锐捷8021x.docx
《锐捷8021x.docx》由会员分享,可在线阅读,更多相关《锐捷8021x.docx(59页珍藏版)》请在冰点文库上搜索。
锐捷8021x
1.802.1X配置
1.本章节描述基于AAA服务配置的相关内容。
802.1x用于控制用户对网络访问的认证,并对其提供授权与记帐功能。
2.本节包含如下内容:
1.⏹ 概述
2.⏹ 配置802.1X
3.⏹ 查看802.1x的配置及当前的统计值
4.⏹ 配置802.1x其它注意事项
说明
有关本节引用的CLI命令的详细使用信息及说明,请参照《配置802.1X命令》。
1.52.1 概述
3.IEEE802LAN中,用户只要能接到网络设备上,不需要经过认证和授权即可直接使用。
这样,一个XX的用户,他可以没有任何阻碍地通过连接到局域网的设备进入网络。
随着局域网技术的广泛应用,特别是在运营网络的出现,对网络的安全认证的需求已经提到了议事日程上。
如何在以太网技术简单、廉价的基础上,提供用户对网络或设备访问合法性认证,已经成为业界关注的焦点。
IEEE802.1x协议正是在这样的背景下提出的。
4.IEEE802.1x(Port-BasedNetworkAccessControl)是一个基于端口的网络存取控制标准,为LAN提供点对点式的安全接入。
这是IEEE标准委员会针对以太网的安全缺陷而专门制定的标准,能够在利用IEEE802LAN优势的基础上,提供一种对连接到局域网设备的用户进行认证的手段。
5.IEEE802.1x标准定义了一种基于“客户端——服务器”(Client-Server)模式实现了限制未认证用户对网络的访问。
客户端要访问网络必须先通过服务器的认证。
6.在客户端通过认证之前,只有EAPOL报文(ExtensibleAuthenticationProtocoloverLAN)可以在网络上通行。
在认证成功之后,正常的数据流便可在网络上通行。
7.应用802.1x我司的设备提供了Authentication,Authorization,andAccounting三种安全功能,简称AAA。
5.⏹ Authentication:
认证,用于判定用户是否可以获得访问权,限制非法用户;
6.⏹ Authorization:
授权,授权用户可以使用哪些服务,控制合法用户的权限;
7.⏹ Accounting:
计账,记录用户使用网络资源的情况,为收费提供依据。
8.我们将从以下几个方面阐述802.1x:
8.⏹ 设备的角色
9.⏹ 认证的发起及认证过程中的报文交互
10.⏹ 已认证用户及未认证用户的状态
11.⏹ 典型应用的拓扑结构
1.52.1.1 设备的角色
9.IEEE802.1x标准认证体系由恳请者、认证者、认证服务器三个角色构成,在实际应用中,三者分别对应为:
工作站(Client)、设备(networkaccessserver,NAS)、Radius-Server。
10.
12.⏹ 恳请者
11.恳请者是最终用户所扮演的角色,一般是个人PC。
它请求对网络服务的访问,并对认证者的请求报文进行应答。
恳请者必须运行符合IEEE802.1x客户端标准的软件,目前最典型的就是WindowsXP操作系统自带的IEEE802.1x客户端支持,另外,我司也已推出符合该客户端标准的STARSupplicant软件。
13.⏹ 认证者
12.认证者一般为交换机等接入设备。
该设备的职责是根据客户端当前的认证状态控制其与网络的连接状态。
在客户端与服务器之间,该设备扮演着中介者的角色:
从客户端要求用户名,核实从服务器端的认证信息,并且转发给客户端。
因此,设备除了扮演IEEE802.1x的认证者的角色,还扮演RADIUSClient角色,因此我们把设备称作networkaccessserver(NAS),它要负责把从客户端收到的回应封装到RADIUS格式的报文并转发给RADIUSServer,同时它要把从RADIUSServer收到的信息解释出来并转发给客户端。
13.扮演认证者角色的设备有两种类型的端口:
受控端口(controlledPort)和非受控端口(uncontrolledPort)。
连接在受控端口的用户只有通过认证才能访问网络资源;而连接在非受控端口的用户无须经过认证便可以直接访问网络资源。
我们把用户连接在受控端口上,便可以实现对用户的控制;非受控端口主要是用来连接认证服务器,以便保证服务器与设备的正常通讯。
14.⏹ 认证服务器
14.认证服务器通常为RADIUS服务器,认证过程中与认证者配合,为用户提供认证服务。
认证服务器保存了用户名及密码,以及相应的授权信息,一台服务器可以对多台认证者提供认证服务,这样就可以实现对用户的集中管理。
认证服务器还负责管理从认证者发来的记帐数据。
锐捷网络科技公司实现802.1x的设备完全兼容标准的RadiusServer,如MicroSoftwin2000Server自带的RadiusServer及Linux下的FreeRadiusServer。
2.52.1.2 认证的发起及认证过程中的报文交互
15.恳请者和认证者之间通过EAPOL协议交换信息,而认证者和认证服务器通过RADIUS协议交换信息,通过这种转换完成认证过程。
EAPOL协议封装于MAC层之上,类型号为0x888E。
同时,标准为该协议申请了一个组播MAC地址01-80-C2-00-00-03,用于初始认证过程中的报文传递。
16.下图是一次典型的认证过程中,三个角色设备的报文交互过程:
17.
