• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

11-安全配置指导

目录

02-802.1X配置

本章节下载 02-802.1X配置  (456.73 KB)

02-802.1X配置


1 802.1X

说明

·     设备支持两种运行模式:独立运行模式和IRF模式,缺省情况为独立运行模式。有关IRF模式的介绍,请参见“虚拟化技术配置指导”中的“IRF”。

·     CSPEX-1204单板不支持配置本功能。

 

1.1  802.1X简介

最初,提出802.1X协议是为解决无线局域网的网络安全问题。后来,802.1X协议作为局域网的一种普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。

802.1X协议是一种基于端口的网络接入控制协议,即在局域网接入设备的端口上对所接入的用户和设备进行认证,以便控制用户设备对网络资源的访问。

1.1.1  802.1X的体系结构

802.1X系统中包括三个实体:客户端(Client)、设备端(Device)和认证服务器(Authentication server),如图1-1所示。

图1-1 802.1X体系结构图

 

·     客户端是请求接入局域网的用户终端,由局域网中的设备端对其进行认证。客户端上必须安装支持802.1X认证的客户端软件。

·     设备端是局域网中控制客户端接入的网络设备,位于客户端和认证服务器之间,为客户端提供接入局域网的端口(物理端口或逻辑端口),并通过与认证服务器的交互来对所连接的客户端进行认证。

·     认证服务器用于对客户端进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。认证服务器根据设备端发送来的客户端认证信息来验证客户端的合法性,并将验证结果通知给设备端,由设备端决定是否允许客户端接入。在一些规模较小的网络环境中,认证服务器的角色也可以由设备端来代替,即由设备端对客户端进行本地认证、授权和计费。

1.1.2  802.1X对端口的控制

1. 受控/非受控端口

设备端为客户端提供的接入局域网的端口被划分为两个逻辑端口:受控端口和非受控端口。任何到达该端口的帧,在受控端口与非受控端口上均可见。

·     非受控端口始终处于双向连通状态,主要用来传递认证报文,保证客户端始终能够发出或接收认证报文。

·     受控端口在授权状态下处于双向连通状态,用于传递业务报文;在非授权状态下禁止从客户端接收任何报文。

2. 授权/非授权状态

设备端利用认证服务器对需要接入局域网的客户端进行认证,并根据认证结果(Accept或Reject)对受控端口的授权状态进行相应地控制。

图1-2显示了受控端口上不同的授权状态对通过该端口报文的影响。图中对比了两个802.1X认证系统的端口状态。系统1的受控端口处于非授权状态,不允许报文通过;系统2的受控端口处于授权状态,允许报文通过。

图1-2 受控端口上授权状态的影响

 

3. 受控方向

在非授权状态下,受控端口可以处于单向受控或双向受控状态。

·     处于双向受控状态时,禁止帧的发送和接收;

·     处于单向受控状态时,禁止从客户端接收帧,但允许向客户端发送帧。

说明

 

1.1.3  802.1X认证报文的交互机制

802.1X系统使用EAP(Extensible Authentication Protocol,可扩展认证协议)来实现客户端、设备端和认证服务器之间认证信息的交互。EAP是一种C/S模式的认证框架,它可以支持多种认证方法,例如MD5-Challenge、EAP-TLS(Extensible Authentication Protocol -Transport Layer Security,可扩展认证协议-传输层安全)、PEAP(Protected Extensible Authentication Protocol,受保护的扩展认证协议)等。在客户端与设备端之间,EAP报文使用EAPOL(Extensible Authentication Protocol over LAN,局域网上的可扩展认证协议)封装格式承载于数据帧中传递。在设备端与RADIUS服务器之间,EAP报文的交互有EAP中继和EAP终结两种处理机制。

1. EAP中继

设备端对收到的EAP报文进行中继,使用EAPOR(EAP over RADIUS)封装格式将其承载于RADIUS报文中发送给RADIUS服务器。

图1-3 EAP中继原理示意图

 

该处理机制下,EAP认证过程在客户端和RADIUS服务器之间进行。RADIUS服务器作为EAP服务器来处理客户端的EAP认证请求,设备相当于一个中继,仅对EAP报文做中转。因此,设备处理简单,并能够支持EAP的各种认证方法,但要求RADIUS服务器支持相应的EAP认证方法。

说明

RADIUS服务器不能支持EAP认证,或者实际网络环境中未部署RADIUS服务器的情况下,如果希望使用EAP中继模式来支持多种EAP认证方法,则还需要在设备上配置专门的本地EAP服务器来协助完成EAP认证。

2. EAP终结

设备对EAP认证过程进行终结,将收到的EAP报文中的客户端认证信息封装在标准的RADIUS报文中,与服务器之间采用PAP(Password Authentication Protocol,密码验证协议)或CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)方法进行认证。

图1-4 EAP终结原理示意图

 

该处理机制下,由于现有的RADIUS服务器基本均可支持PAP认证和CHAP认证,因此对服务器无特殊要求,但设备端处理较为复杂。设备端需要作为EAP服务器来解析与处理客户端的EAP报文,且目前仅能支持MD5-Challenge类型的EAP认证以及iNode 802.1X客户端发起的“用户名+密码”方式的EAP认证。

说明

如果客户端采用了MD5-Challenge类型的EAP认证,则设备端只能采用CHAP认证;如果iNode 802.1X客户端采用了“用户名+密码”方式的EAP认证,设备上可选择使用PAP认证或CHAP认证,从安全性上考虑,通常使用CHAP认证。

