|
一、 AC认证过程介绍 1. 在交换机上启用802.1x协议,PC使用自带或者认证助手发起开始认证请求,PC安 装客户端和交换机对接,通过802.1x协议完成认证; 2. 交换机收到请求之后,要求客户端提交用户信息; 3. 客户端会提交用户信息给到交换机(当为哑终端无法提交用户信息时提交终端 MAC信息,需要交换机配置MAB属性); 4. 交换机收到用户信息之后,将数据封装成RADIUS报文发送到AC; 5. AC完成校验,如果检验成功通过认证,发送认证成功报文给到交换机,交换机然 后放通端口,如果检验失败,发送认证失败报文给交换机,交换机不放通端口。 6. 完成用户上线后可以根据用户划分VLAN,AC上配置用户归属VLAN,认证通过后 将用户划分到对应的VLAN。 7. 针对哑终端,配合MAB认证,对哑终端进行放行。 8. 如果需要检查终端合规性,则开启准入功能。 9. 认证成功之后AC上是没有用户在线的,需要收到计费报文才开始走上线流程,上 线方式有三种 方式一:是交换机发带IP地址的RADIUS计费报文给AC(需要交换机配置支持); 方式二:另外一种是二层流量触发,终端和AC在同一个二层环境下通过ARP报文(广 播),DHCP报文(广播)拿到数据包中的IP和MAC地址信息; 方式三: 是跨三层取MAC地址,这种方式可以得到IP和MAC地址的对应关系,交换 机镜像ARP或者DHCP接到AC的镜像口,或者配置SNMP协议 二、 配置思路介绍 1. AC开启802.1x认证。 2. 账号配置:配置本地用户或者域用户。 3. 开启动态VLAN功能(可选)。 4. 交换机配置802.1x对接AC。 5. 交换机配置RADIUS计费报文发到AC,如果交换机不支持发送带IP地址的计费报 文,则交换机需要配置镜像口接到AC开启跨三层取MAC(通过镜像抓取ARP或者 DHCP报文;也可通过SNMP服务器获取)。 6. Windows终端选择自带的802.1x客户端或者使用认证助手认证 三、802.1x + 本地用户 1. 使用场景介绍 该场景是结合AC本地用户对接入终端做802.1x认证,交换机开启802.1x,终端输入 AC本地创建的用户名和密码完成认证。 操作步骤 步骤1. AC开启802.1x认证。 启用802.1X入网控制功能,并配置Radius认证和计费端口;配置的 Radius端口不能 与联动对接设置中Radius认证服务器冲突(AC内置两套Radius服务器,802.1x认证 使用Free Radius,联动对接设置中的Radius是在Portal对接中使用,两者端口不冲 突的情况下可以同时开启);若冲突,请修改联动对接设置中Radius认证服务器的端口,配置为其他端口。 步骤2. 认证服务器启用本地密码认证,导航菜单中的[接入管理/接入认证802.1x]点击 开始配置。当有认证数据发到AC时联动交换机会显示交换机的状态。 步骤3. 认证服务器选择本地密码时,在用户组中本地用户即可新建,如下图: 次环境交换机使用的配置如下图: 步骤5. 使用户能在AC上线:三种方式上线,可以通过交换机配置计费报文带IP发到 AC或者交换机配置镜像口接入到AC镜像口,通过抓取ARP或者DHCP包获取MAC或 者通过SNMP获取MAC地址。建议是通过计费报文的方式。下面以SNMP为例 步骤6. 配置SNMP服务器,需要交换机开启相关服务。 步骤7. 认证助手配置(这里介绍通过手动安装MSI包来安装准入客户端) 到AC平台下载准入客户端,如下图,两个下载入口,同时注意在AC控制台勾选开启 准入认证客户端802.1x功能才会生成快捷方式,还要注意填入准入客户端的网关地址, 填写AC设备的地址。如下图 步骤8. 解压之后以管理员权限安装singress.msi,注意勾选开启准入认证客户端 802.1x功能才会生成快捷方式。
步骤9. 安装完成之后会在桌面生成快捷方式。
步骤10. Window自带802.1x配置说明,见附录认证客户端配置方法。 用认证助手时注意右上角选择正确的网卡: 效果展示 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2024-4-18 08:04
工程师1级 
