1、1目 录第 1 章 802.1x 配置 .21.1 802.1x 简介 .21.1.1 802.1x 标准简介 .21.1.2 802.1x 体系结构 .21.1.3 802.1x 的认证过程 .31.1.4 802.1x 在以太网交换机中的实现 .31.2 802.1x 配置 .41.2.1 开启/关闭 802.1x 特性 .41.2.2 设置端口接入控制的模式 .41.2.3 设置端口接入控制方式 .51.2.4 检测通过代理登录交换机的用户 .51.2.5 设置端口接入用户数量的最大值 .61.2.6 设置允许 DHCP 触发认证 .61.2.7 设置 802.1x 用户的认证方法 .6
2、1.2.8 设置认证请求帧的最大可重复发送次数 .71.2.9 设置 802.1x 的握手报文的发送时间间隔 .71.2.10 配置定时器参数 .71.2.11 打开/关闭 quiet-period 定时器 .81.3 802.1x 的显示和调试 .81.4 802.1x 典型配置举例 .9第 2 章 AAA 和 RADIUS 协议配置 .122.1 AAA 和 RADIUS 协议简介 .122.1.1 AAA 概述 .122.1.2 RADIUS 协议概述 .122.1.3 AAA/RADIUS 在以太网交换机中的实现 .132.2 AAA 配置 .132.2.1 创建/删除 ISP 域 .
3、132.2.2 配置 ISP 域的相关属性 .142.2.3 创建本地用户 .152.2.4 设置本地用户的属性 .152.2.5 强制切断用户连接 .162.3 RADIUS 协议配置 .162.3.1 创建/删除 RADIUS 服务器组 .172.3.2 设置 RADIUS 服务器的 IP 地址和端口号 .172.3.3 设置 RADIUS 报文的加密密钥 .182.3.4 设置 RADIUS 服务器响应超时定时器 .182.3.5 设置 RADIUS 请求报文的最大传送次数 .192.3.6 设置实时计费间隔 .192.3.7 设置允许实时计费请求无响应的最大次数 .202.3.8 使能
4、停止计费报文缓存功能 .202.3.9 停止计费报文最大重发次数设置 .212.3.10 设置支持何种类型的 RADIUS 服务器 .212.3.11 设置 RADIUS 服务器的状态 .212.3.12 设置发送给 RADIUS 服务器的用户名格式 .2222.3.13 设置发送给 RADIUS 服务器的数据流的单位 .222.3.14 配置本机 RADIUS 服务器组 .222.4 AAA 和 RADIUS 协议的显示和调试 .232.5.1 FTP/Telnet 用户远端 RADIUS 服务器认证配置 .242.5.2 FTP/Telnet 用户本地 RADIUS 服务器认证配置 .25
5、2.6 AAA 和 RADIUS 协议故障的诊断与排除 .25第 1 章 802.1x 配置1.1 802.1x 简介1.1.1 802.1x 标准简介IEEE 802.1x 标准(以下简称 802.1x)的主要内容是一种基于端口的网络接入控制(Port Based Network Access Control)协议,IEEE 于 2001 年颁布该标准文本并建议业界厂商使用其中的协议作为局域网用户接入认证的标准协议。802.1x 的提出起源于 IEEE 802.11 标准无线局域网用户接入协议标准,其最初目的主要是解决无线局域网用户的接入认证问题;但由于它的原理对于所有符合 IEEE 802
6、 标准的局域网具有普适性,因此后来它在有线局域网中也得到了广泛的应用。在符合 IEEE 802 标准的局域网中,只要与局域网接入控制设备如 LANSwitch 相接,用户就可以与局域网连接并访问其中的设备和资源。但是对于诸如电信接入、商务局域网(典型的例子是写字楼中的 LAN)以及移动办公等应用场合,局域网服务的提供者普遍希望能对用户的接入进行控制,为此产生了本章开始就提到的对“基于端口的网络接入控制”的需求。顾名思义,“基于端口的网络接入控制”是指在局域网接入控制设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则
7、无法访问局域网中的资源相当于连接被物理断开。802.1x 定义了基于端口的网络接入控制协议,并且仅定义了接入设备与接入端口间点到点这一种连接方式。其中端口既可以是物理端口,也可以是逻辑端口。典型的应用环境如:LANSwitch 的每个物理端口仅连接一个用户的计算机工作站(基于物理端口),IEEE 802.11 标准定义的无线 LAN 接入环境(基于逻辑端口)等。1.1.2 802.1x 体系结构使用 802.1x 的系统为典型的 C/S(Client/Server )体系结构,包括三个实体,如下图所示分别为:Supplicant System(接入系统)、Authenticator Syste
