准入控制802.1用户配置手册

《准入控制802.1用户配置手册》由会员分享，可在线阅读，更多相关《准入控制802.1用户配置手册（20页珍藏版）》请在装配图网上搜索。

1、802.1x 用户配置手册802.1x 用户配置手册11 实现功能22 总体流程22.1 802.1X 原理分析22.2 802.1X 认证流程32.3 802.1X 配置流程43 具体实现43.1 预备环境43.2 治理平台配置43.2.1 建立策略43.2.2 策略说明53.2.3 策略下发63.3 Radius 效劳器配置73.4 交换机配置16各厂商交换机配置161.Cisco2950 配置方法162.华为 3COM 3628 配置17101 实现功能随着以太网建设规模的快速扩大,网络上原有的认证系统已经不能很好的适应用户数 量急剧增加和宽带业务多样性的要求，造成网络终端接入治理混乱，

2、大量被植入木马、病毒的机器任凭接入网络，给网络内部资料的保密，和终端安全的治理带来极大考验。在此前提下IEEE 推出 802.1x 协议它是目前业界最的标准认证协议。802.1X 的消灭完毕了非法用户未经授权进入内部网络，为企业内部安全架起一道强有力的根底安全保障。2 总体流程我们首先先了解下，802.1X 协议的原来与认证过程，在与内网安全治理程序的结合中， 如何设置 802.1X 协议，并便利了终端用户在接入方面的配置。2.1 802.1X 原理分析802.1x 协议起源于 802.11 协议，后者是IEEE 的无线局域网协议， 制订 802.1x 协议的初衷是为了解决无线局域网用户的接入

3、认证问题。IEEE802LAN 协议定义的局域网并不供给接入认证，只要用户能接入局域网掌握 设备 (如 LANS witch) ，就可以访问局域网中的设备或资源。这在早期企业网有线 LAN 应用环境下并不存在明显的安全隐患。但是随着移动办公及驻地网运营等应用的大规模进展，效劳供给者需要对用户的接入进展掌握和配置。尤其是 WLAN 的应用和LAN 接入在电信网上大规模开展，有必 要对端口加以掌握以实现用户级的接入掌握，802.lx 就是IEEE 为了解决基于端口的接入掌握 (Port-Based Network Access Contro1) 而定义的一个标准。IEEE 802.1X 是依据用户

4、ID 或设备，对网络客户端(或端口)进展鉴权的标准。该流程被称为“端口级别的鉴权”。它承受 RADIUS(远程认证拨号用户效劳)方法，并将其划分为三个不同小组:恳求方、认证方和授权效劳器。820.1X 标准应用于试图连接到端口或其它设备(如 Cisco Catalyst 交换机或 Cisco Aironet 系列接入点)(认证方)的终端设备和用户(恳求方)。认证和授权都通过鉴权效劳器(如 Cisco Secure ACS)后端通信实现。IEEE 802.1X 供给自动用户身份识别，集中进展鉴权、密钥治理和LAN 连接配置。如上所属，整个 802.1x 的实现设计三个局部，恳求者系统、认证系统和

5、认证效劳器系统。一下分别介绍三者的具体内容:l 恳求者系统恳求者是位于局域网链路一端的实体，由连接到该链路另一端的认证系统对其进展认证。恳求者通常是支持 802.1x 认证的用户终端设备，用户通过启动客户端软件发起802.lx 认证，后文的认证恳求者和客户端二者表达一样含义。l 认证系统认证系统对连接到链路对端的认证恳求者进展认证。认证系统通常为支持802. Lx 协议的网络设备，它为恳求者供给效劳端口，该端口可以是物理端口也可以 是规律端口，一般在用户接入设备 (如 LAN Switch 和 AP) 上实现 802.1x 认证。倎文的认证系统、认证点和接入设备三者表达一样含义。认证效劳器系统

6、认证效劳器是为认证系统供给认证效劳的实体，建议使用 RADIUS 效劳器来实现认证效劳器的认证和授权功能。恳求者和认证系统之间运行 802.1x 定义的 EAPO (Extensible Authentication Protocolover LAN)协议。当认证系统工作于中继方式时，认证系统与认证效劳器之间也运行 EAP 协议，EAP 帧中封装认证数据，将该协议承载在其它高层次协议中(如 RADIUS)，以便穿越简单的网络到达认证效劳器;当认证系统工作于终结方式时，认证系统终结 EAPoL 消息，并转换为其它认证协议(如 RADIUS)，传递用户认证信息给认证效劳器系统。认证系统每个物理端口

