锐捷8021x.docx

1、锐捷8021x1. 802.1X配置1. 本章节描述基于AAA服务配置的相关内容。802.1x用于控制用户对网络访问的认证，并对其提供授权与记帐功能。2. 本节包含如下内容：1. 概述 2. 配置802.1X 3. 查看802.1x 的配置及当前的统计值4. 配置802.1x 其它注意事项 说明有关本节引用的CLI命令的详细使用信息及说明，请参照配置802.1X命令。1. 52.1 概述3. IEEE 802 LAN 中，用户只要能接到网络设备上，不需要经过认证和授权即可直接使用。这样，一个XX的用户，他可以没有任何阻碍地通过连接到局域网的设备进入网络。随着局域网技术的广泛应用，特别是在运营网

2、络的出现，对网络的安全认证的需求已经提到了议事日程上。如何在以太网技术简单、廉价的基础上，提供用户对网络或设备访问合法性认证，已经成为业界关注的焦点。IEEE 802.1x 协议正是在这样的背景下提出的。4. IEEE802.1x（Port-Based Network Access Control）是一个基于端口的网络存取控制标准，为LAN提供点对点式的安全接入。这是IEEE标准委员会针对以太网的安全缺陷而专门制定的标准，能够在利用IEEE 802 LAN优势的基础上，提供一种对连接到局域网设备的用户进行认证的手段。5. IEEE 802.1x 标准定义了一种基于“客户端服务器”（Client

3、-Server）模式实现了限制未认证用户对网络的访问。客户端要访问网络必须先通过服务器的认证。6. 在客户端通过认证之前，只有EAPOL报文（Extensible Authentication Protocol over LAN）可以在网络上通行。在认证成功之后，正常的数据流便可在网络上通行。7. 应用802.1x我司的设备提供了Authentication，Authorization，and Accounting三种安全功能，简称AAA。5. Authentication： 认证，用于判定用户是否可以获得访问权，限制非法用户；6. Authorization： 授权，授权用户可以使用哪些服务

4、，控制合法用户的权限；7. Accounting： 计账，记录用户使用网络资源的情况，为收费提供依据。8. 我们将从以下几个方面阐述802.1x：8. 设备的角色9. 认证的发起及认证过程中的报文交互10. 已认证用户及未认证用户的状态11. 典型应用的拓扑结构1. 52.1.1 设备的角色9. IEEE802.1x 标准认证体系由恳请者、认证者、认证服务器三个角色构成，在实际应用中，三者分别对应为：工作站（Client）、设备(network access server，NAS)、Radius-Server。10. 12. 恳请者11. 恳请者是最终用户所扮演的角色，一般是个人PC。它请求对

5、网络服务的访问，并对认证者的请求报文进行应答。恳请者必须运行符合IEEE 802.1x 客户端标准的软件，目前最典型的就是WindowsXP 操作系统自带的IEEE802.1x 客户端支持，另外，我司也已推出符合该客户端标准的STAR Supplicant 软件。13. 认证者12. 认证者一般为交换机等接入设备。该设备的职责是根据客户端当前的认证状态控制其与网络的连接状态。在客户端与服务器之间，该设备扮演着中介者的角色：从客户端要求用户名，核实从服务器端的认证信息，并且转发给客户端。因此，设备除了扮演IEEE802.1x 的认证者的角色，还扮演RADIUS Client 角色，因此我们把设备

6、称作network access server(NAS)，它要负责把从客户端收到的回应封装到RADIUS 格式的报文并转发给RADIUS Server，同时它要把从RADIUS Server 收到的信息解释出来并转发给客户端。13. 扮演认证者角色的设备有两种类型的端口：受控端口（controlled Port）和非受控端口（uncontrolled Port）。连接在受控端口的用户只有通过认证才能访问网络资源；而连接在非受控端口的用户无须经过认证便可以直接访问网络资源。我们把用户连接在受控端口上，便可以实现对用户的控制；非受控端口主要是用来连接认证服务器，以便保证服务器与设备的正常通讯。14

7、. 认证服务器14. 认证服务器通常为RADIUS 服务器，认证过程中与认证者配合，为用户提供认证服务。认证服务器保存了用户名及密码，以及相应的授权信息，一台服务器可以对多台认证者提供认证服务，这样就可以实现对用户的集中管理。认证服务器还负责管理从认证者发来的记帐数据。锐捷网络科技公司实现802.1x 的设备完全兼容标准的Radius Server，如MicroSoft win2000 Server 自带的Radius Server 及Linux 下的Free Radius Server。2. 52.1.2 认证的发起及认证过程中的报文交互15. 恳请者和认证者之间通过EAPOL 协议交换信息