8、m(认证系统)以及Authentication Server System(认证服务器系统)。局域网接入控制设备需要提供 802.1x 的认证系统(Authenticator System)部分;用户侧的设备如计算机等需要安装 802.1x 的客户端(Supplicant)软件,如华为公司提供的 802.1x客户端(或如 Windows XP 自带的 802.1x 客户端);802.1x 的认证服务器系统(Authentication Server System)则一般驻留在运营商的 AAA 中心。Authenticator 与 Authentication Server 间通过 EAP(Ex
9、tensible Authentication Protocol,可扩展认证协议)帧交换信息,Supplicant 与 Authenticator 间则以 IEEE 802.1x 所定义的EAPoL(EAP over LANs,局域网上的 EAP)帧交换信息,EAP 帧中封装了认证数据,该认证数据将被封装在其它 AAA 上层协议(如 RADIUS)的报文中以穿越复杂的网络到达Authentication Server,这一过程被称为 EAP Relay。Authenticator 的端口又分为两种:非受控端口( Uncontrolled Port)和受控端口(Controlled Port)。
10、非受控端口始终处于双向连通状态,用户接入设备可以随时通过这些端口访问网络资源以获得服务;受控端口只有在用户接入设备通过认证后才处于连通状态,才允许用户通过其进一步访问网络资源。3图 1-1 802.1x 体系结构1.1.3 802.1x 的认证过程802.1x 通过 EAP 帧承载认证信息。标准中共定义了如下几种类型的 EAP 帧: EAP-Packet:认证信息帧,用于承载认证信息。 EAPoL-Start:认证发起帧,Supplicant 主动发起的认证发起帧。 EAPoL-Logoff:退出请求帧,主动终止已认证状态。 EAPoL-Key:密钥信息帧,支持对 EAP 报文的加密。 EAP
11、oL-Encapsulated-ASF-Alert:用于支持 Alert Standard Forum(ASF)的 Alerting消息。其中 EAPoL-Start、EAPoL-Logoff 和 EAPoL-Key 仅在 Supplicant 和 Authenticator 间存在;EAP-Packet 信息由 Authenticator System 重新封装后传递到 Authentication Server System;EAPoL-Encapsulated-ASF-Alert 与网管信息相关,由 Authenticator 终结。由上述的原理我们可以看到,802.1x 提供了一个用户
12、身份认证的实现方案,但是仅仅依靠802.1x 是不足以实现该方案的接入设备的管理者还要对 AAA 方法进行配置,选择使用RADIUS 或本地认证方法,以配合 802.1x 完成用户的身份认证。AAA 方法的具体配置细节,请参见本书的“AAA 和 RADIUS 协议配置”章节。1.1.4 802.1x 在以太网交换机中的实现Quidway 系列以太网交换机在 802.1x 的实现中,不仅支持协议所规定的端口接入认证方式,还对其进行了扩展、优化: 支持一个物理端口下挂接多个用户的应用场合; 接入控制方式(即对用户的认证方式)不仅可以基于端口,还可以基于 MAC 地址。这样可极大地提高系统的安全性和
13、可管理性。1.2 802.1x 配置802.1x 本身的各项配置任务都可以在以太网交换机的系统视图下完成。当全局 802.1x 没有开启时,可以对端口的 802.1x 状态进行配置,其配置项会在开启全局 802.1x 后生效。 说明:(1) 请不要同时启动 802.1x 与 RSTP(或 MSTP),两者同时启动时不能保证交换机的正常工作。(2) 如果端口启动了 802.1x,则不能配置该端口的最大 MAC 地址学习个数(通过命令 mac-address max-mac-count 配置),反之,如果端口配置了最大 MAC 地址学习 个数, 则禁止在该端口上启动 802.1x。802.1x 的
14、配置包括: 开启/关闭 802.1x 特性 设置端口接入控制的模式 设置端口接入控制方式 检测通过代理登录交换机的用户 设置端口接入用户数量的最大值 配置 802.1x 用户的认证方法 设置允许 DHCP 触发认证 设置认证请求帧的可重复发送次数 设置 802.1x 的握手报文的发送时间间隔 设置定时器参数4 打开/关闭 quiet period 定时器在以上的配置任务中,第一项任务是必配的,否则 802.1x 无法发挥作用;其余任务则是可选的,用户可以根据各自的具体需求决定是否进行这些配置。1.2.1 开启/关闭 802.1x 特性可以通过下面的命令开启/关闭指定端口上的 802.1x 特性
15、;当不指定任何确定的端口时,开启/关闭全局的 802.1x 特性。请在系统视图或以太网端口视图下进行下列配置。表 1-1 开启/关闭 802.1x 特性操作 命令开启 802.1x 特性 dot1x interface interface-list 关闭 802.1x 特性 undo dot1x interface interface-list 各端口的 802.1x 状态在全局 802.1x 没有开启之前可以配置,但不起作用;在全局 802.1x启动后,各端口配置会立即生效。缺省情况下,全局及端口的 802.1x 特性均为关闭状态。1.2.2 设置端口接入控制的模式可以通过下面的命令来设置
