H3Cdot1x配置.docx

H3Cdot1x配置.docx

《H3Cdot1x配置.docx》由会员分享，可在线阅读，更多相关《H3Cdot1x配置.docx（34页珍藏版）》请在冰点文库上搜索。

H3Cdot1x配置

目 录

1802.1x配置

1.1 802.1x简介

IEEE802LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1x协议。

后来，802.1x协议作为局域网端口的一个普通接入控制机制应用于以太网中，主要解决以太网内认证和安全方面的问题。

802.1x协议是一种基于端口的网络接入控制（PortBasedNetworkAccessControl）协议。

“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的设备进行认证和控制。

连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。

1.1.1 802.1x的体系结构

使用802.1x的系统为典型的Client/Server体系结构，包括三个实体，如图1-1所示分别为：

SupplicantSystem（客户端）、AuthenticatorSystem（设备端）以及AuthenticationServerSystem（认证服务器）。

图1-1802.1x认证系统的体系结构

●             客户端是位于局域网段一端的一个实体，由该链路另一端的设备端对其进行认证。

客户端一般为用户终端设备，用户通过启动客户端软件发起802.1x认证。

客户端软件必须支持EAPOL（ExtensibleAuthenticationProtocoloverLAN，局域网上的可扩展认证协议）协议。

●             设备端是位于局域网段一端的另一个实体，用于对所连接的客户端进行认证。

设备端通常为支持802.1x协议的网络设备（如H3C系列交换机），它为客户端提供接入局域网的端口，该端口可以是物理端口，也可以是逻辑端口。

●             认证服务器是为设备端提供认证服务的实体。

认证服务器用于实现用户的认证、授权和计费，通常为RADIUS服务器。

该服务器可以存储用户的相关信息，例如用户的账号、密码以及用户所属的VLAN、优先级、用户的访问控制列表等。

三个实体涉及如下四个基本概念：

PAE、受控端口、受控方向和端口受控方式。

1.PAE（PortAccessEntity，端口访问实体）

PAE是认证机制中负责执行算法和协议操作的实体。

●             设备端PAE利用认证服务器对需要接入局域网的客户端执行认证，并根据认证结果相应地对受控端口的授权/非授权状态进行相应地控制。

●             客户端PAE负责响应设备端的认证请求，向设备端提交用户的认证信息。

客户端PAE也可以主动向设备端发送认证请求和下线请求。

2.受控端口

设备端为客户端提供接入局域网的端口，这个端口被划分为两个虚端口：

受控端口和非受控端口。

●             非受控端口始终处于双向连通状态，主要用来传递EAPOL协议帧，保证客户端始终能够发出或接受认证。

●             受控端口在授权状态下处于连通状态，用于传递业务报文；在非授权状态下处于断开状态，禁止传递任何报文。

●             受控端口和非受控端口是同一端口的两个部分；任何到达该端口的帧，在受控端口与非受控端口上均可见。

3.受控方向

在非授权状态下，受控端口可以被设置成单向受控：

实行单向受控时，禁止从客户端接收帧，但允许向客户端发送帧。

缺省情况下，受控端口实行单向受控。

4.端口受控方式

H3C系列交换机支持以下两种端口受控方式：

●             基于端口的认证：

只要该物理端口下的第一个用户认证成功后，其他接入用户无须认证就可使用网络资源，当第一个用户下线后，其他用户也会被拒绝使用网络。

●             基于MAC地址认证：

该物理端口下的所有接入用户都需要单独认证，当某个用户下线时，只有该用户无法使用网络，不会影响其他用户使用网络资源。

1.1.2 802.1x的工作机制

IEEE802.1x认证系统利用EAP（ExtensibleAuthenticationProtocol，可扩展认证协议）协议，在客户端和认证服务器之间交换认证信息。