7、内部包含有受控端口和非受控端口。非受控端口始终处于双向连通状态，主要用来传递 EAPoL 协议帧，可随时保证接收认证恳求者发出的EAPoL 认证报文; 受控端口只有在认证通过的状态下才翻开，用于传递网络资源和效劳。2.2 802.1X 认证流程整个 802.1x 的认证过程可以描述如下(1) 客户端向接入设备发送一个EAPoL-Start 报文，开头 802.1x 认证接入;(2) 接入设备向客户端发送 EAP-Request/Identity 报文，要求客户端将用户名送上来;(3) 客户端回应一个EAP-Response/Identity 给接入设备的恳求，其中包括用户名;(4) 接入设备将

8、EAP-Response/Identity 报文封装到RADIUS Access-Request 报文中， 发送给认证效劳器;(5) 认证效劳器产生一个 Challenge，通过接入设备将 RADIUS Access-Challenge 报文发送给客户端，其中包含有EAP-Request/MD5-Challenge;(6) 接入设备通过EAP-Request/MD5-Challenge 发送给客户端，要求客户端进展认证(7) 客户端收到EAP-Request/MD5-Challenge 报文后，将密码和Challenge 做 MD5 算法后的Challenged-Pass-word，在EAP-

9、Response/MD5-Challenge 回应给接入设备(8) 接入设备将Challenge，Challenged Password 和用户名一起送到RADIUS 效劳器， 由 RADIUS 效劳器进展认证(9) RADIUS 效劳器依据用户信息，做 MD5 算法，推断用户是否合法，然后回应认证成功/失败报文到接入设备。假设成功，携带协商参数，以及用户的相关业务属性给用户授权。假设认证失败，则流程到此完毕;(10) 假设认证通过，用户通过标准的DHCP 协议 (可以是DHCP Relay) ，通过接入设备猎取规划的IP 地址;(11) 假设认证通过，接入设备发起计费开头恳求给RADIUS

10、用户认证效劳器;(12) RADIUS 用户认证效劳器回应计费开头恳求报文。用户上线完毕。2.3 802.1X 配置流程1.配置内网治理平台。2.Radius 效劳器配置。3在掌握台上建立策略。4将策略下发到客户端。5 .交换机的 802.1x 认证进展配置。6.配置完毕。3 具体实现3.1 预备环境l 效劳器环境：Radius Server：WINDOW 2003 IAS终端与内网安全治理效劳器端l 客户端环境：带 802.1X 功能的内网安全客户端l 网络设备环境：带 802.1X 认证功能的交换机3.2 治理平台配置3.2.1 建立策略登陆内网安全治理平台，在治理台上选择“策略配置建策略

11、802.1x”，选择后显示如以下图所示的界面：以上策略可以对所支持的交换机的型号、用户名、口令、检测连接间隔、是否认证失败后 的提示，以及重复认证的次数、重复认证间隔、是否本地认证。小提示：本地认证和 Radius 认证的区分：本地认证是客户端主动向交换机发起 802.1X 的认证恳求。而 Radius 认证是交换机向客户端发送认证恳求。本地认证是在下发策略后就开头向交换机发起认证恳求，发完恳求后就会在那里 等待交换机的回应包，假设交换机还没有配置 802.1x，不会向用户发送应答包，造成这次认证是失败的，用户可以考虑重起一下客户端，要不就得等到超时后进展其次次认证。在 Radius 认证它是

12、被动的等待交换机发起认证，不会存在这个问题。不勾选“是否本地认证”就是默认等待 Radius 认证，用户等待的时间可能会较长些，我们建议不要勾选“是否本地认证”。3.2.2 策略说明1、交换机型号：请选择你的交换机型号。现在支持的交换机的型号有：H3C3600、CISCO2900、CISCO2950、CISCO3500、CISCO3550 等，或询问技术人员2、用户名：交换机里配置验证的用户名。3、口令：交换机里配置验证的密码。4、检测连接间隔：在交换机里配置有握手时间，当验证成功后交换时机定时的向客户端发送在线恳求，用于探测客户端是否在线，所以在程序里会定时的 捕获交换机发的恳求包，但是在捕

13、获的时候会加一个超时推断，假设超过 了规定的时间还没有捕获交换机的恳求包，说明客户端现在是离线状态， 就会重发起认证。检测连接间隔的时间肯定要比在交换机配置的握手时 间长几秒。以免发生误认为交换机已和客户端失去连接。5、认证失败后提示：假设选择了这一项，认证超过规定的重复认证次数时 就会发一条报警日志。提示用户是否策略发送错误或是交换机并没开启 802.1x 认证。6、重复认证次数：设置当认证失败后，重复认证的次数。7、重复认证间隔：当用户连接超时后多长时间重复认证。8、是否为本地认证：交换机的认证分为本地认证和Radius 认证，要是本认证就打勾，要是Radius 就把这个勾去掉。策略内容输