8、，而认证者和认证服务器通过RADIUS 协议交换信息，通过这种转换完成认证过程。EAPOL 协议封装于MAC 层之上，类型号为0x888E。同时，标准为该协议申请了一个组播MAC 地址01-80-C2-00-00-03，用于初始认证过程中的报文传递。16. 下图是一次典型的认证过程中，三个角色设备的报文交互过程：17. 18. 该过程是一个典型的由用户发起的认证过程（在一些特殊的情形下，设备也可能主动发出认证请求，过程与该图一致，只是少了用户主动发出请求这一步）。3. 52.1.3 已认证用户及未认证用户的状态19. 802.1x 中根据端口的认证状态来决定该端口上的用户是否允许访问网络，由于

9、我们对802.1X 进行扩展，是基于用户的，所以，我们是根据一个端口下的用户的认证状态来决定该用户是否允许访问网络资源。一个非受控端口下的所有用户均可使用网络资源，而一个受控端口下的用户只有处于已认证状态（Authorized）才能访问网络资源。一个用户刚发起认证时，状态处于未认证状态（unauthorized），这时它不能访问网络，在认证通过后，该用户的状态会变为已认证状态（authorized），此时该用户便可以使用网络资源。20. 如果工作站不支持802.1x，而该机器连接在受控端口下，当设备请求该用户的用户名时，由于工作站不支持导致没对该请求做出响应。这就意味着该用户仍然处于未认证状态

10、（unauthorized），不能访问网络资源。21. 相反地，如果工作站支持802.1x，而所连的设备不支持802.1x。用户发出的EAPOL-START 帧无人响应，用户在发送一定数目的EAPOL-START 帧仍未收到回应的情形下，将认为自己所连的端口是非受控端口，而直接使用网络资源。22. 在支持802.1x 的设备下，所有端口的默认设置是非受控端口，我们可以把一个端口设置成受控端口，从而要求这个端口下的所有用户都要进行认证。23. 当用户通过了认证（设备收到了从RADIUS Server 服务器发来的成功报文），该用户便转变成已认证状态(authorized)，该用户可以自由使用网络

11、资源。如果用户认证失败以至仍然处于未认证状态，可以重新发起认证。如果设备与RADIUS server 之间的通讯有故障，那么该用户仍然处于未认证状态（unauthorized），网络对该用户来说仍然是不可使用的。24. 当用户发出EAPOL-LOGOFF 报文后，该用户的状态由已认证(authorized)转向未认证状态(unauthorized)。25. 当设备的某个端口变为LINK-DOWN 状态，该端口上的所有用户均变为未认证(unauthorized)状态。26. 当设备重新启动，该设备上的所有用户均变为未认证状态(unauthorized)。27. 如果您要强制一个用户通过认证，可以

12、通过添加静态MAC 地址来实现。4. 52.1.4 典型应用的拓扑结构28. 方案一：带802.1x 的设备作为接入层设备29. 30. 该方案的说明：15. 该方案的要求：31. 用户支持802.1x，即要装有802.1x 的客户端软件（windowXp 自带，Star-supplicant 或其他符合IEEE802.1x 标准的客户端软件）；32. 接入层设备支持IEEE 802.1x；33. 有一台（或多台）支持标准RADIUS 的服务器作为认证服务器。16. 该方案的配置要点：34. 与Radius Server 相连的口及上联口，配置成非受控口，以便设备能正常地与服务器进行通讯，以及

13、使已认证用户能通过上联口访问网络资源；35. 与用户连接的端口要设置为受控口，以实现对接入用户的控制，用户必须通过认证才能访问网络资源。17. 该方案的特点：36. 每台支持802.1x 的设备所负责的客户端少，认证速度快。各台设备之间相互独立，设备的重启等操作不会影响到其它设备所连接的用户；37. 用户的管理集中于Radius Server 上，管理员不必考虑用户连接在哪台设备上，便于管理员的管理；38. 管理员可以通过网络管理接入层的设备。39. 方案二：带802.1x 的设备作为汇接层设备40. 41. 该方案的说明：18. 该方案的要求：42. 用户支持802.1x，即要装有802.1