图1-2802.1x认证系统的工作机制

●             在客户端PAE与设备端PAE之间，EAP协议报文使用EAPOL封装格式，直接承载于LAN环境中。

●             在设备端PAE与RADIUS服务器之间，EAP协议报文可以使用EAPOR（EAPoverRADIUS）封装格式，承载于RADIUS协议中；也可以由设备端PAE进行终结，而在设备端PAE与RADIUS服务器之间传送PAP协议报文或CHAP协议报文。

●             当用户通过认证后，认证服务器会把用户的相关信息传递给设备端，设备端PAE根据RADIUS服务器的指示（Accept或Reject）决定受控端口的授权/非授权状态。

1.1.3 EAPOL消息的封装

1.EAPOL数据包的格式

EAPOL是802.1x协议定义的一种报文封装格式，主要用于在客户端和设备端之间传送EAP协议报文，以允许EAP协议报文在LAN上传送。

格式如图1-3所示。

图1-3EAPOL数据包格式

PAEEthernetType：

表示协议类型，802.1x分配的协议类型为0x888E。

ProtocolVersion：

表示EAPOL帧的发送方所支持的协议版本号。

Type：

●             EAP-Packet（值为00），认证信息帧，用于承载认证信息；

●             EAPOL-Start（值为01），认证发起帧；

●             EAPOL-Logoff（值为02），退出请求帧；

●             EAPOL-Key（值为03），密钥信息帧；

●             EAPOL-Encapsulated-ASF-Alert（值为04），用于支持ASF（AlertingStandardsForum）的Alerting消息。

Length：

表示数据长度，也就是“PacketBody”字段的长度。

如果为0，则表示没有后面的数据域。

PacketBody：

根据不同的Type有不同的格式。

其中，EAPOL-Start，EAPOL-Logoff和EAPOL-Key仅在客户端和设备端之间存在；在设备端和认证服务器之间，EAP-Packet报文重新封装承载于RADIUS协议上，以便穿越复杂的网络到达认证服务器；EAPOL-Encapsulated-ASF-Alert封装与网管相关的信息，例如各种警告信息，由设备端终结。

2.EAP数据包的格式

当EAPOL数据包的Type域为EAP-Packet时，PacketBody为EAP数据包内容，如图1-4所示。

图1-4EAP数据包格式

Code：

指明EAP包的类型，一共有4种：

Request，Response，Success，Failure。

Identifier：

辅助进行Response和Request消息的匹配。

Length：

EAP包的长度，包含Code、Identifier、Length和Data的全部内容。

Data：

EAP数据信息，内容格式由Code决定。

Success和Failure类型的包没有Data域，相应的Length域的值为4。

Request和Response类型的Data域的格式如图1-5所示。

图1-5Request和Response类型的Data域的格式

Type：

指出EAP的认证类型。

其中，值为1时，代表Identity，用来查询对方的身份；值为4时，代表MD5-Challenge，类似于PPPCHAP协议，包含质询消息。

TypeData：

TypeData域的内容随不同类型的Request和Response而不同。

3.EAP属性的封装

RADIUS为支持EAP认证增加了两个属性：

EAP-Message（EAP消息）和Message-Authenticator（消息认证码）。

RADIUS协议的报文格式请参见“AAA操作手册”中的RADIUS协议简介部分。

EAP-Message属性用来封装EAP数据包，如图1-6所示，类型代码为79，string域最长为253字节，如果EAP数据包长度大于253字节，可以对其进行分片，依次封装在多个EAP-Message属性中。

图1-6EAP-Message属性封装

Message-Authenticator可以用于在使用CHAP、EAP等认证方法的过程中，避免接入请求包被窃听。

在含有EAP-Message属性的数据包中，必须同时包含Message-Authenticator，否则该数据包会被认为无效而被丢弃。

格式如图1-7所示。

图1-7Message-Authenticator属性

1.1.4 802.1x的认证过程

H3CS3100-52P交换机支持EAP终结方式和EAP中继方式进行认证。

1.EAP中继方式

这种方式是IEEE802.1x标准规定的，将EAP协议承载在其他高层协议中，如EAPoverRADIUS，以便扩展认证协议报文穿越复杂的网络到达认证服务器。

一般来说，EAP中继方式需要RADIUS服务器支持EAP属性：

EAP-Message（值为79）和Message-Authenticator（值为80）。

EAP中继方式有四种认证方法：

EAP-MD5、EAP-TLS（TransportLayerSecurity，传输层安全）、EAP-TTLS（TunneledTransportLayerSecurity，隧道传输层安全）和PEAP（ProtectedExtensibleAuthenticationProtocol，受保护的扩展认证协议）：

