802.1x协议概述 IEEE802委员会为解决无线局域网安全问题,提出了802.1X协议。后来,802.1X协议作为局域网接口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。802.1X协议是一种基于接口的网络接入控制协议。“基于接口的网络接入控制”是指在局域网接入设备的接口这一级,对所接入的用户设备通过认证来控制对网络资源的访问。 为什么要启用802.1x协议 现网中的已部署的桌面安全管理系统,对终端的准入控制是通过SACG(安全接入控制网关)来实现。由于SACG设备旁挂在核心或汇聚交换机,无法实现对局域网内部的准入控制,因此现计划在原有的桌面安全管理系统中加入802.1X认证控制,从而实现接入层的网络准入 1、组网方式 终端使用有线802.1X方式接入,用户认证成功后方可访问网络资源。 2、802.1x认证接入示意图 802.1X系统为典型的Client/Server结构,包括三个实体:终端、RADIUS客户端和RADIUS服务器。如图所示: 说明: 用户可以在终端802.1X客户端发起认证。 接入控制设备对所连接的终端进行认证。 RADIUS服务器是为接入控制设备提供认证服务,对用户进行认证、授权和计费。 CISCO交换机802.1x配置 常规配置: radius-server host 168.*.30.* auth-port 1812 acct-port 1813 key xxxxxx 主机 radius-server host 168.*.30.* auth-port 1812 acct-port 1813 key xxxxxx 备机 #配置RADIUS服务器地址及密钥 dot1x system-auth-control #全局下启用802.1x radius-server timeout 3 #指定认证包的超时时间为3秒 radius-server deadtime 3 #指定服务器死亡时间为3分钟 radius-server attribute nas-port format c #指定发起认证时nas-port字段的格式 ip radius source-interface xxx #指定发起认证请求的接口地址
设备型号:WS-C2960X-48TS-L,版本:15.2(2)E7 1、配置认证、授权和计费的默认方式均为radius aaa new-model aaa authentication dot1x default group radius aaa authorization network default group radius none aaa accounting dot1x default start-stop group radius 2、接口配置 interface xxxx switchport mode access switchport access vlan xx authentication event server dead action authorize vlan xx #服务器dead后,加入逃生vlan authentication host-mode multi-auth#若该接口对接的是HUB设备,可实现对HUB上设备分别进行认证,最多支持8个 authentication order mab dot1x#优先使用MAC旁路认证,若MAC旁路认证失败,则使用dot1x认证 authentication port-control auto#启用802.1x认证,若认证存在问题,且需要紧急恢复,将此条配置删除即可 authentication periodic#开启定期验证功能 authentication timer reauthenticate 7200#认证通过后,间隔7200秒会再次认证,认证期间不会中断连接,确保中断未发生改变 authentication timer restart 30#认证失败,间隔30S会重新认证一次 mab#开启MAC旁路认证 dot1x pae authenticator#设置接口的认证角色为认证者 spanning-tree portfast#开启端口快速转发模式
设备型号:WS-C2960-48TC-L,版本:12.2(55)SE12 1、配置认证、授权和计费的默认方式均为radius aaa new-model aaa authentication dot1x default group radius none #配置认证方式为radius,并开启逃生功能:当交换机无法连接到radius服务器时,认证方案为“none”,即不认证 aaa authorization network default group radius none aaa accounting dot1x default start-stop group radius 2、接口配置 interface xxxx switchport mode access switchport access vlan xx authentication host-mode multi-auth#若该接口对接的是HUB设备,可实现对HUB上设备分别进行认证,最多支持8个 authentication order mab dot1x#优先使用MAC旁路认证,若MAC认证失败,则使用dot1x认证 authentication port-control auto#启用802.1x认证,若认证存在问题,且需要紧急恢复,将此条配置删除即可 mab#开启MAC旁路认证 dot1x pae authenticator#设置接口的认证角色为认证者 spanning-tree portfast#开启端口快速转发模式