14、x 的客户端软件（windowXp 自带，Star-supplicant 或其他符合IEEE802.1x 标准的客户端软件）；43. 接入层设备支持要能透传IEEE 802.1x 帧(EAPOL)；44. 汇接层设备支持802.1x（扮演认证者角色）；45. 有一台（或多台）支持标准RADIUS 的服务器作为认证服务器。19. 该方案的配置要点：46. 与Radius Server 相连的口及上联口，配置成非受控口，以便设备能正常地与服务器进行通讯，以及使已认证用户能通过上联口访问网络资源；47. 与接入层设备连接的端口要设置为受控口，以实现对接入用户的控制，用户必须通过认证才能访问网络资源。

15、20. 该方案的特点：48. 由于是汇接层设备，网络规模大，下接用户数多，对设备的要求高，若该层设备发生故障，将导致大量用户不能正常访问网络；49. 用户的管理集中于Radius Server 上，管理员无需考虑用户连接在哪台设备上，便于管理员的管理；50. 接入层设备可以使用较廉价的非网管型设备（只要支持EAPOL 帧透传）；51. 管理员不能通过网络直接管理接入层设备。2. 52.2 配置802.1X52. 我们将通过以下章节说明如何配置802.1x：21. 802.1x 的默认配置22. 802.1X 的配置注意事项23. 配置设备与RADIUS SERVER 之间的通讯24. 设置80

16、2.1X 认证的开关25. 打开/关闭一个端口的认证26. 打开定时重认证27. 打开/关闭 过滤非我司supplicant 功能的开关28. 改变QUIET 时间29. 设置报文重传间隔30. 设置最大请求次数31. 设置最大重认证次数32. 设置Server-timeout33. 配置设备主动发起802.1x 认证34. 配置802.1x 记帐35. 配置IP 授权模式36. 发布广告信息37. 某端口下的可认证主机列表38. 授权39. 配置认证方式40. 配置备份认证服务器41. 对在线用户的配置及管理42. 实现用户与IP 的捆绑43. 基于端口的流量记费44. 配置802.1X端口

17、动态VLAN自动跳转45. 实现端口的GUEST VLAN功能46. 代理服务器屏蔽和拨号屏蔽47. 配置客户端在线探测48. 配置EAPOL 帧带TAG 的选项开关49. 配置基于端口的用户认证50. 配置基于端口单用户认证51. 配置动态acl下发1. 52.2.1 802.1x 的默认配置53. 下表列出802.1x 的一些缺省值功能特性缺省值认证Authentication关闭 DISABLE记帐Accounting关闭 DISABLE认证服务器(Radius Server)*服务器IP 地址(ServerIp)*认证UDP 端口*密码(Key)*无缺省值*1812*无缺省值记帐服务器

18、(Accounting Server)*记帐服务器IP 地址*记帐UDP 端口*无缺省值*1813所有端口的类型非受控端口（所有端口均无须认证便可直接通讯）定时重认证re-authentication关闭定时重认证周期reauth_period3600 秒认证失败后允许再次认证的间隔10秒重传时间间隔3 秒最大重传次数3 次客户端超时时间3 秒，在该段时间内没有收到客户端的响应便认为这次通讯失败服务器超时时间5秒，在该段时间内没有收到服务器的回应，便认为这次通讯失败某端口下可认证主机列表无缺省值2. 52.2.2 802.1X 的配置注意事项52. 只有支持802.1x 的产品，才能进行以下设

19、置。53. 802.1x 既可以在二层下又可以在三层下的设备运行。54. 要先设置认证服务器IP地址，radiusserver认证方式才可以正常工作。55. 交换机只要有一个端口打开了1x功能，所有的端口都会将1x协议报文送到cpu。56. 如果端口DOT1X开启并且认证的用户数大于端口安全的最大用户数，此时无法开启端口安全。57. 端口安全和DOT1X同时开启时，如果安全地址老化，则DOT1X对应的用户必须重新认证才可以继续通信。58. 静态端口安全地址不需要认证即可上网，如果存在授权，则必须同时符合授权绑定才可以上网。59. 基于端口可迁移认证模式和端口安全共用时，已经学习到的地址同时成为

20、安全地址，不能再迁移。60. 基于端口可迁移认证模式和端口安全共用时，如果认证地址被端口安全老化则端口必须重新认证才可以通信。61. 基于端口可迁移认证模式认证通过后，开启端口安全，则端口必须重新认证才可以通信。62. 存在IP+MAC绑定时，不能进行基于端口和基于用户认证模式的切换。3. 52.2.3 配置设备与RADIUS SERVER 之间的通讯54. Radius Server 维护了所有用户的信息：用户名、密码、该用户的授权信息以及该用户的记帐信息。所有的用户集中于Radius Server 管理，而不必分散于每台设备，便于管理员对用户的集中管理。55. 设备要能正常地与RADIUS