●             EAP-MD5：

验证客户端的身份，RADIUS服务器发送MD5加密字（EAP-Request/MD5Challenge报文）给客户端，客户端用该加密字对口令部分进行加密处理。

●             EAP-TLS：

客户端和RADIUS服务器端通过EAP-TLS认证方法检查彼此的安全证书，验证对方身份，保证通信目的端的正确性，防止网络数据被窃听。

●             EAP-TTLS：

是对EAP-TLS的一种扩展。

在EAPTLS中，实现对客户端和认证服务器的双向认证。

EAP-TTLS扩展了这种实现，它使用TLS建立起来的安全隧道传递信息。

●             PEAP：

首先创建和使用TLS安全通道来进行完整性保护，然后进行新的EAP协商，从而完成对客户端的身份验证。

以下以EAP-MD5方式为例介绍基本业务流程，如图1-8所示。

图1-8IEEE802.1x认证系统的EAP中继方式业务流程

认证过程如下：

●             当用户有上网需求时打开802.1x客户端，输入已经申请、登记过的用户名和口令，发起连接请求（EAPOL-Start报文）。

此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。

●             交换机收到请求认证的数据帧后，将发出一个请求帧（EAP-Request/Identity报文）要求用户的客户端程序发送输入的用户名。

●             客户端程序响应交换机发出的请求，将用户名信息通过数据帧（EAP-Response/Identity报文）送给交换机。

交换机将客户端送上来的数据帧经过封包处理后（RADIUSAccess-Request报文）送给RADIUS服务器进行处理。

●             RADIUS服务器收到交换机转发的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字通过RADIUSAccess-Challenge报文传送给交换机，由交换机传给客户端程序。

●             客户端程序收到由交换机传来的加密字（EAP-Request/MD5Challenge报文）后，用该加密字对口令部分进行加密处理（此种加密算法通常是不可逆的，生成EAP-Response/MD5Challenge报文），并通过交换机传给RADIUS服务器。

●             RADIUS服务器将加密后的口令信息（RADIUSAccess-Request报文）和自己经过加密运算后的口令信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息（RADIUSAccess-Accept报文和EAP-Success报文）。

●             交换机将端口状态改为授权状态，允许用户通过该端口访问网络。

●             客户端也可以发送EAPoL-Logoff报文给交换机，主动终止已认证状态，交换机将端口状态从授权状态改变成未授权状态。

由于EAP中继方式对报文的内容不做改动，如果要采用PEAP、EAP-TLS、EAP-TTLS或者EAP-MD5这四种认证方法之一，需要在客户端和RADIUS服务器上选择一致的认证方法，而在交换机上，只需要通过dot1xauthentication-methodeap命令启动EAP中继方式即可。

2.EAP终结方式

这种方式将EAP报文在设备端终结并映射到RADIUS报文中，利用标准RADIUS协议完成认证和计费。

对于EAP终结方式，交换机与RADIUS服务器之间可以采用PAP或者CHAP认证方法。

以下以CHAP认证方法为例介绍基本业务流程，如下图所示。

图1-9IEEE802.1x认证系统的EAP终结方式业务流程

EAP终结方式与EAP中继方式的认证流程相比，不同之处在于用来对用户口令信息进行加密处理的随机加密字由交换机生成，之后交换机会把用户名、随机加密字和客户端加密后的口令信息一起送给RADIUS服务器，进行相关的认证处理。

