RGS21交换机 8021x认证配置方法.docx
《RGS21交换机 8021x认证配置方法.docx》由会员分享,可在线阅读,更多相关《RGS21交换机 8021x认证配置方法.docx(14页珍藏版)》请在冰点文库上搜索。
RGS21交换机8021x认证配置方法
S21交换机802.1x认证配置方法
锐捷网络远程技术支持中心
技术热线:
4008-111-000
802.1x的配置注意事项
1)只有支持802.1x的产品,才能进行以下设置。
2)802.1x既可以在二层下又可以在三层下的设备运行。
3)要先设置认证服务器的IP地址,才能打开1X认证。
4)打开端口安全的端口不允许打开1X认证。
5)AggregatePort不允许打开1X认证。
802.1x的默认配置
下表列出802.1x的一些缺省值
认证Authentication
关闭DISABLE
记帐Accounting
关闭DISABLE
认证服务器(RadiusServer)
*服务器IP地址(ServerIp)
*认证UDP端口
*密码(Key)
*无缺省值
*1812
*无缺省值
记帐服务器(AccountingServer)
*记帐服务器IP地址
*记帐UDP端口
*无缺省值
1813
所有端口的类型
非受控端口(所有端口均无须认证便可
直接通讯
定时重认证re-authentication
打开
定时重认证周期reauth_period
3600秒
认证失败后允许再次认证的间隔
5
重传时间间隔
30秒
最大重传次数
2次
客户端超时时间
30秒,在该段时间内没有收到客户端的
响应便认为这次通讯失败
服务器超时时间
30秒,在该段时间内没有收到服务器的
回应,便认为这次通讯失败
某端口下可认证主机列表
无缺省值
设置802.1X认证的开关
当打开802.1x认证时,交换机会主动要求受控端口上的主机进行认证,认证不过的主机不允许访问网络。
例:
设置ServerIp为192.1.1.1、认证Udp端口为600、以明文方式设置约定密码:
Switch#configureterminal
Switch(config)#radius-serverhost192.1.1.1
Switch(config)#radius-serverauth-port600
Switch(config)#radius-serverkeyMsdadShaAdasdj878dajL6g6ga
Switch(config)#end
打开/关闭一个端口的认证
在802.1x打开的情形下,打开一个端口的认证,则该端口成为受控口,连接在该端口下的用户要通过认证才能访问网络,然而,在非受控端口下的用户可以直接访问网络。
例:
设置以太网接口1/1为受控接口:
Switch#configureterminal
Switch(config)#interfacef1/1
Switch(config-if)#dot1xport-controlauto
!
打开接口的认证功能
Switch(config)#end
Switch(config-if)#nodot1xport-controlauto
!
关闭接口的认证功能。
设置802.1X认证的开关
Switch#configureterminal
Switch(config)#aaaauthenticationdot1x
!
打开802.1x认证
Switch(config)#end
Switch(config)#noaaaauthenticationdot1x
!
关闭802.1x认证
打开定时重认证
802.1x能定时主动要求用户重新认证,这样可以防止已通过认证的用户不再使用后被其他用户冒用,还可以检测用户是否断线,使记费更准确。
除了可以设定重认证的开关,我们还可以定义重认证的间隔。
默认的重认证间隔是3600秒。
在根据时长进行记费的场合下,要根据具体的网络规模确定重认证间隔,使之既有足够时间完成一次认证又尽可能精确。
Switch#configureterminal
Switch(config)#dot1xre-authentication
!
打开重认证
Switch(config)#dot1xtimeoutre-authperiod1000
!
设置重认证时间间隔为1000秒
Switch(config)#end
Switch(config)#nodot1xre-authentication
!
关闭重认证
打开/关闭过滤非我司supplicant功能的开关
当选用我司的supplicant产品作为802.1x认证的客户端时,如果用户同时也使用了其它的一些802.1x认证客户端(比如打开了WindowsXP自带的802.1x认证功能选项),则有可能会使认证失败。
这时可以通过打开本功能,将非我司supplicant发出的802.1x报文过滤掉,来保证supplicant的认证不受其它802.1x客户端的影响。
默认情况下,该功能是打开的。
Switch#configureterminal
Switch(config)#dot1xfilter-nonRG-suenable
!
打开过滤功能
Switch(config)#end
Switch(config)#nodot1xfilter-nonRG-suenable
!