 

1.1.4  EAP报文的封装

1. EAPOL数据帧的封装

(1)     EAPOL数据帧的格式

EAPOL是802.1X协议定义的一种承载EAP报文的封装技术,主要用于在局域网中传送客户端和设备端之间的EAP协议报文。EAPOL数据包的格式如图1-5所示。

图1-5 EAPOL数据包格式

 

·     PAE Ethernet Type:表示协议类型。EAPOL的协议类型为0x888E。

·     Protocol Version:表示EAPOL数据帧的发送方所支持的EAPOL协议版本号。

·     Type:表示EAPOL数据帧类型。目前设备上支持的EAPOL数据帧类型见表1-1

表1-1 EAPOL数据帧类型

类型值

数据帧类型

说明

0x00

EAP-Packet

认证信息帧,用于承载客户端和设备端之间的EAP报文。

0x01

EAPOL-Start

认证发起帧,用于客户端向设备端发起认证请求

0x02

EAPOL-Logoff

退出请求帧,用于客户端向设备端发起下线请求

 

·     Length:表示数据域的长度,也就是Packet Body字段的长度,单位为字节。当EAPOL数据帧的类型为EAPOL-Start或EAPOL-Logoff时,该字段值为0,表示后面没有Packet Body字段。

·     Packet Body:数据域的内容。

(2)     EAP报文的格式

当EAPOL数据帧的类型为EAP-Packet时,Packet Body字段的内容就是一个EAP报文,格式如图1-6所示。

图1-6 EAP报文格式

 

·     Code:EAP报文的类型,包括Request(1)、Response(2)、Success(3)和Failure(4)。

·     Identifier:用于匹配Request消息和Response消息的标识符。

·     Length:EAP报文的长度,包含Code、Identifier、Length和Data域,单位为字节。

·     Data:EAP报文的内容,该字段仅在EAP报文的类型为Request和Response时存在,它由类型域和类型数据两部分组成,例如,类型域为1表示Identity类型,类型域为4表示MD5 challenge类型。

2. EAP报文在RADIUS中的封装

RADIUS为支持EAP认证增加了两个属性:EAP-Message(EAP消息)和Message-Authenticator(消息认证码)。在含有EAP-Message属性的数据包中,必须同时包含Message-Authenticator属性。关于RADIUS报文格式的介绍请参见“安全配置指导”中的“AAA”的RADIUS协议简介部分。

(1)     EAP-Message

图1-7所示,EAP-Message属性用来封装EAP报文,Value域最长253字节,如果EAP报文长度大于253字节,可以对其进行分片,依次封装在多个EAP-Message属性中。

图1-7 EAP-Message属性封装

 

(2)     Message-Authenticator

图1-8所示,Message-Authenticator属性用于在EAP认证过程中验证携带了EAP-Message属性的RADIUS报文的完整性,避免报文被窜改。如果接收端对接收到的RADIUS报文计算出的完整性校验值与报文中携带的Message-Authenticator属性的Value值不一致,该报文会被认为无效而丢弃。

图1-8 Message-Authenticator属性封装

 

1.1.5  802.1X的认证触发方式

802.1X的认证过程可以由客户端主动发起,也可以由设备端发起。

1. 客户端主动触发方式

·     组播触发:客户端主动向设备端发送EAPOL-Start报文来触发认证,该报文目的地址为组播MAC地址01-80-C2-00-00-03。

·     广播触发:客户端主动向设备端发送EAPOL-Start报文来触发认证,该报文的目的地址为广播MAC地址。该方式可解决由于网络中有些设备不支持上述的组播报文,而造成设备端无法收到客户端认证请求的问题。

说明

目前,iNode的802.1X客户端可支持广播触发方式。

 

2. 设备端主动触发方式

设备端主动触发方式用于支持不能主动发送EAPOL-Start报文的客户端,例如Windows XP自带的802.1X客户端。设备主动触发认证的方式分为以下两种:

·     组播触发:设备每隔一定时间(缺省为30秒)主动向客户端组播发送Identity类型的EAP-Request帧来触发认证。

·     单播触发:当设备收到源MAC地址未知的报文时,主动向该MAC地址单播发送Identity类型的EAP-Request帧来触发认证。若设备端在设置的时长内没有收到客户端的响应,则重发该报文。

1.1.6  802.1X的认证过程

设备端支持采用EAP中继方式或EAP终结方式与远端RADIUS服务器交互。以下关于802.1X认证过程的描述,都以客户端主动发起认证为例。

1. EAP中继方式

这种方式是IEEE 802.1X标准规定的,将EAP承载在其它高层协议中,如EAP over RADIUS,以便EAP报文穿越复杂的网络到达认证服务器。一般来说,需要RADIUS服务器支持EAP属性:EAP-Message和Message-Authenticator。

图1-9所示,以MD5-Challenge类型的EAP认证为例,具体认证过程如下。

图1-9 IEEE 802.1X认证系统的EAP中继方式认证流程

 

(1)     当用户需要访问外部网络时打开802.1X客户端程序,输入用户名和密码,发起连接请求。此时,客户端程序将向设备端发出认证请求帧(EAPOL-Start),开始启动一次认证过程。

