本帖最后由 杨锋 于 2024-3-29 17:03 编辑
##802.1x其实并不难## 哈喽,大家好~ 今天给大家简单写点802.1x有关的帖子,目的是帮助未落地过1x的同学快速上手。 有时间给大家整理一下802.1x认证有关的知识贴出来,1x落地的几种方式及相关配置后续会通过更多帖子分享给大家。 #802.1X-MAB方案# 工具准备: 交换机802.1x配置生成工具,下载链接: https://support.sangfor.com.cn/productTool/read?product_id=22&id=14&category_id=0
华为/华三交换机查看交换机OS版本命令:display version
如图,显示版本为5.20 ,对应在工具内选择V5版本即可 如图,我没有思科交换机,也不想开模拟器 所以查看命令是:show version
前言: 什么是802.1x? | 802.1x实际是一个协议,基于C/S客户端服务器模型,配置命令是dot1x ,是IEEE802.1X的缩写。 | | MAB是mac address bypass的缩写,是针对一系列无法安装802.1x认证工具的哑终端而设定的方案 | | 802.1x认证需要终端输入账号密码来校验身份,哑终端无法输入账号密码因此无法使用;MAB方案直接使用终端的mac地址作为身份ID和密码来认证,只需要管理员提前收集并绑定即可。 | | IP电话、打印机,扫描仪以及各种带TCP/IP功能的有线入网设备。 | | |
其他相关知识:百度会告诉你答案~ MAB方案工作流程(文字版-不下发vlan): 终端-------交换机--------802.1x服务器(此处是我们的全网AC) 终端网线接入交换机端口,交换机按照预先配置的MAB认证方式将终端的MAC地址作为用户名和密码通过radius报文发送给802.1x服务器,服务器校验是否存在该mac地址的信息,如果存在则返回通过信息给交换机,交换机通过终端的认证并发送计费报文给802.1x认证服务器,802.1x认证服务器响应计费报文即完成。 =============================================================================== 配置核心要点: 1. 需要使用全网AC,支持802.1x对接 2. 在AC接入管理-接入认证-802.1x认证里开启802.1x功能并配置radius密钥(界面勾选账号密码认证) 3. 创建本地用户(或者关联LDAP)并添加用户绑定关系 4. 使用802.1x工具生成交换机配置并刷入交换机 5. 交换机配置SNMP,AC开启跨三层取MAC进行对接 6. 使用测试电脑接入验证 =====================================开始配置========================== 1. 登录AC开启802.1x功能,配置radius密钥为123456(此处仅演示,生产环境一定要配置强密码);下方勾选账号密码认证--虽为MAB, 这里不勾选一个保存不了。 2. 使用802.1x工具生成配置 ,该工具是总部大佬-陈镇邦所作,有问题可以咨询他 3. 根据生成的配置刷入交换机 此处无图,按配置刷即可,有问题的建议优先BAIDU或者请教有经验的兄弟 交换机型号 版本不同,配置命令也不尽相同,配置文件仅供参考 4. 查看电脑有线网口对应mac地址(外置USB网卡就是外置网卡的MAC) IPCONFIG/ALL查看 5. 在AC上添加用户并绑定MAC地址,一般绑定选择免认证且限制登录 6. 开启交换机SNMP(一般是在PC的网关交换机上开启),AC开启跨三层取MAC 使得用户可以正常在AC侧上线 H3C/HUAWEI配置如下: [H3C]snmP-agent [H3C]snmp-agent community read public 7. 验证是否成功 检查PC是否可以正常接入网络即可,一般是ping网关; AC侧可以查看系统日志,打开调试日志且筛选freeradius ,看到有send postlogon 或者user 【xx】does not match any vlan policy 一般就是认证已经通过 最后: 当AC串入网络时,在线用户内一般可以看到用户上线 当AC旁路部署时,若没有做流量镜像至AC,则在AC上大概率看不到用户上线,此时判断用户是否认证成功就要依靠日志和终端侧验证 =============================================================================== | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员1级