使用命令关闭功能
改变QUIET时间
当用户认证失败时,交换机将等待一段时间后,才允许用户再次认证。
QuietPeriod的时间长度便是允许再认证间隔。
该值的作用是避免交换机受恶意攻击。
QuietPeriod的默认间隔为5秒,我们可以通过设定较短的QuietPeriod使用户可以更快地进行再认证。
Switch#configureterminal
Switch(config)#dot1xtimeoutquiet-period500
!
设置QuietPeriod值500秒
Switch(config)#end
Switch(config)#nodot1xtimeoutquiet-period
!
将QuietPeriod恢复为缺省值
设置报文重传间隔
交换机发EAP-request/identity之后,若在一定的时间内没有收到用户的回应,交换机将重传这个报文。
该值的默认值为30秒,要根据具体的网络规模进行调整。
Switch#configureterminal
Switch(config)#dot1xtimeouttx-period100
!
设置报文重传间隔为100秒
Switch(config)#end
Switch(config)#nodot1xtimeouttx-period
!
将报文重传间隔恢复为缺省值
设置最大请求次数
交换机朝RadiusServer发出认证请求后,若在ServerTimeout时间内没收到RadiusServer的回应,将重传该报文。
最大请求次数指的是交换机重传请求的最大数,超过该次数交换机将认为本次认证失败。
默认的重传次数为2次,我们要根据具体的网络环境进行调整。
Switch#configureterminal
Switch(config)#dot1xmax-req5
!
设置报文重传次数为5次
Switch(config)#end
Switch(config)#nodot1xmax-req
!
将报文重传次数恢复为缺省值
设置最大重认证次数
当用户认证失败后,交换机会尝试几次与用户的认证。
在认证次数超过最大重认证次数之后,交换机就认为这个用户已经断线,结束认证过程。
系统默认的次数是2次,我们可以重新设置这个值。
Switch#configureterminal
Switch(config)#dot1xreauth-max3
!
设置最大重认证次数为3次
Switch(config)#end
Switch(config)#nodot1xreauth-max
!
将最大重认证次数恢复为缺省值
设置记帐更新时间间隔
当用户打开记帐更新功能后,交换机会根据用户配置的时间间隔周期性的发送记帐更新信息,在几个周期内没有收到记帐信息,服务器会认为该用户已经断线,结束记帐服务。
系统默认的更新时间间隔是600秒,我们可以重新设置这个值,该值的范围是60—65535秒。
Switch#configureterminal
Switch(config)#dot1xaccout-update-interval1000
!
设置记帐更新时间间隔为1000秒
Switch(config)#end
Switch(config)#nodot1xaccout-update-interval
!
将记帐更新时间间隔恢复为缺省值
设置Server-timeout
该值指的是RadiusServer的最大响应时间,若在该时间内,交换机没有收到RadiusServer的响应,将认为本次认证失败。
命令含义
1步骤configureterminal进入全局配置模式。
2步骤dot1xtimeoutserver-timeoutseconds
!
设置RadiusServer最大响应时间,使用no命令的选项将其恢复为缺省值
3步骤End退回到特权模式
打开/关闭交换机主动发起认证的开关
当该功能关闭时,交换机只在复位和认证端口状态改变的时候发起一次认证请求,这是为了保证在线用户能够继续认证使用网络,其它任何时候交换机都不会主动发起认证请求。
当该功能打开后,用户可以配置主动发起认证请求的次数、发送认证请求的间隔、用户认证通过后是否要停止发送请求等附属功能。
1步骤configureterminal进入全局配置模式。
2步骤dot1xauto-req
!
打开主动认证功能。
该功能缺省认情况下是关闭的,使用no命令可以关闭次功能。
3步骤end退回到特权模式。
设置交换机主动发起认证请求的次数
用户可以设置交换机主动发起认证请求的次数,这个值可根据实际的网络环境设定。
1步骤configureterminal进入全局配置模式。
2步骤dot1xauto-reqpacket-numnum
!
交换机主动发送num个802.1x认证请求报文,如果num为0,则交换机将持续地发送
该报文。
缺省值是0(无限个)。
3步骤end退回到特权模式
设置报文发送间隔
1步骤configureterminal进入全局配置模式。
2步骤dot1xauto-reqreq-intervalinterval
!