1.1.5 802.1x的定时器

802.1x认证过程中会启动多个定时器以控制接入用户、交换机以及RADIUS服务器之间进行合理、有序的交互。

802.1x的定时器主要有以下几种：

●             握手定时器（handshake-period）：

此定时器是在用户认证成功后启动的，交换机以此间隔为周期发送握手请求报文，以定期检测用户的在线情况。

如果重试一定次数后仍然没有收到客户端的响应报文，就认为用户已经下线。

用户可以使用dot1xretry命令配置最大发送次数。

●             静默定时器（quiet-period）：

对用户认证失败以后，交换机需要静默一段时间（该时间由静默定时器设置）后，用户可以再重新发起认证，在静默期间，交换机不进行该用户的802.1x认证相关处理。

●             重认证定时器（reauth-period）：

每隔该定时器设置的时长，交换机会定期发起802.1x重认证。

●             RADIUS服务器超时定时器（server-timeout）：

若在该定时器设置的时长内，RADIUS服务器未成功响应，交换机将向RADIUS服务器重发认证请求报文。

●             客户端认证超时定时器（supp-timeout）：

当交换机向客户端发送了Request/Challenge请求报文后，交换机启动此定时器，若在该定时器设置的时长内，设备端没有收到客户端的响应，交换机将重发该报文。

●             传送超时定时器（tx-period）：

以下两种情况交换机启动tx-period定时器：

其一是在客户端主动发起认证的情况下，当交换机向客户端发送单播Request/Identity请求报文后，交换机启动该定时器，若在该定时器设置的时长内，交换机没有收到客户端的响应，则交换机将重发认证请求报文；其二是为了对不支持主动发起认证的802.1x客户端进行认证，交换机会在启动802.1x功能的端口不停地发送组播Request/Identity报文，发送的间隔为tx-period。

●             ver-period：

客户端版本请求超时定时器。

若在该定时器设置的时长内，客户端设备未成功发送版本应答报文，则交换机将重发版本请求报文。

1.1.6 802.1x在S3100-52P交换机上的实现

S3100-52P交换机除了支持前面所述的802.1x特性外，还支持如下特性：

●             与CAMS服务器配合，实现检测客户端功能（检测使用代理登录、用户使用多网卡等）；

●             客户端版本检测功能；

●             GuestVLAN功能。

CAMS服务器是H3C公司提供的业务管理系统，支持与交换机等网络产品共同组网，完成终端用户的认证、授权、计费和权限管理等功能，实现网络的可管理、可运营，保证网络和用户信息的安全。

1.代理用户检测

交换机的802.1x代理用户检测特性包括：

●             检测使用代理服务器登录的用户；

●             检测使用IE代理服务器登录的用户；

●             检测用户是否使用多网卡（即用户登录时，其PC上处于激活状态的网卡超过一个）。

当交换机发现以上任意一种情况时，可以采取以下控制措施：

●             只切断用户连接，不发送Trap报文；

●             只发送Trap报文，不切断用户连接。

此功能的实现需要802.1x客户端和CAMS的配合：

●             802.1x客户端需要具备检测用户是否使用多网卡、代理服务器或者IE代理服务器功能；

●             CAMS上开启认证客户端禁用多网卡、禁用代理服务器或者禁用IE代理服务器功能。

802.1x客户端默认关闭防止使用多网卡、代理服务器或IE代理服务器功能，如果CAMS打开防多网卡、代理或IE代理功能，则在用户认证成功时，CAMS会下发属性通知802.1x客户端打开防多网卡、代理或IE代理功能。

●   该功能的实现需要H3C802.1x客户端程序（iNode）的配合。

●   对于检测通过代理登录的用户功能，需要在CAMS上也启用该功能，同时需要在交换机上启用客户端版本检测功能（通过命令dot1xversion-check配置）。

2.客户端版本检测

在交换机上启动了对802.1x客户端的版本验证功能后，交换机会对接入用户的802.1x客户端软件的版本和合法性进行验证，以防止使用有缺陷的老版本客户端或者非法客户端的用户上网。