设备型号:WS-C2960-24TT-L,版本:12.2(44)SE6 1、配置认证、授权和计费的默认方式均为radius aaa new-model aaa authentication dot1x default group radius none #配置认证方式为radius,并开启逃生功能:当交换机无法连接到radius服务器时,认证方案为“none”,即不认证 aaa authorization network default group radius none aaa accounting dot1x default start-stop group radius 2、接口配置 interface xxxx switchport mode access switchport access vlan xx dot1x host-mode multi-host#若该接口对接的是HUB设备,可实现对HUB上设备分别进行认证,最多支持8个 dot1x port-control auto#启用802.1x认证,若认证存在问题,且需要紧急恢复,将此条配置删除即可 dot1x mac-auth-bypass#开启MAC旁路认证 dot1x pae authenticator#设置接口的认证角色为认证者 spanning-tree portfast#开启快速端口模式
华为交换机802.1x配置 设备型号:S2700-52P-EI-AC,版本:Version 5.70 (V100R006C05) 1、全局开启dot1x dot1x enable#开启802.1x dot1x authentication-method eap#指定认证方法为eap 2、创建radius服务器模板 radius-server template zhunru radius-server shared-key simple xxxxxx radius-server authentication 168.*.30.* 1812 radius-server authentication 168.*.30.* 1812 secondary radius-server accounting 168.*.30.* 1813 radius-server accounting 168.*.30.* 1813 secondary radius-server authorization 168.*.30.* shared-key simple xxxxxx server-group zhunru radius-server authorization 168.*.30.* shared-key simple xxxxxx server-group zhunru #配置RADIUS服务器地址及密钥 3、创建AAA认证方案 aaa authentication-scheme zhunru#创建AAA认证方案 authentication-mode radius none #调用此前配置好的服务器模版,并开启逃生功能:当交换机无法连接到radius服务器时,认证方案为“none”,即不认证。 accounting-scheme zhunru#创建AAA计费方案 accounting-mode radius accounting realtime 15 accounting start-fail online 4、创建认证域并绑定认证方案与模板 domain default authentication-scheme zhunru#绑定radius服务器模板 accounting-scheme zhunru#绑定AAA认证方案 radius-server zhunru#绑定AAA计费方案 5、接口上调用802.1x interface xxxx stp edged-port enable#开启快速端口模式 dot1x mac-bypass#开启802.1x并启用mac旁路认证方式 PS:华为交换机(V200R以上的版本)的802.1x认证分为传统和统一认证模式,以上的配置脚本为传统配置模式下的配置方法,如果使用以上配置脚本刷入时,发现有部分命令会报错,则该交换机是配置了统一认证模式(这种情况经常出现于S5720等中端交换机机型中),需要将模式切换成传统模式后,才能正常刷入配置。 切换命令为全局模式下:undo authentication unified-mode,模式切换后需重启设备才能生效。
H3C交换机802.1x配置 设备型号:S3100V3-52TP-EI,版本:Version 7.1.070, Release 6126P20 1、全局开启dot1x dot1x authentication-method eap #指定认证方法为eap port-security enable #开启端口保护 2、创建radius认证方案 radius scheme zhunru primary authentication 168.*.30.* key cipher xxxxxxxx primary accounting 168.*.30.* key cipher xxxxxxxx secondary authentication 168.*.30.* key cipher xxxxxxxx secondary accounting 168.*.30.* key cipher xxxxxxxx #配置RADIUS服务器地址及密钥 timer realtime-accounting 15 user-name-format without-domain # 配置发送给RADIUS服务器的用户名不携带域名 nas-ip x.x.x.x #指定发起认证请求的源地址 3、创建认证域,并在域内调用认证方法 domain zhunru authentication lan-access radius-scheme zhunru none #开启逃生功能:当交换机无法连接到radius服务器时,认证方案为“none”,即不认证 authorization lan-access radius-scheme zhunru none accounting lan-access radius-scheme zhunru none 4、指定默认域 domain default enable zhunru #配置计费方案 5、接口上调用802.1x interface xxxx stp edged-port dot1x mandatory-domain zhunru mac-authentication domain zhunru port-security port-mode userlogin-secure-or-mac-ext #同时开启802.1x认证与mac旁路认证,并且允许多个802.1x用户接入 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2024-8-16 08:53
技术专家2级 