(2)     设备端收到认证请求帧后,将发出一个Identity类型的请求帧(EAP-Request/Identity)要求用户的客户端程序发送输入的用户名。

(3)     客户端程序响应设备端发出的请求,将用户名信息通过Identity类型的响应帧(EAP-Response/Identity)发送给设备端。

(4)     设备端将客户端发送的响应帧中的EAP报文封装在RADIUS报文(RADIUS Access-Request)中发送给认证服务器进行处理。

(5)     RADIUS服务器收到设备端转发的用户名信息后,将该信息与数据库中的用户名列表对比,找到该用户名对应的密码信息,用随机生成的一个MD5 Challenge对密码进行加密处理,同时将此MD5 Challenge通过RADIUS Access-Challenge报文发送给设备端。

(6)     设备端将RADIUS服务器发送的MD5 Challenge转发给客户端。

(7)     客户端收到由设备端传来的MD5 Challenge后,用该Challenge对密码进行加密处理,生成EAP-Response/MD5 Challenge报文,并发送给设备端。

(8)     设备端将此EAP-Response/MD5 Challenge报文封装在RADIUS报文(RADIUS Access-Request)中发送给RADIUS服务器。

(9)     RADIUS服务器将收到的已加密的密码信息和本地经过加密运算后的密码信息进行对比,如果相同,则认为该用户为合法用户,并向设备端发送认证通过报文(RADIUS Access-Accept)。

(10)     设备收到认证通过报文后向客户端发送认证成功帧(EAP-Success),并将端口改为授权状态,允许用户通过端口访问网络。

(11)     用户在线期间,设备端会通过向客户端定期发送握手报文的方法,对用户的在线情况进行监测。

(12)     客户端收到握手报文后,向设备发送应答报文,表示用户仍然在线。缺省情况下,若设备端发送的两次握手请求报文都未得到客户端应答,设备端就会让用户下线,防止用户因为异常原因下线而设备无法感知。

(13)     客户端可以发送EAPOL-Logoff帧给设备端,主动要求下线。

(14)     设备端把端口状态从授权状态改变成未授权状态,并向客户端发送EAP-Failure报文。

说明

EAP中继方式下,需要保证在客户端和RADIUS服务器上选择一致的EAP认证方法,而在设备上,只需要通过dot1x authentication-method eap命令启动EAP中继方式即可。

 

2. EAP终结方式

这种方式将EAP报文在设备端终结并映射到RADIUS报文中,利用标准RADIUS协议完成认证、授权和计费。设备端与RADIUS服务器之间可以采用PAP或者CHAP认证方法。如图1-10所示,以CHAP认证为例,具体的认证流程如下。

图1-10 IEEE 802.1X认证系统的EAP终结方式认证流程

 

EAP终结方式与EAP中继方式的认证流程相比,不同之处在于用来对用户密码信息进行加密处理的MD5 challenge由设备端生成,之后设备端会把用户名、MD5 challenge和客户端加密后的密码信息一起发送给RADIUS服务器,进行相关的认证处理。

1.1.7  802.1X的接入控制方式

设备不仅支持协议所规定的基于端口的接入认证方式(Port-based),还对其进行了扩展、优化,支持基于MAC的接入控制方式(MAC-based)。

·     采用基于端口的接入控制方式时,只要该端口下的第一个用户认证成功后,其它接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其它用户也会被拒绝使用网络。

·     采用基于MAC的接入控制方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线后,也只有该用户无法使用网络。

1.2  802.1X支持VLAN下发

1.2.1  授权VLAN

802.1X用户在通过远程AAA/本地AAA认证时,远程AAA服务器/接入设备可以下发授权VLAN信息给用户的接入端口。

1. 远程AAA授权

该方式下,需要在服务器上指定下发给用户的授权VLAN信息,下发的授权VLAN信息可以有多种形式,包括数字型VLAN和字符型VLAN,字符型VLAN又可分为VLAN名称、携带后缀的VLAN ID(后缀用于标识是否携带Tag)。

设备收到服务器的授权VLAN信息后,首先对其进行解析,只要解析成功,即以对应的方法下发授权VLAN;如果解析不成功,则用户认证失败。

·     若认证服务器下发的授权VLAN信息为一个VLAN ID或一个VLAN名称,则仅当对应的VLAN存在,且不为动态学习到的VLAN、保留VLANSuper VLAN时,该VLAN才是有效的授权VLAN。

·     若认证服务器下发的授权VLAN信息为一个包含若干个“VLAN ID+后缀”形式的字符串,则只有第一个不携带后缀或者携带untagged后缀的VLAN将被解析为唯一的untagged的授权VLAN,其余VLAN都被解析为tagged的授权VLAN。例如服务器下发字符串“1u 2t 3”,其中的ut均为后缀,分别表示untagged和tagged。该字符串被解析之后,VLAN 1为untagged的授权VLAN,VLAN 2和VLAN 3为tagged的授权VLAN。该方式下发的授权VLAN仅对端口链路类型为Hybrid或Trunk,且802.1X接入控制方式为Port-based的端口有效。

¡     端口的缺省VLAN将被修改为untagged的授权VLAN。若不存在untagged的授权VLAN,则不修改端口的缺省VLAN。

¡     端口将允许所有解析成功的授权VLAN通过。

2. 本地AAA授权

该方式下,可以通过配置本地用户的授权属性指定下发给用户的授权VLAN信息,且只能指定一个授权VLAN。设备将此VLAN作为该本地用户的授权VLAN。关于本地用户的相关配置,请参见“安全配置指导”中的“AAA”。

3. 不同类型的端口加入授权VLAN

无论是远程AAA授权,还是本地AAA授权,除了认证服务器下发“VLAN ID+后缀”形式的字符串之外,其它情况下设备均会根据用户认证上线的端口链路类型,按照表1-2将端口加入指定的授权VLAN中。