16、802.1x 在指定端口上进行接入控制的模式。当没有指定任何确定的端口时,设置的是所有端口进行接入控制的模式。请在系统或以太网端口视图下进行下列配置。表 1-2 设置端口接入控制的模式操作 命令设置端口接入控制的模式dot1x port-control authorized-force | unauthorized-force | auto interface interface-list 将端口接入控制的模式恢复为缺省值 undo dot1x port-control interface interface-list 缺省情况下,802.1x 在端口上进行接入控制的模式为 auto(自动识别
17、模式,又称为协议控制模式),即:端口初始状态为非授权状态,仅允许 EAPoL 报文收发,不允许用户访问网络资源;如果认证流程通过,则端口切换到授权状态,允许用户访问网络资源。这也是最常见的情况。1.2.3 设置端口接入控制方式可以通过下面的命令来设置 802.1x 在指定端口上进行接入控制方式。当没有指定任何确定的端口时,设置的是所有端口进行接入控制的方式。请在系统或以太网端口视图下进行下列配置。表 1-3 设置端口接入控制方式操作 命令设置端口接入控制方式 dot1x port-method macbased | portbased interface interface-list 将端口接
18、入控制方式恢复为缺省值 undo dot1x port-method interface interface-list 缺省情况下,802.1x 在端口上进行接入控制方式为 macbased,即基于 MAC 地址进行认证。1.2.4 检测通过代理登录交换机的用户可以通过下面的命令实现交换机对通过代理登录的用户的检测及相关控制。请在系统或以太网端口视图下进行下列配置。5表 1-4 设置通过代理登录交换机的用户的检测及控制操作 命令使能对通过代理登录交换机的用户的检测及控制dot1x supp-proxy-check logoff | trap interface interface-list 取
19、消对通过代理登录交换机的用户的检测及控制undo dot1x supp-proxy-check logoff | trap interface interface-list1.2.5 设置端口接入用户数量的最大值可以通过下面的命令来设置 802.1x 在指定端口上可容纳接入用户数量的最大值。当没有指定任何确定的端口时,指示所有端口都可容纳相同数量的接入用户。请在系统或以太网端口视图下进行下列配置。表 1-5 设置端口接入用户数量的最大值操作 命令设置端口接入用户数量的最大值 dot1x max-user user-number interface interface-list 将端口接入用户数
20、量的最大值恢复为缺省值 undo dot1x max-user interface interface-list 缺省情况下,除 S3026 以太网交换机外,802.1x 在 S3000 系列以太网交换机所有的端口上允许最多有 256 个接入用户,S3026 交换机为 64 个接入用户。1.2.6 设置允许 DHCP 触发认证可以通过下面的命令来设置 802.1x 是否允许以太网交换机在用户运行 DHCP、申请动态 IP地址时就触发对其的身份认证。请在系统视图下进行下列配置。表 1-6 设置允许 DHCP 触发认证操作 命令允许 DHCP 触发认证 dot1x dhcp-launch不允许 D
21、HCP 触发认证 undo dot1x dhcp-launch缺省情况下,不允许在用户运行 DHCP 申请动态 IP 地址时就触发对其的身份认证。1.2.7 设置 802.1x 用户的认证方法可以通过下面的命令来设置 802.1x 用户的认证方法。 目前提供 3 种认证方法:PAP 认证(该功能的实现,需要 RADIUS 服务器支持 PAP 认证)、CHAP 认证(该功能的实现,需要 RADIUS 服务器支持 CHAP 认证)、EAP 中继认证(直接把认证信息以 EAP 报文的形式发送给 RADIUS 服务器,该功能的实现,需要 RADIUS 服务器支持 EAP 认证)请在系统视图下进行下列配
22、置。表 1-7 设置 802.1x 用户认证方法操作 命令设置 802.1x 用户的认证方法 dot1x authentication-method chap | pap | eap md5-challenge 恢复缺省 802.1x 用户认证方法 undo dot1x authentication-method缺省情况下,交换机 802.1x 用户认证方法为 CHAP 认证。1.2.8 设置认证请求帧的最大可重复发送次数可以通过下面的命令来设置以太网交换机可重复向接入用户发送认证请求帧的最大次数。请在系统视图下进行下列配置。表 1-8 设置认证请求帧的最大可重复发送次数操作 命令设置认证请求