18.该过程是一个典型的由用户发起的认证过程(在一些特殊的情形下,设备也可能主动发出认证请求,过程与该图一致,只是少了用户主动发出请求这一步)。
3.52.1.3 已认证用户及未认证用户的状态
19.802.1x中根据端口的认证状态来决定该端口上的用户是否允许访问网络,由于我们对802.1X进行扩展,是基于用户的,所以,我们是根据一个端口下的用户的认证状态来决定该用户是否允许访问网络资源。
一个非受控端口下的所有用户均可使用网络资源,而一个受控端口下的用户只有处于已认证状态(Authorized)才能访问网络资源。
一个用户刚发起认证时,状态处于未认证状态(unauthorized),这时它不能访问网络,在认证通过后,该用户的状态会变为已认证状态(authorized),此时该用户便可以使用网络资源。
20.如果工作站不支持802.1x,而该机器连接在受控端口下,当设备请求该用户的用户名时,由于工作站不支持导致没对该请求做出响应。
这就意味着该用户仍然处于未认证状态(unauthorized),不能访问网络资源。
21.相反地,如果工作站支持802.1x,而所连的设备不支持802.1x。
用户发出的EAPOL-START帧无人响应,用户在发送一定数目的EAPOL-START帧仍未收到回应的情形下,将认为自己所连的端口是非受控端口,而直接使用网络资源。
22.在支持802.1x的设备下,所有端口的默认设置是非受控端口,我们可以把一个端口设置成受控端口,从而要求这个端口下的所有用户都要进行认证。
23.当用户通过了认证(设备收到了从RADIUSServer服务器发来的成功报文),该用户便转变成已认证状态(authorized),该用户可以自由使用网络资源。
如果用户认证失败以至仍然处于未认证状态,可以重新发起认证。
如果设备与RADIUSserver之间的通讯有故障,那么该用户仍然处于未认证状态(unauthorized),网络对该用户来说仍然是不可使用的。
24.当用户发出EAPOL-LOGOFF报文后,该用户的状态由已认证(authorized)转向未认证状态(unauthorized)。
25.当设备的某个端口变为LINK-DOWN状态,该端口上的所有用户均变为未认证(unauthorized)状态。
26.当设备重新启动,该设备上的所有用户均变为未认证状态(unauthorized)。
27.如果您要强制一个用户通过认证,可以通过添加静态MAC地址来实现。
4.52.1.4 典型应用的拓扑结构
28.方案一:
带802.1x的设备作为接入层设备
29.
30.该方案的说明:
15.⏹ 该方案的要求:
31.⏹ 用户支持802.1x,即要装有802.1x的客户端软件(windowXp自带,Star-supplicant或其他符合IEEE802.1x标准的客户端软件);
32.⏹ 接入层设备支持IEEE802.1x;
33.⏹ 有一台(或多台)支持标准RADIUS的服务器作为认证服务器。
16.⏹ 该方案的配置要点:
34.⏹ 与RadiusServer相连的口及上联口,配置成非受控口,以便设备能正常地与服务器进行通讯,以及使已认证用户能通过上联口访问网络资源;
35.⏹ 与用户连接的端口要设置为受控口,以实现对接入用户的控制,用户必须通过认证才能访问网络资源。
17.⏹ 该方案的特点:
36.⏹ 每台支持802.1x的设备所负责的客户端少,认证速度快。
各台设备之间相互独立,设备的重启等操作不会影响到其它设备所连接的用户;
37.⏹ 用户的管理集中于RadiusServer上,管理员不必考虑用户连接在哪台设备上,便于管理员的管理;
38.⏹ 管理员可以通过网络管理接入层的设备。
39.方案二:
带802.1x的设备作为汇接层设备
40.