表1-2 不同类型的端口加入授权VLAN

接入控制方式

Access端口

Trunk端口

Hybrid端口

Port-based

·     加入授权VLAN

·     缺省VLAN修改为授权VLAN

·     允许授权VLAN通过

·     缺省VLAN修改为授权VLAN

·     允许授权VLAN以不携带Tag的方式通过

·     缺省VLAN修改为授权VLAN

MAC-based

·     加入第一个通过认证的用户的授权VLAN

·     缺省VLAN修改为第一个通过认证的用户的授权VLAN

·     允许授权VLAN通过

·     缺省VLAN修改为第一个通过认证的用户的授权VLAN

·     允许授权VLAN以不携带Tag的方式通过

·     端口的缺省VLAN修改为第一个通过认证的用户的授权VLAN

说明:授权给所有用户的VLAN必须相同,否则仅第一个通过认证的用户可以成功上线。

 

授权VLAN并不影响端口的配置。但是,授权VLAN的优先级高于用户配置的VLAN,即通过认证后起作用的VLAN是授权VLAN,用户配置的VLAN在用户下线后生效。

说明

对于Hybrid端口,不建议把将要下发或已经下发的授权VLAN配置为携带Tag的方式加入端口。

 

1.3  802.1X支持ACL下发

802.1X支持ACL(Access Control List,访问控制列表)下发提供了对上线用户访问网络资源的过滤与控制功能。当用户上线时,如果RADIUS服务器上或接入设备的本地用户视图中指定了要下发给该用户的授权ACL,则设备会根据下发的授权ACL对用户所在端口的数据流进行过滤,仅允许ACL规则中允许的数据流通过该端口。由于服务器上或设备本地用户视图下指定的是授权ACL的编号,因此还需要在设备上创建该ACL并配置对应的ACL规则。管理员可以通过改变授权的ACL编号或设备上对应的ACL规则来改变用户的访问权限。

1.4  802.1X配置任务简介

表1-3 802.1X配置任务简介

配置任务

说明

详细配置

开启802.1X特性

必选

1.5.2 

配置802.1X系统的认证方法

必选

1.5.3 

配置端口的授权状态

可选

1.5.4 

配置端口接入控制方式

可选

1.5.5 

配置端口同时接入用户数的最大值

可选

1.5.6 

配置设备向接入用户发送认证请求报文的最大次数

可选

1.5.7 

配置802.1X认证超时定时器

可选

1.5.8 

配置在线用户握手功能

可选

1.5.9 

开启认证触发功能

可选

1.5.10 

配置端口的强制认证域

可选

1.5.11 

配置静默功能

可选

1.5.12 

配置重认证功能

可选

1.5.13 

配置802.1X支持的域名分隔符

可选

1.5.14 

 

1.5  配置802.1X

1.5.1  配置准备

802.1X需要AAA的配合才能实现对用户的身份认证。因此,需要首先完成以下配置任务:

·     配置802.1X用户所属的ISP认证域及其使用的AAA方案,即本地认证方案或RADIUS方案。

·     如果需要通过RADIUS服务器进行认证,则应该在RADIUS服务器上配置相应的用户名和密码。

·     如果需要本地认证,则应该在设备上手动添加认证的用户名和密码。配置本地认证时,用户使用的服务类型必须设置为lan-access

说明

RADIUS服务器不能支持EAP认证,或者使用本地认证的情况下,如果希望使用EAP中继模式来支持多种EAP认证方法,则还需要在设备上配置专门的本地EAP服务器来协助完成EAP认证。关于本地EAP认证以及AAA的具体配置请参见“安全配置指导”中的“AAA”。

 

1.5.2  开启802.1X

只有同时开启全局和端口的802.1X后,802.1X的配置才能在端口上生效。

开启802.1X时,需要注意的是,端口上开启802.1X之前,请保证端口未加入聚合组或业务环回组。

表1-4 开启802.1X

配置步骤

命令

说明

进入系统视图

system-view

-

开启全局的802.1X

dot1x

缺省情况下,全局的802.1X处于关闭状态

进入二层以太网接口视图

interface interface-type interface-number

-

开启端口的802.1X

dot1x

缺省情况下,端口的802.1X处于关闭状态

 

1.5.3  配置802.1X系统的认证方法

设备上的802.1X系统采用的认证方法与设备对于EAP报文的处理机制有关,具体如下:

·     若指定authentication-methodeap,则表示设备采用EAP中继认证方式。该方式下,设备端对客户端发送的EAP报文进行中继处理,并能支持客户端与RADIUS服务器之间所有类型的EAP认证方法。

·     若指定authentication-methodchappap,则表示设备采用EAP终结认证方式,该方式下,设备端对客户端发送的EAP报文进行本地终结,并能支持与RADIUS服务器之间采用CHAP或PAP类型的认证方法。

表1-5 配置802.1X系统的认证方法

配置步骤

命令

说明

进入系统视图

system-view

-

配置802.1X系统的认证方法

dot1x authentication-method { chap | eap | pap }

缺省情况下,设备启用EAP终结方式,并采用CHAP认证方法

 

说明

如果采用EAP中继认证方式,则设备会把客户端输入的内容直接封装后发给服务器,这种情况下user-name-format命令的设置无效,user-name-format的介绍请参见“安全命令参考”中的“AAA”。

 

1.5.4  配置端口的授权状态

通过配置端口的授权状态,可以控制端口上接入的用户是否需要经过认证来访问网络资源。端口支持以下三种授权状态:

·     强制授权(authorized-force):表示端口始终处于授权状态,允许用户不经认证即可访问网络资源。

·     强制非授权(unauthorized-force):表示端口始终处于非授权状态,不允许用户进行认证。设备端不为通过该端口接入的客户端提供认证服务。

·     自动识别(auto):表示端口初始状态为非授权状态,仅允许EAPOL报文收发,不允许用户访问网络资源;如果用户通过认证,则端口切换到授权状态,允许用户访问网络资源。这也是最常用的一种状态。

表1-6 配置端口的授权状态

配置步骤

命令

说明

进入系统视图

system-view

-

进入二层以太网接口视图

interface interface-type interface-number

-

配置端口的授权状态

dot1x port-control { authorized-force | auto | unauthorized-force }

缺省情况下,端口的授权状态为auto

 

1.5.5  配置端口接入控制方式

设备支持两种端口接入控制方式:基于端口控制(portbased)和基于MAC控制(macbased)。

表1-7 配置端口接入控制方式

配置步骤

命令

说明

进入系统视图

system-view

-

进入二层以太网接口视图

interface interface-type interface-number

-

配置端口接入控制方式

dot1x port-method { macbased | portbased }

缺省情况下,端口采用的接入控制方式为macbased

 

1.5.6  配置端口同时接入用户数的最大值

由于系统资源有限,如果当前端口上接入的用户过多,接入用户之间会发生资源的争用。因此限制接入用户数可以使属于当前端口的用户获得可靠的性能保障。

表1-8 配置端口同时接入用户数的最大值

配置步骤

命令

说明

进入系统视图

system-view

-

进入二层以太网接口视图

interface interface-type interface-number

-

配置端口同时接入用户数的最大值

dot1x max-user user-number

缺省情况下,端口同时接入用户数的最大值为4294967295

 

1.5.7  配置设备向接入用户发送认证请求报文的最大次数

如果设备向用户发送认证请求报文后,在规定的时间里(可通过命令dot1x timer tx-period或者dot1x timer supp-timeout设定)没有收到用户的响应,则设备将向用户重发该认证请求报文,若设备累计发送认证请求报文的次数达到配置的最大值后,仍然没有得到用户响应,则停止发送认证请求。

表1-9 配置设备向接入用户发送认证请求报文的最大次数

配置步骤

命令

说明

进入系统视图

system-view

-

配置设备向接入用户发送认证请求报文的最大次数

dot1x retry max-retry-value

缺省情况下,设备最多可向接入用户发送2次认证请求报文

 

1.5.8  配置802.1X认证超时定时器

802.1X认证过程中会启动多个定时器以控制客户端、设备以及RADIUS服务器之间进行合理、有序的交互。可配置的802.1X认证定时器包括以下两种:

·     客户端认证超时定时器:当设备端向客户端发送了EAP-Request/MD5 Challenge请求报文后,设备端启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,设备端将重发该报文。

·     认证服务器超时定时器:当设备端向认证服务器发送了RADIUS Access-Request请求报文后,设备端启动该定时器,若在该定时器设置的时长内,设备端没有收到认证服务器的响应,设备端将重发认证请求报文。

一般情况下,无需改变认证超时定时器的值,除非在一些特殊或恶劣的网络环境下,才需要通过命令来调节。例如,用户网络状况比较差的情况下,可以适当地将客户端认证超时定时器值调大一些;还可以通过调节认证服务器超时定时器的值来适应不同认证服务器的性能差异。

表1-10 配置802.1X认证超时定时器

配置步骤

命令

说明

进入系统视图

system-view

-

配置客户端认证超时定时器

dot1x timer supp-timeout supp-timeout-value

缺省情况下,客户端认证超时定时器的值为30

配置认证服务器超时定时器

dot1x timer server-timeout server-timeout-value

缺省情况下,认证服务器超时定时器的值为100

 

1.5.9  配置在线用户握手功能

开启设备的在线用户握手功能后,设备会定期(时间间隔通过命令dot1x timer handshake-period设置)向通过802.1X认证的在线用户发送握手报文,以定期检测用户的在线情况。如果设备连续多次(通过命令dot1x retry设置)没有收到客户端的响应报文,则会将用户置为下线状态。

主要注意的是:

·     部分802.1X客户端不支持与设备进行握手报文的交互,因此建议在这种情况下,关闭设备的在线用户握手功能,避免该类型的在线用户因没有回应握手报文而被强制下线。

表1-11 配置在线用户握手功能

配置步骤

命令

说明

进入系统视图

system-view

-

(可选)配置握手定时器

dot1x timer handshake-period handshake-period-value

缺省情况下,握手定时器的值为15

进入二层以太网接口视图

interface interface-type interface-number

-

开启在线用户握手功能

dot1x handshake

缺省情况下,在线用户握手功能处于开启状态

 

1.5.10  开启认证触发功能

端口上开启认证触发功能后,设备会主动向该端口上的客户端发送认证请求来触发认证,以支持不能主动发送EAPOL-Start报文来发起认证的客户端。设备提供了以下两种类型的认证触发功能:

·     组播触发功能:启用了该功能的端口会定期(间隔时间通过命令dot1x timer tx-period设置)向客户端组播发送EAP-Request/Identity报文来检测客户端并触发认证。