设置报文发送间隔,缺省值是30s。
3步骤end退回到特权模式
设置在发现用户通过认证后是否停止发送请求报文
在某些应用需求下(比如一个端口下面只接一个用户),我们可以指定交换机在发现用户认证通过后,停止向对应端口发送认证请求,如果用户下线,则继续发送。
1步骤configureterminal进入全局配置模式。
2步骤dot1xauto-requser-detect
!
收到响应报文后停止发送报文。
该功能缺省打开。
3步骤end退回到特权模式。
把所有的参数设置成默认值
把802.1x的所有参数设置成默认值,设置后的结果见802。
1X的默认值。
Switch#configureterminal
Switch(config)#dot1xdefault
Switch(config)#end
配置802。
1x记账功能
要打开交换机的记帐工作需对交换机做如下的设置:
1、在RadiusServer注册这台交换机为RadiusClient,如认证时的操作
2、设置记帐服务器的IP地址
3、设置记帐的UDP端口
4、在802.1x打开的前提下,打开记帐服务
Switch#configureterminal
Switch(config)#aaaaccountingserver192.1.1.1
!
设置记帐服务器的IP地址为192.1.1.1
Switch(config)#aaaaccountingserver192.1.1.2backup
!
设置备份记帐服务器的IP地址为192.1.1.2
Switch(config)#aaaaccountingacc-port1200
!
设置记帐服务器的UDP端口为1200
Switch(config)#aaaaccounting
!
打开802.1x记帐功能
Switch(config)#end
同时我们支持计费更新功能
1步骤configureterminal进入全局配置模式。
2步骤aaaaccountingupdate设置记帐计费更新功能。
3步骤End退回到特权模式。
配置IP授权模式
锐捷网络实现的802.1x,可以强制要求已认证的用户使用固定的IP。
管理员通过配置IP授权模式来限定用户获得IP地址的方式。
IP授权模式有四种:
DISABLE模式、DHCPSERVER模式、RADIUSSERVER模式、SUPPLICANT模式。
下面分别介绍这四种工作模式的特性:
DISABLE模式(默认):
在该模式下,交换机不对用户的IP做限制,用户只需认证通过便可以使用网络。
DHCPSERVER模式:
用户的IP通过指定的DHCPSERVER获得,只有指定的DHCPSERVER分配的IP才是合法的IP。
RADIUSSERVER模式:
用户的IP通过RADIUSSERVER指定。
用户只能用RADIUSSERVER指定的IP访问网络。
SUPPLICANT模式:
所绑定用户的IP为SUPPLICANT认证时PC的IP。
认证后,用户只能用该IP访问网络,不可随意更改IP。
四种模式下的应用模型:
DISABLE模式:
适合不对用户限定IP的场合。
用户只需通过认证便可以访问网络。
DHCPSERVER模式:
用户PC通过DHCP获得IP地址,管理员通过配置交换机的DHCPRELAY来限定用户访问的DHCPSERVER,这样,只有指定的DHCPSERVER分配的IP才是合法的。
RADIUSSERVER模式:
用户PC使用固定的IP,RADIUSSERVER配置了<用户—IP>的对应关系,并通过RADIUS的Framed-IP-Address属性告知交换机,用户只能用该IP才能访问网络。
SUPPLICANT模式:
用户PC使用固定的IP,SUPPLICANT将该信息告知交换机,用户只能用认证时的IP才能访问网络。
Switch#configureterminal
Switch(config)#aaaauthorizationip-auth-modedhcp-server
!