41.该方案的说明:
18.⏹ 该方案的要求:
42.⏹ 用户支持802.1x,即要装有802.1x的客户端软件(windowXp自带,Star-supplicant或其他符合IEEE802.1x标准的客户端软件);
43.⏹ 接入层设备支持要能透传IEEE802.1x帧(EAPOL);
44.⏹ 汇接层设备支持802.1x(扮演认证者角色);
45.⏹ 有一台(或多台)支持标准RADIUS的服务器作为认证服务器。
19.⏹ 该方案的配置要点:
46.⏹ 与RadiusServer相连的口及上联口,配置成非受控口,以便设备能正常地与服务器进行通讯,以及使已认证用户能通过上联口访问网络资源;
47.⏹ 与接入层设备连接的端口要设置为受控口,以实现对接入用户的控制,用户必须通过认证才能访问网络资源。
20.⏹ 该方案的特点:
48.⏹ 由于是汇接层设备,网络规模大,下接用户数多,对设备的要求高,若该层设备发生故障,将导致大量用户不能正常访问网络;
49.⏹ 用户的管理集中于RadiusServer上,管理员无需考虑用户连接在哪台设备上,便于管理员的管理;
50.⏹ 接入层设备可以使用较廉价的非网管型设备(只要支持EAPOL帧透传);
51.⏹ 管理员不能通过网络直接管理接入层设备。
2.52.2 配置802.1X
52.我们将通过以下章节说明如何配置802.1x:
21.⏹ 802.1x的默认配置
22.⏹ 802.1X的配置注意事项
23.⏹ 配置设备与RADIUSSERVER之间的通讯
24.⏹ 设置802.1X认证的开关
25.⏹ 打开/关闭一个端口的认证
26.⏹ 打开定时重认证
27.⏹ 打开/关闭过滤非我司supplicant功能的开关
28.⏹ 改变QUIET时间
29.⏹ 设置报文重传间隔
30.⏹ 设置最大请求次数
31.⏹ 设置最大重认证次数
32.⏹ 设置Server-timeout
33.⏹ 配置设备主动发起802.1x认证
34.⏹ 配置802.1x记帐
35.⏹ 配置IP授权模式
36.⏹ 发布广告信息
37.⏹ 某端口下的可认证主机列表
38.⏹ 授权
39.⏹ 配置认证方式
40.⏹ 配置备份认证服务器
41.⏹ 对在线用户的配置及管理
42.⏹ 实现用户与IP的捆绑
43.⏹ 基于端口的流量记费
44.⏹ 配置802.1X端口动态VLAN自动跳转
45.⏹ 实现端口的GUESTVLAN功能
46.⏹ 代理服务器屏蔽和拨号屏蔽
47.⏹ 配置客户端在线探测
48.⏹ 配置EAPOL帧带TAG的选项开关
49.⏹ 配置基于端口的用户认证
50.⏹ 配置基于端口单用户认证
51.⏹ 配置动态acl下发
1.52.2.1 802.1x的默认配置
53.下表列出802.1x的一些缺省值
功能特性
缺省值
认证Authentication
关闭DISABLE
记帐Accounting
关闭DISABLE
认证服务器(RadiusServer)
*服务器IP地址(ServerIp)
*认证UDP端口
*密码(Key)
*无缺省值
*1812
*无缺省值
记帐服务器(AccountingServer)
*记帐服务器IP地址
*记帐UDP端口
*无缺省值
*1813
所有端口的类型
非受控端口(所有端口均无须认证便可直接通讯)
定时重认证re-authentication
关闭
定时重认证周期reauth_period
3600秒
认证失败后允许再次认证的间隔
10秒
重传时间间隔
3秒
最大重传次数
3次
客户端超时时间
3秒,在该段时间内没有收到客户端的响应便认为这次通讯失败
服务器超时时间
5秒,在该段时间内没有收到服务器的回应,便认为这次通讯失败
某端口下可认证主机列表
无缺省值
2.52.2.2 802.1X的配置注意事项
52.⏹ 只有支持802.1x的产品,才能进行以下设置。
53.⏹ 802.1x既可以在二层下又可以在三层下的设备运行。
54.⏹ 要先设置认证服务器IP 地址,radius-server认证方式才可以正常工作。
55.⏹ 交换机只要有一个端口打开了1x功能,所有的端口都会将1x协议报文送到cpu。
56.⏹ 如果端口DOT1X开启并且认证的用户数大于端口安全的最大用户数,此时无法开启端口安全。
57.⏹ 端口安全和DOT1X同时开启时,如果安全地址老化,则DOT1X对应的用户必须重新认证才可以继续通信。
58.⏹ 静态端口安全地址不需要认证即可上网,如果存在授权,则必须同时符合授权绑定才可以上网。
59.⏹ 基于端口可迁移认证模式和端口安全共用时,已经学习到的地址同时成为安全地址,不能再迁移。
60.⏹ 基于端口可迁移认证模式和端口安全共用时,如果认证地址被端口安全老化则端口必须重新认证才可以通信。
61.⏹ 基于端口可迁移认证模式认证通过后,开启端口安全,则端口必须重新认证才可以通信。
62.⏹ 存在IP+MAC绑定时,不能进行基于端口和基于用户认证模式的切换。
3.52.2.3 配置设备与RADIUSSERVER之间的通讯
54.RadiusServer维护了所有用户的信息:
用户名、密码、该用户的授权信息以及该用户的记帐信息。
所有的用户集中于RadiusServer管理,而不必分散于每台设备,便于管理员对用户的集中管理。
55.设备要能正常地与RADIUSSERVER通讯,必须进行如下设置:
56.RadiusServer端:
要注册一个RadiusClient。
注册时要告知RadiusServer设备的IP、认证的UDP端口(若记帐还要添记帐的UDP端口)、设备与RadiusServer通讯的约定密码,还要选上对该Client支持EAP扩展认证方式)。