·     单播触发功能:当启用了该功能的端口收到源MAC地址未知的报文时,会主动向该MAC地址单播发送EAP-Request/Identity报文,若端口在指定的时间内(通过命令dot1x timer tx-period设置)没有收到客户端的响应,则重发该报文(重发次数通过命令dot1x retry设置)。

配置认证触发功能时,请参考以下配置限制和指导:

·     若端口连接的802.1X客户端不能主动发起认证,则需要开启组播触发功能。

·     若端口连接的802.1X客户端不能主动发起认证,且仅部分802.1X客户端需要进行认证,为避免不希望认证或已认证的802.1X客户端收到多余的认证触发报文,则需要开启单播触发功能。

·     建议组播触发功能和单播触发功能不要同时开启,以免认证报文重复发送。

表1-12 开启认证触发功能

配置步骤

命令

说明

进入系统视图

system-view

-

(可选)配置用户名请求超时定时器

dot1x timer tx-period tx-period-value

缺省情况下,用户名请求超时定时器的值为30

进入二层以太网接口视图

interface interface-type interface-number

-

开启认证触发功能

dot1x { multicast-trigger | unicast-trigger }

缺省情况下,组播触发功能处于开启状态,单播触发功能处于关闭状态

 

1.5.11  配置端口的强制认证域

在端口上指定强制认证域为802.1X接入提供了一种安全控制策略。所有从该端口接入的802.1X用户将被强制使用指定的认证域来进行认证、授权和计费,从而防止用户通过恶意假冒其它域账号从本端口接入网络。另外,管理员也可以通过配置强制认证域对不同端口接入的用户指定不同的认证域,从而增加了管理员部署802.1X接入策略的灵活性。

表1-13 配置端口的强制认证域

配置步骤

命令

说明

进入系统视图

system-view

-

进入二层以太网接口视图

interface interface-type interface-number

-

指定端口上802.1X用户使用的强制认证域

dot1x mandatory-domain domain-name

缺省情况下,未指定802.1X用户使用的强制认证域

 

1.5.12  配置静默功能

当802.1X用户认证失败以后,设备需要静默一段时间(通过命令dot1x timer quiet-period设置)后再重新发起认证,在静默期间,设备不对802.1X认证失败的用户进行802.1X认证处理。

在网络处在风险位置,容易受攻击的情况下,可以适当地将静默定时器值调大一些,反之,可以将其调小一些来提高对用户认证请求的响应速度。

表1-14 开启静默定时器功能

配置步骤

命令

说明

进入系统视图

system-view

-

(可选)配置静默定时器

dot1x timer quiet-period quiet-period-value

缺省情况下,静默定时器的值为60

开启静默定时器功能

dot1x quiet-period

缺省情况下,静默定时器功能处于关闭状态

 

1.5.13  配置重认证功能

端口启动了802.1X的周期性重认证功能后,设备会根据周期性重认证定时器设定的时间间隔(由命令dot1x timer reauth-period设置)定期向该端口在线802.1X用户发起重认证,以检测用户连接状态的变化、确保用户的正常在线,并及时更新服务器下发的授权属性(例如ACL、VLAN)。

认证服务器可以通过下发RADIUS属性(session-timeout、terminal-action)来指定用户会话超时时长以及会话中止的动作类型。认证服务器上如何下发以上RADIUS属性的具体配置以及是否可以下发重认证周期的情况与服务器类型有关,请参考具体的认证服务器实现。

802.1X用户认证通过后,端口对用户的重认证功能具体实现如下:

·     当认证服务器下发了用户会话超时时长,且指定的会话中止动作为要求用户进行重认证,则无论设备上是否开启周期性重认证功能,端口都会在用户会话超时时长到达后对该用户发起重认证。

·     当认证服务器下发了用户会话超时时长,且指定的会话中止动作为要求用户下线时:

¡     若设备上开启了周期性重认证功能,且设备上配置的重认证定时器值小于用户会话超时时长,则端口会以重认证定时器的值为周期向该端口在线802.1X用户发起重认证;若设备上配置的重认证定时器值大于等于用户会话超时时长,则端口会在用户会话超时时长到达后强制该用户下线。

¡     若设备上未开启周期性重认证功能,则端口会在用户会话超时时长到达后强制该用户下线。

·     当认证服务器未下发用户会话超时时长时,是否对用户进行重认证,由设备上配置的重认证功能决定。

·     端口对用户进行重认证过程中,重认证服务器不可达时端口上的802.1X用户状态均由端口上的配置决定。

在用户名不改变的情况下,端口允许重认证前后服务器向该用户下发不同的VLAN

表1-15 配置重认证功能

配置步骤

命令

说明

进入系统视图

system-view

-

(可选)配置周期性重认证定时器

dot1x timer reauth-period reauth-period-value

缺省情况下,周期性重认证定时器的值为3600

进入二层以太网接口视图

interface interface-type interface-number

-

开启周期性重认证功能

dot1x re-authenticate

缺省情况下,周期性重认证功能处于关闭状态

(可选)配置重认证服务器不可达时端口上的802.1X用户保持在线状态

dot1x re-authenticate server-unreachable keep-online

缺省情况下,端口上的802.1X在线用户重认证时,若认证服务器不可达,则会被强制下线

 

1.5.14  配置802.1X支持的域名分隔符

每个接入用户都属于一个ISP域,该域是由用户登录时提供的用户名决定的,若用户名中携带域名,则设备使用该域中的AAA配置对用户进行认证、授权和计费,否则使用系统中的缺省域;若设备指定了802.1X的强制认证域,则无论用户名中是否携带域名,设备均使用指定的强制认证域。因此,设备能够准确解析用户名中的纯用户名和域名对于为用户提供认证服务非常重要。由于不同的802.1X客户端所支持的用户名域名分隔符不同,为了更好地管理和控制不同用户名格式的802.1X用户接入,需要在设备上指定802.1X可支持的域名分隔符。