23、帧的最大可重复发送次数 dot1x retry max-retry-value将认证请求帧的最大可重复发送次数恢复为缺省值 undo dot1x retry缺省情况下,max-retry-value 为 3,即交换机最多可重复向接入用户发送 3 次认证请求帧。61.2.9 设置 802.1x 的握手报文的发送时间间隔可以通过下面的命令来设置设置 802.1x 的握手报文的发送时间间隔。配置后,系统以此间隔为周期发送握手请求报文。如果 dot1x retry 命令配置重试次数为 N,则系统连续 N 次没有收到客户端的响应报文,就认为用户已经下线,将用户置为下线状态。请在系统视图下进行下列配置。表
24、 1-9 设置 802.1x 的握手报文的发送时间间隔操作 命令设置 802.1x 的握手报文的发送时间间隔 dot1x timer handshake-period interval恢复时间间隔为缺省值 undo dot1x timer handshake-period缺省情况下,握手报文的发送时间间隔为 15 秒。1.2.10 配置定时器参数可以通过下面的命令来配置 802.1x 的各项定时器参数。请在系统视图下进行下列配置。表 1-10 配置定时器参数操作 命令配置定时器参数dot1x timer quiet-period quiet-period-value| tx-period tx
25、-period-value | supp-timeout supp-timeout-value | server-timeout server-timeout-value 将定时器参数恢复为缺省值 undo dot1x timer quiet-period | tx-period| supp-timeout | server-timeout 其中:quiet-period:静默定时器。当对 802.1x 用户认证失败以后,Authenticator 设备需要静默一段时间(该时间由静默定时器设置)后再重新发起认证,在静默期间,Authenticator 设备不进行 802.1x 认证的相关处理。
26、quiet-period-value:静默定时器设置的时长,取值范围 10120 ,单位为秒。server-timeout:Authentication Server 超时定时器。若在该定时器设置的时长内,Authentication Server 未成功响应, Supplicant 设备将重发认证请求报文。server-timeout-value:Authentication Server 超时定时器设置的时长,取值范围为100300,单位为秒。supp-timeout:Supplicant 认证超时定时器。若在该定时器设置的时长内,Supplicant 设备未成功响应,Authentica
27、tor 设备将重发认证请求报文。supp-timeout-value:Supplicant 认证超时定时器设置的时长,取值范围为 10120,单位为秒。tx-period:传送超时定时器。若在该定时器设置的时长内,Supplicant 设备未成功发送认证应答报文,则 Authenticator 设备将重发认证请求报文。tx-period-value:传送超时定时器设置的时长,取值范围为 10120,单位为秒。缺省情况下,quiet-period-value 为 60 秒;tx-period-value 为 30 秒;supp-timeout-value 为30 秒;server-timeout
28、-value 为 100 秒。1.2.11 打开/关闭 quiet-period 定时器可以通过下面的命令来打开/关闭 Authenticator 设备(如 Quidway 系列以太网交换机)的quiet-period 定时器。当 802.1x 用户认证失败以后,Authenticator 设备需要静默一段时间(该时间由静默定时器设置)后再重新发起认证,在静默期间,Authenticator 设备不进行802.1x 认证的相关处理。请在系统视图下进行下列配置。表 1-11 打开/关闭 quiet-period 定时器操作 命令打开 quiet-period 定时器 dot1x quiet-pe
29、riod 关闭 quiet-period 定时器 undo dot1x quiet-period1.3 802.1x 的显示和调试在完成上述配置后,在所有视图下执行 display 命令可以显示配置后 802.1x 的运行情况,通过查看显示信息验证配置的效果。7在用户视图下,执行 reset 命令可清除 802.1x 相关配置。在用户视图下,执行 debugging 命令可对 802.1x 进行调试。表 1-12 802.1x 的显示和调试操作 命令清除 802.1x 的统计信息 reset dot1x statistics interface interface-list 显示 802.1x 的配置、运行情况和统计信息display dot1x interface interface-list | sessions interfa