配置IP授权模式为DHCP-SERVER模式
Switch(config)#end
查看Radius认证及记帐相关配置
用showradius-server命令查看RadiusServer的相关配置
用showaccounting查看记帐相关配置
Switch#shradius-server
Radiusserver:
0.0.0.0
AuthenticationUDPport:
1812
Switch#showaccounting
Accountingstatus:
Disabled
Accountingserver:
0.0.0.0
Accountingbackupserver:
0.0.0.0
AccountingUDPport:
1813
查看当前的用户数
实现的802.1X可以查看两类当前的用户数,一是当前用户数,二是已认证用户数。
当前用户数指的是当前认证用户总数(无论是否认证成功);已认证用户数,指的是已认证通过的用户的总数。
在特权模式下,按如下步骤查看当前用户数及已认证用户数。
步骤showdot1x802.1x查看配置,包括当前用户数和已认证用户数以及客户端在线探测开关。
Switch#showdot1x
IEEE802.1XStatus:
Enabled
Authenticationusernumber:
0
Currentusernumber:
0
reauth-enabled:
Disabled
reauth-period:
3600s
quiet-period:
60s
tx-period:
30s
supp-timeout:
30s
server-timeout:
30s
reauth-max:
2s
max-req:
2s
client-probe:
Enabled
查看可认证地址列表
本公司实现的802.1x,对功能进行了扩展,可以设置在某些端口上只有哪些主机可以认证。
查看可认证主机列表功能,可以让管理员查看目前已有的设置。
在特权模式下,按如下操作查看可认证主机列表
命令含义
1步骤dot1xauth-address-tableaddress
mac-addressinterfaceinterface-id
设置可认证主机列表。
2步骤showdot1xauth-address-table查看可认证主机列表。
使用nodot1xauth-address-tableaddressmac-addressinterfaceinterface-id命令删除指定
的可认证主机列表。
以下例子是查看可认证主机列表:
Switch#showdot1xauth-address-table
InterfaceAddress
-----------------------------------
Ethernet1/200-D0-F8-11-22-33
查看用户认证状态信息
管理员可能查看本交换机的当前用户的认证状态,便于排解故障。
在特权模式下,按如下操作查看用户认证状态信息
命令含义
1步骤showdot1xsummary查看用户认证状态信息。
2步骤showdot1xstatistics查看用户认证工作统计信息。
以下例子是查看用户认证状态信息:
Switch#showdot1xsummary
VlanAddressPaeStateBackendAuthInterface
--------------------------------------------------------
100D0F8000001AuthenedIDLEFa0/1
以下例子是查看用户认证工作统计信息:
Switch#showdot1xstatistics
查看1x客户端探测定时器设置
在特权模式下,按如下操作查看1x定时器设置
命令含义
1步骤showdot1xprobe-timer查看1x定时器设置
以下例子是查看1x定时器设置:
Switch#showdot1xprobe-timer
HelloInterval:
20
HelloAlive:
60
配置802.1x其它注意事项
1.认证用户数限制
在没有任何IP授权模式时,S21系列每台设备支持1000个用户。
堆叠情况下,支持用户数为1000×堆叠设备数。
2.1X和ACL同时应用
在非IP授权模式下,如果您打开某一个端口的802.1x认证功能,又将某一个ACL关联到某一个接口。
则ACL在MAC地址的基础上生效。
也就是说,只有源MAC为认证通过的用户MAC的报文才会经过ACL过滤,其它源MAC地址报文被丢弃,ACL只能在该MAC地址的基础上进行限制。
比如,认证通过的MAC地址为00d0.f800.0001,则所有源MAC为00d0.f800.0001的报文可以交换。
如果该端口再关联ACL,则ACL在这些能够交换的报文基础上进行进一步过滤。
如拒绝源MAC为该地址的ICMP报文。
在IP授权模式下,建议不要在受控口上设置ACL,因为ACL优先级比认证用户高,认证通过的IP+MAC的绑定不会生效。
某个端口认证通过两个用户:
用户1:
mac:
00d0.f800.0001ip:
192.168.65.100
用户2:
mac:
00d0.f800.0002ip:
192.168.65.101
然后在该端口上设置一个ACL,如下:
ipaccess-listextendedip_acl:
denyicmpanyany
原来目的可能想允许认证用户通讯,但同时禁止发送ICMP报文。
但ACL优先级比认证通过的IP+MAC高,该ACL的最后一条缺省ace是denyanyany,所以认证通过用户也无法通讯。
如果在ip_acl后面加一条permitanyany,则所有认证通过的用户任意修改IP后仍然可以通讯,达不到IP+MAC一一绑定的目的。
所以建议您不要使用IP授权+ACL的模式
3.由于IP授权模式下认证用户使用的硬件表项和其它运用(如ACL、端口IP安全地址)共享过滤表项和过滤域模板,如果其它应用将硬件资源耗尽,则可能出现IP授权模式下用户认证不成功,或者成功但是无法通讯的问题。
特别是过滤域模板,IP授权模式下用户认证必须保证至少有一个模板可以使用
升级会员 