目前,802.1X支持的域名分隔符包括@、\、.和/,对应的用户名格式分别为username@domain-name domain-name\usernameusername.domain-nameusername/domain-name,其中username为纯用户名、domain-name为域名。如果用户名中包含有多个域名分隔符字符,则设备仅将最后一个出现的域名分隔符识别为实际使用的域名分隔符,例如,用户输入的用户名为123/22\@abc,设备上指定802.1X支持的域名分隔符为/、\,则识别出的纯用户名为@abc,域名为123/22。

需要注意的是:

·     若要指定域名分隔符\,则必须在输入时使用转义操作符\,即输入\\

·     如果用户输入的用户名中不包含任何802.1X可支持的域名分隔符,则设备会认为该用户名并未携带域名,则使用系统中的缺省域对该用户进行认证。

·     若设备上指定发送给认证服务器的用户名携带域名(user-name-format with-domain),则发送给认证服务器的用户名包括三个部分:识别出的纯用户名、域名分隔符@、最终使用的认证域名。例如,用户输入的用户名为121.123/22\@abc,指定802.1X支持的域名分隔符为/、\、.,最终使用的认证域为xyz,则发送给认证服务器的用户名为@abc@xyz。user-name-format命令的具体介绍请参考“安全命令参考”中的“AAA”。

·     为保证用户信息可在认证服务器上被准确匹配到,设备上指定的802.1X支持的域名分隔符必须与认证服务器支持的域名分隔符保持一致,否则可能会因为服务器匹配用户失败而导致用户认证失败。

表1-16 指定802.1X支持的域名分隔符

配置步骤

命令

说明

进入系统视图

system-view

-

指定802.1X支持的域名分隔符

dot1x domain-delimiter string

缺省情况下,仅支持域名分隔符@

 

1.6  802.1X显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后802.1X的运行情况,通过查看显示信息验证配置的效果。

在用户视图下,执行reset命令可以清除802.1X的统计信息。

表1-17 802.1X显示和维护

操作

命令

显示802.1X的会话连接信息、相关统计信息或配置信息

display dot1x [ sessions | statistics ] [ interface interface-type interface-number ]

显示当前802.1X在线用户的详细信息(独立运行模式)

display dot1x connection [ interface interface-type interface-number | slot slot-number | user-mac mac-addr | user-name name-string ]

显示当前802.1X在线用户的详细信息(IRF模式)

display dot1x connection [ chassis chassis-number slot slot-number | interface interface-type interface-number  | user-name user-name | user-mac mac-addr ]

清除802.1X的统计信息

reset dot1x statistics [ interface interface-type interface-number ]

 

1.7  802.1X典型配置举例

1.7.1  802.1X认证配置举例

1. 组网需求

用户通过Device的端口GigabitEthernet1/0/1接入网络,设备对该端口接入的用户进行802.1X认证以控制其访问Internet,具体要求如下:

·     由两台RADIUS服务器组成的服务器组与Device相连,其IP地址分别为10.1.1.1/24和10.1.1.2/24,使用前者作为主认证/计费服务器,使用后者作为备份认证/计费服务器。

·     端口GigabitEthernet1/0/1下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。

·     认证时,首先进行RADIUS认证,如果RADIUS服务器没有响应则进行本地认证。

·     所有接入用户都属于同一个ISP域bbb。

·     Device与RADIUS认证服务器交互报文时的共享密钥为name、与RADIUS计费服务器交互报文时的共享密钥为money。

2. 组网图

图1-11 802.1X认证组网图

 

3. 配置步骤

说明

·     下述配置步骤中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍请参见“安全命令参考”中的“AAA”。

·     完成802.1X客户端的配置。若使用H3C iNode 802.1X客户端,为保证备选的本地认证可成功进行,请确认802.1X连接属性中的“上传客户端版本号”选项未被选中。

·     完成RADIUS服务器的配置,添加用户帐户,保证用户的认证/授权/计费功能正常运行。

 

(1)     配置各接口的IP地址(略)

(2)     配置本地用户

# 添加网络接入类本地用户,用户名为localuser,密码为明文输入的localpass。(此处添加的本地用户的用户名和密码需要与服务器端配置的用户名和密码保持一致,本例中的localuser仅为示例,请根据实际情况配置)

<Device> system-view

[Device] local-user localuser class network

[Device-luser-network-localuser] password simple localpass

# 配置本地用户的服务类型为lan-access

[Device-luser-network-localuser] service-type lan-access

[Device-luser-network-localuser] quit

(3)     配置RADIUS方案

# 创建RADIUS方案radius1并进入其视图。

[Device] radius scheme radius1

# 配置主认证/计费RADIUS服务器的IP地址。

[Device-radius-radius1] primary authentication 10.1.1.1

[Device-radius-radius1] primary accounting 10.1.1.1

# 配置备份认证/计费RADIUS服务器的IP地址。

[Device-radius-radius1] secondary authentication 10.1.1.2

[Device-radius-radius1] secondary accounting 10.1.1.2

# 配置Device与认证/计费RADIUS服务器交互报文时的共享密钥。

[Device-radius-radius1] key authentication simple name

[Device-radius-radius1] key accounting simple money

# 配置发送给RADIUS服务器的用户名不携带域名。

[Device-radius-radius1] user-name-format without-domain

[Device-radius-radius1] quit

说明

 