14、入完后在选择属性页配置策略名称：如以下图：在属性页中输入策略名称等信息后，选择保存。3.2.3 策略下发在治理平台选择“策略配置 策略治理”，如图：找到刚刚建立的策略名对应的策略，点击分发，会进入到分发策略的界面，如以下图：选择要下发的客户端，点击提交，策略下发就完成了。3.3 Radius 效劳器配置1. 安装RADIUS进入添加/删除程序中的添加/删除 Windows 组件，选择网络效劳中的Internet 验证效劳2. 安装 IAS 后，进入IAS 配置界面3. 右键点击 RADIUS 客户端，选择建 RADIUS 客户端。客户端地址为验证交换机的治理地址，点击下一步。4. 选择RADI

15、US Standard，共享机密为交换机中所配置的key。点击完成。5. 右键点击远程访问策略，单击建远程访问策略。6. 为策略取一个名字，点击下一步7. 选择以太网，点击下一步8. 选择用户，点击下一步1. 使用 MD5 质询，点击下一步，并完成。2. 在右面板中右键点击所建的策略，选择属性，选择“授予远程访问权限”。3. 右键点击连接恳求策略，选择建连接恳求策略4. 选择自定义策略，并为该策略取个名字，点击下一步直至完成。20添加远程登录用户。在本地用户和组中建一个用户。5.右键点击建的用户，进入属性，选择隶属于，删除默认的USERS 组21. 点击拨入，设置为允许访问22. 组策略配置，

16、启用可复原密码加密6.重启 IAS，配置完成。3.4 交换机配置各厂商交换机配置1. Cisco2950 配置方法 Enable/*进入特权模式*/ config t /*进入全局配置模式*/aaa new-model /*启用 aaa 认证*/aaa authentication dot1x default group radius /* 配置 802.1x 认证使用 radius 效劳器数据库*/aaa authorization network default group radius/*VLAN 安排必需*/radius-serverhost192.168.1.132key123/*

17、指 定 radius服 务 器 地 址 为192.168.1.132，通信密钥为 123，端口不用制定，默认 1812 和 1813*/radius-server vsa send authentication /*配置 VLAN 安排必需使用 IETF 所规定的 VSA 值*/int vlan 1ip add 192.168.1.133 255.255.255.0no shut/*为交换机配置治理地址，以便和 radius 效劳器通信*/ int range f0/1 - 11dot1x port-control auto switchport mode access/*为 1 到 11 端

18、口配置 dot1x，12 端口不配*/dot1x guest-vlan ID VLAN 跳转命令exit/*退回全局配置模式*/ dot1x system-auth-control/*全局启动 dot1x*/2950 交换机上 VLAN 的配置vlan database vlan ID enableconfig tint range f0/1 20 switchport access vlan ID switchport mode access spanning-tree portfast2. 华为 3COM 3628 配置dis cu#sysname H3C #domain default

19、enable test #dot1xdot1x timer tx-period 10 dot1x retry 4#radius scheme system radius scheme test server-type standardprimary authentication 54.1.44.55primary accounting 54.1.44.55key authentication 123key accounting 123user-name-format without-domain #domain system domain testscheme radius-scheme te

20、st vlan-assignment-mode string #vlan 1 #vlan 46 #vlan 600 description guest #vlan 601 to 602 #interface Vlan-interface46ip address 54.1.46.250 255.255.255.0 #interface Aux1/0/0 #interface Ethernet1/0/1 port access vlan 600dot1x port-method portbased dot1x guest-vlan 601dot1x #interface Ethernet1/0/2

21、 #interface Ethernet1/0/3 #interface Ethernet1/0/4 #interface Ethernet1/0/5 #interface Ethernet1/0/6 #interface Ethernet1/0/7 #interface Ethernet1/0/8 #interface Ethernet1/0/9 #interface Ethernet1/0/10 #interface Ethernet1/0/11 #interface Ethernet1/0/12 #interface Ethernet1/0/13 #interface Ethernet1

22、/0/14 #interface Ethernet1/0/15 #interface Ethernet1/0/16 #interface Ethernet1/0/17 #interface Ethernet1/0/18 #interface Ethernet1/0/19 #interface Ethernet1/0/20 #interface Ethernet1/0/21 #interface Ethernet1/0/22 port access vlan 601#interface Ethernet1/0/23 #interface Ethernet1/0/24 #interface Gig

23、abitEthernet1/1/1 #interface GigabitEthernet1/1/2 #interface GigabitEthernet1/1/3 #interface GigabitEthernet1/1/4 port link-type trunkport trunk permit vlan 1 46 600 to 602 #undo irf-fabric authentication-mode #interface NULL0 #voice vlan mac-address 0001-e300-0000 mask ffff-ff00-0000 #ip route-static 0.0.0.0 0.0.0.0 54.1.46.1 preference 60 #user-interface aux 0 7user-interface vty 0 4 #return