##802.1x其实并不难之MAB##
  

杨锋 115791人觉得有帮助

{{ttag.title}}
本帖最后由 杨锋 于 2024-3-29 17:03 编辑

##802.1x其实并不难##
哈喽,大家好~
今天给大家简单写点802.1x有关的帖子,目的是帮助未落地过1x的同学快速上手。
有时间给大家整理一下802.1x认证有关的知识贴出来,1x落地的几种方式及相关配置后续会通过更多帖子分享给大家。
#802.1X-MAB方案#
工具准备:
交换机802.1x配置生成工具,下载链接:
https://support.sangfor.com.cn/productTool/read?product_id=22&id=14&category_id=0

华为/华三交换机查看交换机OS版本命令:display version

如图,显示版本为5.20 ,对应在工具内选择V5版本即可
如图,我没有思科交换机,也不想开模拟器 所以查看命令是:show version

前言:
什么是802.1x?
802.1x实际是一个协议,基于C/S客户端服务器模型,配置命令是dot1x ,是IEEE802.1X的缩写。
什么是MAB方案?
MAB是mac address bypass的缩写,是针对一系列无法安装802.1x认证工具的哑终端而设定的方案
802.1x和MAB方案区别在哪?
802.1x认证需要终端输入账号密码来校验身份,哑终端无法输入账号密码因此无法使用;MAB方案直接使用终端的mac地址作为身份ID和密码来认证,只需要管理员提前收集并绑定即可。
常见的哑终端有哪些?
IP电话、打印机,扫描仪以及各种带TCP/IP功能的有线入网设备。
802.1x在交换机侧实现哪一层的控制能力?
二层-逻辑链路层,直接控制端口的开放或者关闭。
               
                    
  
其他相关知识:百度会告诉你答案~
MAB方案工作流程(文字版-不下发vlan)
终端-------交换机--------802.1x服务器(此处是我们的全网AC)
终端网线接入交换机端口,交换机按照预先配置的MAB认证方式将终端的MAC地址作为用户名和密码通过radius报文发送给802.1x服务器,服务器校验是否存在该mac地址的信息,如果存在则返回通过信息给交换机,交换机通过终端的认证并发送计费报文给802.1x认证服务器,802.1x认证服务器响应计费报文即完成。
===============================================================================
配置核心要点
1. 需要使用全网AC,支持802.1x对接
2. 在AC接入管理-接入认证-802.1x认证里开启802.1x功能并配置radius密钥(界面勾选账号密码认证)
3. 创建本地用户(或者关联LDAP)并添加用户绑定关系
4. 使用802.1x工具生成交换机配置并刷入交换机
5. 交换机配置SNMP,AC开启跨三层取MAC进行对接
6. 使用测试电脑接入验证
=====================================开始配置==========================
1. 登录AC开启802.1x功能,配置radius密钥为123456(此处仅演示,生产环境一定要配置强密码);下方勾选账号密码认证--虽为MAB, 这里不勾选一个保存不了。
2. 使用802.1x工具生成配置 ,该工具是总部大佬-陈镇邦所作,有问题可以咨询他
3. 根据生成的配置刷入交换机
此处无图,按配置刷即可,有问题的建议优先BAIDU或者请教有经验的兄弟
交换机型号 版本不同,配置命令也不尽相同,配置文件仅供参考
4. 查看电脑有线网口对应mac地址(外置USB网卡就是外置网卡的MAC)
IPCONFIG/ALL查看
5. 在AC上添加用户并绑定MAC地址,一般绑定选择免认证且限制登录
6. 开启交换机SNMP(一般是在PC的网关交换机上开启),AC开启跨三层取MAC 使得用户可以正常在AC侧上线
         H3C/HUAWEI配置如下:
[H3C]snmP-agent
[H3C]snmp-agent community read public
7. 验证是否成功
  检查PC是否可以正常接入网络即可,一般是ping网关
AC侧可以查看系统日志打开调试日志且筛选freeradius ,看到有send postlogon 或者user 【xx】does not match any vlan policy 一般就是认证已经通过
最后
当AC串入网络时,在线用户内一般可以看到用户上线
AC旁路部署时,若没有做流量镜像至AC,则在AC上大概率看不到用户上线,此时判断用户是否认证成功就要依靠日志和终端侧验证
===============================================================================

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

发表新帖
热门标签
全部标签>
技术盲盒
每日一问
干货满满
西北区每日一问
安全效果
技术笔记
【 社区to talk】
新版本体验
功能体验
技术咨询
标准化排查
2023技术争霸赛专题
高手请过招
信服课堂视频
GIF动图学习
产品连连看
秒懂零信任
技术晨报
自助服务平台操作指引
每周精选
社区新周刊
技术圆桌
安装部署配置
每日一记
玩转零信任
纪元平台
场景专题
升级&主动服务
畅聊IT
答题自测
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
故障笔记
排障那些事
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版热帖

本版达人