitchA的端口E0/1和E0/2;SwitchA通过G1/1端口连接到远端的Radius服务器
交换机连接RADIUS server接口interface vlan 100,地址为192.168.0.100/24
2. 下挂两个用户网段VLAN10和VLAN20,VLAN10包含端口为e0/1到e0/10网段为10.10.1.1/24,VLAN20包含端口为e0/11e0/20网段为10.10.2.1/24
【组网需求】
1. 在SwitchA上启动802.1X认证,对PC1、PC2完成认证
2. 在SwitchA上启动802.1X认证,对PC1和PC2进行远端RADIUS认证
【SwitchA相关配置】
1. 创建(进入)VLAN10
[SwitchA]vlan 10
2. 将E0/1加入到VLAN10
[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/10
3. 创建(进入)vlan10的虚接口
[SwitchA]interface Vlan-interface 10
4. 给vlan10的虚接口配置IP地址
[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.0
5. 创建(进入)VLAN20
[SwitchA]vlan 20
6. 将E0/2加入到VLAN20
[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/20
7. 创建(进入)vlan20虚接口
[SwitchA]interface Vlan-interface 20
8. 给vlan20虚接口配置IP地址
[SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.0
9. 创建(进入)VLAN100
[SwitchA]vlan 100
10. 将G1/1加入到VLAN100
[SwitchA-vlan100]port GigabitEthernet 1/1
11. 创建(进入)vlan100虚接口
[SwitchA]interface Vlan-interface 100
12. 给vlan100虚接口配置IP地址
[SwitchA-Vlan-interface100]ip address 192.168.0.100 255.255.255.0
【802.1X本地认证缺省域相关配置】
1. 在系统视图下开启802.1X功能,默认为基于MAC的认证方式
[SwitchA]dot1x
2. 在E0/1-E0/10端口上开启802.1X功能,如果dot1x interface后面不加具体的端口,就是指所有的端口都开启802.1X
[SwitchA]dot1x interface eth 0/1 to eth 0/10
3. 这里采用缺省域system,并且缺省域引用缺省radius方案system。
[SwitchA]local-user test
4. 设置该用户密码(明文)
[SwitchA-user-test]password simple test
5. 设置该用户接入类型为802.1X
[SwitchA-user-test]service-type lan-access
6. 激活该用户
[SwitchA-user-test]state active
【802.1X本地认证自建域相关配置】
1. 在系统视图下开启802.1X功能,默认为基于MAC的认证方式
[SwitchA]dot1x
2. 在E0/1-E0/10端口上开启802.1X功能,如果dot1x interface后面不加具体的端口,就是指所有的端口都开启802.1X
[SwitchA]dot1x interface eth 0/1 to eth 0/10
3. 设置认证方式为radius
[SwitchA]radius scheme radius1
4. 设置主认证服务器为本地,端口号1645
[SwitchA-radius-radius1]primary authentication 127.0.0.1 1645
5. 设置主计费服务器为本地,端口号1646
[SwitchA-radius-radius1]primary accounting 127.0.0.1 1646
6. 这里本地用户认证采用自建域huawei
[SwitchA]domain Huawei
7. 在域中引用认证方案radius1
[SwitchA-isp-huawei]radius-scheme radius1
8. 设置本地用户名test@huawei
[SwitchA]local-user test@huawei
9. 设置用户密码(明文)
[SwitchA-user-test@huawei]password simple test
10. 设置用户接入类型为802.1X
[SwitchA-user-test@huawei]service-type lan-access
11. 激活该用户
[SwitchA-user-test@huawei]state active
【802.1X RADIUS认证相关配置】
1. 在系统视图下开启802.1X功能,默认为基于MAC的方式
[SwitchA]dot1x
2. 在E0/1-E0/10端口上开启802.1X功能,如果dot1x interface后面不加具体的端口,就是指所有的端口都开启802.1X
[SwitchA]dot1x interface eth 0/1 to eth 0/10
3. 设置认证方式为radius,radius认证不成功取本地认证
[SwitchA]radius scheme radius1
4. 设置主认证服务器
[SwitchA-radius-radius1]primary authentication 192.168.0.100
5. 设置主计费服务器
[SwitchA-radius-radius1]primary accounting 192.168.0.100
6. 设置交换机与认证服务器的密钥,二者应保持一致
[SwitchA-radius-radius1]key authentication test
7. 设置交换机与计费服务器的密钥,二者应保持一致
[SwitchA-radius-radius1]key accounting test
8. 交换机送给radius的报文不带域名
[SwitchA-radius-radius1]user-name-format without-domain
9. 这里用户认证采用自建域huawei
[SwitchA]domain Huawei
10. 在域中引用认证方案radius1
[SwitchA-isp-huawei]radius-scheme radius1
【补充说明】
端口开启dot1x认证后可以采用基于端口(portbased)或基于MAC地址(macbased)两种接入控制方式,缺省是接入控制方式为 macbased。两种方法的区别是:当采用macbased方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络;而采用portbased方式时,只要该端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其他用户也会被拒绝使用网络。
例如,修改端口E0/1的接入控制方式为portbased方式:
[SwitchA]dot1x port-method portbased interface Ethernet 0/1
或者:
[SwitchA]interface Ethernet 0/1
[SwitchA-Ethernet0/1]dot1x port-method portbased
如果RADIUS服务器不是与SwitchA直连,那么需要在SwitchA上增加路由的配置,来确保SwitchA与RADIUS服务器之间的认证报文通讯正常
博客地址:http://caihua2222.blog.163.com/blog/static/1280139682010061645516/