对于如何在RadiusServer上注册一个RadiusClient,不同软件的设置方式不同,请查阅相关的文档。
57.设备端:
为了让设备能与Server进行通讯,设备端要做如下的设置:
设置RadiusServer的IP地址,认证(记帐)的UDP端口,与服务器通讯的约定密码。
58.在特权模式下,按如下步骤设置设备与RadiusServer之间的通讯:
命令
作用
Step1
configureterminal
进入全局配置模式
Step2
aaanew-model
打开AAA开关
Step3
radius-serverhostip-address[auth-portport][acct-portport]
配置RADIUS服务器
Step4
Radius-serverkeystring
配置RADIUSKey
Step5
end
退出到特权模式
Step6
write
保存配置
Step7
showradiusserver
显示RADIUS服务器
59.使用noradius-serverhostip-addressauth-port命令将RadiusServer认证UDP端口恢复为缺省值。
使用noradius-serverkey命令删除RadiusServer认证密码。
以下例子是设置serverip为192.168.4.12、认证Udp端口为600、以明文方式设置约定密码:
Ruijie#configureterminal
Ruijie(config)#radius-serverhost192.168.4.12
Ruijie(config)#radius-serverhost192.168.4.12auth-port600
Ruijie(config)#radius-serverkeyMsdadShaAdasdj878dajL6g6ga
Ruijie(config)#end
63.⏹ 官方约定的认证的UDP端口为1812
64.⏹ 官方约定的记帐的UDP端口为1813
65.⏹ 设备与RadiusServer约定的密码的长度建议不少于16个字符
66.⏹ 设备与RadiusServer连接的端口要设置成非受控口
4.52.2.4 设置802.1X认证的开关
60.当打开802.1x认证时,设备会主动要求受控端口上的主机进行认证,未通过认证的主机不允许访问网络。
61.在特权模式下,按如下步骤打开1x认证:
命令
作用
Step1
configureterminal
进入全局配置模式
Step2
aaanew-model
打开AAA开关
Step3
radius-serverhostip-address[auth-portport][acct-portport]
配置RADIUS服务器
Step4
Radius-serverkeystring
配置RADIUSKey
Step5
aaaauthenticationdot1xauthgroupradius
配置dot1x认证方法列表
Step6
dot1xauthenticationauth
dot1x应用认证方法列表
Step7
end
退出到特权模式
Step8
write
保存配置
Step9
showrunning-config
显示配置
62.
注意
在基于域名的AAA服务开关打开情况下,也即配置命令aaadomainenable时,dot1xauthentication命令选择的认证方法列表将不会被使用,而使用用户所在的域配置的认证方法列表。
具体配置参考“配置基于域名的AAA服务”。
63.以下例子是打开802.1x认证:
Ruijie#configureterminal
Ruijie(config)#aaanew-model
Ruijie(config)#radius-serverhost192.168.217.64
Ruijie(config)#radius-serverkeystarnet
Ruijie(config)#aaaauthenticationdot1xauthengroupradius
Ruijie(config)#dot1xauthenticationauthen
Ruijie(config)#end
Ruijie#showrunning-config
!
aaanew-model
!
aaaauthenticationdot1xauthengroupradius
!
usernameruijiepassword0starnet
!
radius-serverhost192.168.217.64
radius-serverkey7072d172e071c2211
!
!
!
dot1xauthenticationauthen
!
interfaceVLAN1
ipaddress192.168.217.222255.255.255.0
noshutdown
!
!
linecon0
linevty04
!
end
64.802.1x在应用RADIUS认证方法时,先配置RadiusServer的IP地址,并确保设备与RadiusServer之间的通讯正常。
若没有RadiusServer的配合,设备无法完成认证功能。
如何设置RadiusServer与设备之间的通讯请见上一章节。
5.52.2.5 打开/关闭一个端口的认证
65.在802.1x打开的情形下,打开一个端口的认证,则该端口成为受控口,连接在该端口下的用户要通过认证才能访问网络,然而,在非受控端口下的用户可以直接访问网络。
66.在特权模式下,按如下步骤设置一个端口的认证状态。
命令
作用
Step1
configure