21、 SERVER 通讯，必须进行如下设置：56. Radius Server 端：要注册一个Radius Client。注册时要告知Radius Server 设备的IP、认证的UDP 端口（若记帐还要添记帐的UDP 端口）、设备与Radius Server 通讯的约定密码，还要选上对该Client 支持EAP 扩展认证方式）。对于如何在Radius Server 上注册一个Radius Client，不同软件的设置方式不同，请查阅相关的文档。57. 设备端：为了让设备能与Server 进行通讯，设备端要做如下的设置：设置Radius Server的IP 地址，认证（记帐）的UDP 端口，与服务

22、器通讯的约定密码。58. 在特权模式下，按如下步骤设置设备与Radius Server 之间的通讯：命令作用Step 1configure terminal 进入全局配置模式Step 2aaa new-model打开AAA开关Step 3radius-server host ip-address auth-port port acct-port port配置RADIUS服务器Step 4Radius-server key string配置RADIUS KeyStep 5end退出到特权模式Step 6write保存配置Step 7show radius server显示RADIUS服务器59.

23、 使用no radius-server host ip-address auth-port 命令将Radius Server 认证UDP 端口恢复为缺省值。使用no radius-server key 命令删除Radius Server 认证密码。以下例子是设置server ip 为192.168.4.12、认证Udp 端口为600、以明文方式设置约定密码：Ruijie# configure terminalRuijie(config)# radius-server host 192.168.4.12Ruijie(config)# radius-server host 192.168.4.12

24、 auth-port 600Ruijie(config)# radius-server key MsdadShaAdasdj878dajL6g6gaRuijie(config)# end63. 官方约定的认证的UDP端口为181264. 官方约定的记帐的UDP端口为181365. 设备与Radius Server约定的密码的长度建议不少于16个字符66. 设备与Radius Server连接的端口要设置成非受控口4. 52.2.4 设置802.1X 认证的开关60. 当打开802.1x 认证时，设备会主动要求受控端口上的主机进行认证，未通过认证的主机不允许访问网络。61. 在特权模式下，按如下

25、步骤打开1x 认证：命令作用Step 1configure terminal 进入全局配置模式Step 2aaa new-model打开AAA开关Step 3radius-server host ip-address auth-port port acct-port port配置RADIUS服务器Step 4Radius-server key string配置RADIUS KeyStep 5aaa authentication dot1x auth group radius配置dot1x认证方法列表Step 6dot1x authentication authdot1x应用认证方法列表Step

26、 7end退出到特权模式Step 8write保存配置Step 9show running-config显示配置62. 注意在基于域名的AAA服务开关打开情况下，也即配置命令aaa domain enable时，dot1x authentication命令选择的认证方法列表将不会被使用，而使用用户所在的域配置的认证方法列表。具体配置参考“配置基于域名的AAA服务”。63. 以下例子是打开802.1x 认证：Ruijie# configure terminalRuijie(config)# aaa new-modelRuijie(config)# radius-server host 192.1

27、68.217.64Ruijie(config)# radius-server key starnetRuijie(config)# aaa authentication dot1x authen group radiusRuijie(config)# dot1x authentication authenRuijie(config)# endRuijie# show running-config!aaa new-model!aaa authentication dot1x authen group radius!username ruijie password 0 starnet!radius

28、-server host 192.168.217.64 radius-server key 7 072d172e071c2211!dot1x authentication authen!interface VLAN 1 ip address 192.168.217.222 255.255.255.0 no shutdown!line con 0line vty 0 4! end64. 802.1x 在应用RADIUS认证方法时，先配置Radius Server的IP地址，并确保设备与Radius Server之间的通讯正常。若没有Radius Server的配合，设备无法完成认证功能。如何设置Radius Server与设备之间的通讯请见上一章节。5. 52.2.5 打开/关闭一个端口的认证65. 在802.1x 打开的情形下，打开一个端口的认证，则该端口成为受控口，连接在该端口下的用户要通过认证才能访问网络，然而，在非受控端口下的用户可以直接访问网络。66. 在特权模式下，按如下步骤设置一个端口的认证状态。命令作用Step 1configure