(4)     配置ISP

# 创建域bbb并进入其视图。

[Device] domain bbb

# 配置802.1X用户使用RADIUS方案radius1进行认证、授权、计费,并采用local作为备选方法。

[Device-isp-bbb] authentication lan-access radius-scheme radius1 local

[Device-isp-bbb] authorization lan-access radius-scheme radius1 local

[Device-isp-bbb] accounting lan-access radius-scheme radius1 local

[Device-isp-bbb] quit

(5)     配置802.1X

# 开启端口GigabitEthernet1/0/1的802.1X。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1]]port link-mode bridge

[Device-GigabitEthernet1/0/1] dot1x

# 配置端口的802.1X接入控制方式为mac-based(该配置可选,因为端口的接入控制在缺省情况下就是基于MAC地址的)。

[Device-GigabitEthernet1/0/1] dot1x port-method macbased

# 指定端口上接入的802.1X用户使用强制认证域bbb。

[Device-GigabitEthernet1/0/1] dot1x mandatory-domain bbb

[Device-GigabitEthernet1/0/1] quit

# 开启全局802.1X。

[Device] dot1x

4. 验证配置

使用命令display dot1x interface可以查看端口GigabitEthernet1/0/1上的802.1X的配置情况。当802.1X用户输入正确的用户名和密码成功上线后,可使用命令display dot1x sessions查看到上线用户的连接情况。

1.7.2  802.1X支持ACL下发配置举例

1. 组网需求

用户通过Device的端口GigabitEthernet1/0/1接入网络,Device对该端口接入的用户进行802.1X认证以控制其访问Internet,具体要求如下:

·     使用RADIUS服务器10.1.1.1/24作为认证/授权服务器,RADIUS服务器10.1.1.2/24作为计费服务器;

·     通过认证服务器下发ACL,禁止上线的802.1X用户在工作日的工作时间(8:00~18:00)访问IP地址为10.0.0.1/24的FTP服务器。

2. 组网图

图1-12 802.1X支持ACL下发典型组网图

 

3. 配置步骤

说明

·     下述配置步骤中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍请参见“安全命令参考”中的“AAA”。

·     完成802.1X客户端的配置,并保证接入端口加入授权VLAN之后客户端能够及时更新IP地址,以实现与相应网络资源的互通。

·     完成RADIUS服务器的配置,添加用户帐户,指定要授权下发的ACL(本例中为ACL 3000),并保证用户的认证/授权/计费功能正常运行。

 

# 配置各接口的IP地址(略)。

# 配置RADIUS方案。

<Device> system-view

[Device] radius scheme 2000

[Device-radius-2000] primary authentication 10.1.1.1 1812

[Device-radius-2000] primary accounting 10.1.1.2 1813

[Device-radius-2000] key authentication simple abc

[Device-radius-2000] key accounting simple abc

[Device-radius-2000] user-name-format without-domain

[Device-radius-2000] quit

# 配置ISP域的AAA方法。

[Device] domain bbb

[Device-isp-bbb] authentication lan-access radius-scheme 2000

[Device-isp-bbb] authorization lan-access radius-scheme 2000

[Device-isp-bbb] accounting lan-access radius-scheme 2000

[Device-isp-bbb] quit

# 配置名为ftp的时间段,其时间范围为每周工作日的8点到18点。

[Device] time-range ftp 8:00 to 18:00 working-day

# 配置ACL 3000,拒绝用户在工作日的工作时间内访问FTP服务器10.0.0.1的报文通过。

[Device] acl number 3000

[Device-acl-adv-3000] rule 0 deny ip destination 10.0.0.1 0 time-range ftp

[Device-acl-adv-3000] quit

# 开启全局802.1X。

[Device] dot1x

# 开启端口GigabitEthernet1/0/1的802.1X。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1]]port link-mode bridge

[Device-GigabitEthernet1/0/1] dot1x

4. 验证配置结果

当用户认证成功上线后,在工作日的工作时间Ping FTP服务器。

C:\>ping 10.0.0.1

 

Pinging 10.0.0.1 with 32 bytes of data:

 

Request timed out.

Request timed out.

Request timed out.

Request timed out.

 

Ping statistics for 10.0.0.1:

    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

由以上过程可知,用户无法ping通FTP服务器,说明认证服务器下发的ACL已对该用户生效。

1.8  常见配置错误举例

1.8.1  用户通过浏览器访问外部网络不能正确重定向

1. 故障现象

用户在浏览器中输入地址,但该HTTP访问不能被正确重定向到指定的URL服务器。

2. 故障分析

·     用户在浏览器地址栏内输入了字符串类型的地址。由于用户主机使用的操作系统首先会将这个字符串地址作为名字进行网络地址解析,如果解析不成功通常会以非X.X.X.X形式的网络地址发送ARP请求,这样的请求不能进行重定向;

·     用户在IE地址栏内输入了Free IP内的任意地址。设备会认为用户试图访问Free IP内的某台主机,而不对其进行重定向,即使这台主机不存在;

·     用户在配置和组网时没有将服务器加入Free IP,或者配置的URL为不存在的地址,或者该URL指向的服务器没有提供Web服务。

3. 处理过程

·     地址栏内输入的地址应该为X.X.X.X(点分十进制格式)的非Free IP地址才有效。

·     确保设备及服务器上的配置正确且有效。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们