启用客户端版本检测功能后，如果在客户端版本检测定时器设置的时长内，客户端未成功发送版本应答报文，则交换机将重发版本请求报文。

该功能的实现需要H3C802.1x客户端程序（iNode）的配合。

3.GuestVLAN功能

GuestVLAN功能用来允许未认证用户访问某些特定资源。

在实际应用中，如果用户在没有安装802.1x客户端的情况下，需要访问某些资源；或者在用户未认证的情况下升级802.1x客户端，这些情况可以通过开启GuestVLAN功能来解决。

GuestVLAN的功能开启后：

●             交换机将在所有开启802.1x功能的端口发送触发认证报文（EAP-Request/Identity），如果达到最大发送次数后，仍有端口尚未返回响应报文，则交换机将该端口加入到GuestVLAN中；

●             之后属于该GuestVLAN中的用户访问该GuestVLAN中的资源时，不需要进行802.1x认证，但访问外部的资源时仍需要进行认证。

通常，GuestVLAN功能与动态VLAN下发功能配合使用。

动态VLAN下发功能的具体介绍，请参见“AAA操作手册”中的配置部分。

4.配置802.1x重认证功能

802.1x重认证是通过定时器或报文触发，对已经认证成功的用户进行一次重新认证。

通过启用802.1x重认证功能，交换机可以定时检测用户的连接状况。

当发现接入用户在一定时间内未响应重认证报文，则切断与该用户的连接。

若用户希望再次连接，则必须通过客户端软件重新发起802.1x认证。

●   重认证时交换机上会进行完整的认证过程，将认证的用户名及其密码上传给认证服务器进行认证，但不同的服务器对重认证的处理策略有所不同，部分服务器会进行用户名密码的校验，部分服务器只是把重认证作为计费和检查用户连接状况的手段，不进行用户名密码的校验。

●   当认证服务器为CAMS时，PAP和CHAP认证方式下重认证时服务器不进行用户名、密码校验，EAP认证方式下重认证时进行用户名、密码校验。

图1-10802.1x重认证功能示意图

802.1x重认证功能的开启方式有如下两种：

●             RADIUS服务器触发交换机对接入用户的802.1x重认证：

RADIUS服务器向交换机发送Termination-Action属性字段为1的Access-Accept报文，交换机收到此报文后会对接入的用户进行周期性的重新认证。

●             交换机上配置对接入用户的802.1x重认证：

用户在交换机上启用802.1x重认证功能后，交换机则会对接入的用户进行周期性的重新认证。

在使用CAMS作为认证服务器时，由于CAMS只有对认证用户开始计费时才建立用户会话，当配置CAMS服务器对用户只认证不计费时，802.1x重认证将无法成功。

因此，当要启用802.1x重认证时，不能在domain中配置accountingnone。

而其他服务器无此限制。

1.2 802.1x配置简介

802.1x提供了一个用户身份认证的实现方案，为了实现此方案，除了配置802.1x相关命令外，还需要在交换机上配置AAA方案，选择使用RADIUS或本地认证方案，以配合802.1x完成用户身份认证。

图1-11802.1x配置示意图

●             802.1x用户通过域名和交换机上配置的ISP域相关联。

●             配置ISP域使用的AAA方案，包括本地认证方案、RADIUS方案。

●             如果是需要本地认证，则需要在交换机上手动添加认证的用户名和密码，当用户使用和交换机中记录相同的用户名和密码，启动802.1x客户端软件进行认证时，就可以通过认证。

●             如果采用RADIUS方案，通过远端的RADIUS服务器进行认证，则需要在RADIUS服务器上配置相应的用户名和密码，然后在交换机上进行RADIUS客户端的相关设置。

●             也可以配置交换机先采用RADIUS方案，通过RADIUS服务器进行认证，如果RADIUS服务器无效，则使用本地认证。

AAA方案的具体配置细节，请参见“AAA操作手册”中的配置部分。

1.3 配置802.1x基本功能

1.3.1 配置准备

●             配置ISP域及其使用的AAA方案，选择使用RADIUS或者本地认证方案，以配合802.