802.1x 命令说明以及配置方法

最新推荐文章于 2025-02-24 20:16:23 发布
最新推荐文章于 2025-02-24 20:16:23 发布
阅读量5.8k 收藏 33
点赞数
文章标签: linux 网络 网络协议 tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lansefengbaolele/article/details/122555352
版权
  1. 802.1x 命令说明以及配置方法 
    1. 配置802.1x任务列表
  1. 配置端口的802.1x认证
  2. 配置802.1x多主机端口认证
  3. 配置802.1x的重认证
  4. 配置802.1x的认证重试次数
  5. 配置802.1x发送频率
  6. 配置混合MAB认证的刷新时间
  7. 配置混合MAB认证的老化时间
  8. 配置802.1x用户绑定
  9. 配置802.1xmac地址绑定
  10. 配置802.1x端口的认证方法
  11. 选择802.1x端口的认证类型
  12. 配置端口的mab认证
  13. 配置802.1x记账
  14. 配置802.1x guest-vlan
  15. 禁止拥有多网卡的Supplicant
  16. 802.1x恢复默认配置
  17. 监控802.1x认证配置和状态
    1. 配置802.1x任务
      1. 配置端口的802.1x认证

802.1x定义了三种端口的控制方式:强制认证通过、强制认证不通过和启动802.1x认证。

强制认证通过,表示端口已经认证通过,不需要再对端口进行认证,所有的用户都可以通过该端口进行数据访问控制;该模式是端口的默认模式。强制认证不通过,表示端口认证不通过,即使使用任何认证手段对端口进行认证,该端口都不会认证通过,所有的用户都无法通过该端口进行数据访问控制。

启动802.1x认证,即端口将运行802.1x认证协议,对访问该端口的用户进行802.1x认证,只有认证通过后用户都可以通过该端口进行数据访问控制。启动端口的802.1x的认证后还要配置AAA的认证方法。

在配置802.1x前,必须将802.1x功能使能,使用下面的命令可以使能802.1x:

命令

目的

 dot1x enable 

使能802.1x功能 。

使用下面的命令可以启动802.1x认证:

命令

目的

dot1x port-control auto

配置端口为802.1x协议认证模式。

aaa authentication dot1x {default |list name} method

配置802.1x的AAA认证。

选择802.1x控制方式,可以在接口配置模式下使用下面的任意一个命令:

命令

目的

dot1x port-control auto

端口启动802.1x认证。

dot1x port-control force-authorized

端口强制认证通过。

dot1x port-control force-unauthorized

端口强制认证不通过。

dot1x port-control misc-mab

多用户和mab认证的混杂模式

      1.   配置802.1x多用户认证

802.1x端口访问控制主要是对单个用户进行认证,其他用户不能同时进行认证和访问,除非前一个用户退出认证、访问过程。实际上,认证端口可能与多个用户相连接,为了使这些用户都能进行认证、访问,可以启动多用户认证功能。

多用户认证包含两种模式,一种是multiple-hosts模式:当用户进行认证时,只需要其中某一用户通过认证,就将端口置为up状态,其他用户无需认证也可以通过该端口进行访问;另一种是multiple-auth模式:交换机将对每个用户分别进行认证,每个用户认证之间互不影响。只要有一个用户认证成功,端口就up,只有当所有的用户都认证失败,即认证端口下不存在认证成功的用户时,端口才down。这样可以保证对每个用户分别认证,且一个用户认证失败不影响其他用户的正常访问权限。

注意multi-auth模式与guest vlan功能不能同时配置,与mab认证不能同时配置。修改端口的多用户认证模式后,会对端口下所有用户进行重新认证。

激活802.1x多主机端口认证,可以在接口配置模式下使用下面的任意一个命令:

命令

目的

dot1x authentication multiple-hosts

设置802.1x多主机端口访问模式。只需一个用户认证通过,端口就up。

dot1x authentication multiple-auth

设置802.1x多主机端口认证模式。每个用户认证之间互不影响。

      1.   配置802.1x的重认证

在认证通过后,为了保证认证客户端的合法性,间隔一段时间后还会向客户端发起认证,这时就需要启动重认证功能。

启动重认证功能,当端口认证通过以后,将会周期性的向主机进行认证请求。

配置重认证功能,可以使用下面的命令:

命令

目的

dot1x re-authentication

启动重认证功能。

dot1x timeout re-authperiod time

配置重认证的周期。

      1. 配置802.1x的认证重试次数

在认证失败之后交换机会继续发送request/ID报文来发起认证,当超过该次数的认证,客户机依然没有响应,认证将会被挂起。

配置重复认证次数功能,可以使用下面的命令:

命令

目的

dot1x reauth-max time

配置重认证失败后的重试次数。

      1. 配置802.1x发送频率

802.1x认证过程中,它会向客户主机发送数据报文,通过控制802.1x发送频率可以调节数据发送以保证客户主机的响应。

配置发送频率,可以使用下面的命令:

命令

目的

dot1x timeout tx-period time

设定802.1x报文发送频率。

      1. 配置混合MAB认证的刷新时间

该命令可以配置混合MAB认证的刷新时间在每个刷新事件中会重新读取端口下的动态mac地址

配置发送频率,可以使用下面的命令:

命令

目的

dot1x timeout misc-mab-refresh time

 设置混合MAB认证的刷新时间

      1. 配置混合MAB认证的老化时间

该命令可以配置配置混合MAB认证mac auth的老化时间。在每个刷新事件中会重新读取端口下的动态mac地址,如果该mac地址存在对应的auth,则刷新该auth的老化时间,如果不存在,则老化。

配置发送频率,可以使用下面的命令:

命令

目的

dot1x timeout misc-mab-aging time

 设置混合MAB认证的老化时间

      1. 配置802.1x用户绑定

802.1x认证时,可以将用户与某一个端口进行绑定,保证端口访问的安全。启动802.1x用户绑定功能,可以在接口配置模式下使用下面的命令:

  命令

目的

dot1x user-permit xxxz

配置端口下绑定的用户。

      1. 配置802.1x mac地址绑定

802.1x认证时,可以将mac地址与某一个端口进行绑定,保证端口访问的安全。启动802.1x mac地址绑定功能,可以在接口配置模式下使用下面的命令:

  命令

目的

dot1x macr-permit h:h:h:h:h:h 

配置端口下绑定的mac地址。

      1. 配置802.1x端口的认证方法

802.1x认证时不同的端口可以使用不同的认证方法,缺省时,802.1x认证使用default方法。

配置802.1x认证方法,可以在接口配置模式下使用下面的命令:

命令

目的

dot1x authentication method yyy

配置802.1x认证方法。

      1. 选择802.1x端口的认证类型

802.1x认证时可以选择认证类型,该类型将决定AAA使用Chap或Eap认证(eap认证支持md5-challenge和eap-tls方式);使用Chap时MD5所需的challenge将在本地产生,而使用Eap时challenge将在认证服务器上产生;每一个端口只使用一种认证类型,默认情况下该类型使用全局配置的认证类型,当端口配置了认证类型时就一直使用该认证类型,除非使用No命令恢复到默认值。

eap-tls采用电子证书作为认证凭证,遵循tls(Translation Layer Security)中handshake协议规范,具有更好的安全性。

配置认证类型,可以在全局配置模式下使用下面的命令:

命令

目的

dot1x authen-type {chap|eap}

选择chap或eap。

也可以在接口配置模式下使用下面的命令:

命令

目的

dot1x authentication type {chap|eap}

选择chap或eap或使用全局下的配置类型。

      1. 配置端口的mab认证

当对端设备无法使用802.1x客户端软件时,交换机使用Mab(MAC Authentication Bypass)认证方式,将对端设备的mac地址作为用户名和密码发往radius服务器进行认证。

注意:交换机上可以通过dot1x mabformat命令指定账号、密码格式,确保其与radius服务器上的设置一致。

开启 mab功能后,如果对端设备既没有发送eapol_start报文,也没有响应request_identity报文,超时后,交换机认为对端设备不支持802.1x认证客户端,转而进入mab认证过程交换机将获取到的设备的mac地址作为用户名和密码发送给radius服务器进行认证,如果在radius服务器上已经授权该mac地址,则认证成功,交换机允许用户通过该端口访问网络。

注意:开启mab认证时,不能同时配置multi-auth多主机认证模式。

开启mab认证,可以在接口配置模式下使用下面的命令:

命令

目的

dot1x mab

端口上开启mab认证功能。

可以在全局配置模式下使用下面的命令配置mac地址的格式:

命令

目的

dot1x mabformat{1|2|3|4|5|6}

可以选择格式1到格式6之间的六种mac地址格式中的一种。默认为格式1。

      1. 配置802.1x记帐

采用dot1x认证的同时,可以进行记帐,实现机制是,在dot1x认证通过后,判断是否在该认证接口下打开了记帐功能,如果是,则使用AAA接口发送记帐请求,在收到AAA模块的请求成功信息后,该接口才可以通过报文。

记帐方法可以采用AAA配置中各种记帐方法,相关内容请参考AAA配置。

为了保证记帐信息的准确性,在记帐开始后,dot1x会周期性的使用AAA接口向server端发送update信息,但根据AAA配置的不同,AAA模块决定是否真正发送该报文。

同时,请打开dot1x重认证功能,确保supplicant出现异常时,能够被交换机知晓。

为了打开dot1x记帐功能及配置记帐采用的方法,可以在接口配置模式下使用下面的命令:

命令

目的

dot1x accounting enable

打开802.1x记帐功能 

dot1x accounting method {method name}

配置记帐方法,缺省为default

      1. 配置802.1x guest-vlan

Guest-vlan功能可以在客户端没有响应时,给予相应端口有限的访问权限(例如下载客户端软件)。Guest-vlan可以是系统中任何一个已配置的vlan,如果配置的guest-vlan不满足该条件,则该端口无法进入该guest-vlan。

注意:认证失败没有访问权限。

全局模式下打开guest-vlan功能,使用下面的命令:

命令

目的

dot1x guest-vlan

在所有端口下打开guest-vlan功能

初始时,每个端口的guest-vlan id为0,此时即使打开了全局guest-vlan功能,也不起作用,只有在端口配置模式下,配置了guest-vlan id后,guest-vlan才起作用。

端口模式下使用下面命令配置guest-vlan id:

命令

目的

dot1x guest-vlan {id(1-4094)}

在端口下配置guest-vlan的Vlan id

      1. 禁止拥有多网卡的Supplicant

禁止拥有多张网络适配器的Supplicant端,防止代理的发生。可以在端口配置模式下使用下面的命令:

命令

目的

dot1x forbid multi-network-adapter

禁止拥有多张网络适配器的Supplicant端。

      1. 802.1x恢复默认配置

将所有的全局配置恢复到默认配置。可以在全局配置模式下使用下面的命令:

命令

目的

dot1x default

将所有的全局配置恢复到默认配置。

      1. 监控802.1x认证配置和状态

为了监控802.1x认证配置和状态,决定哪个802.1x参数需要调整,可以在管理模式下使用下面的命令:

命令

目的

show dot1x

 { interface|statistics|misc-mab-db }

802.1x认证配置和状态。

    1. 配置802.1x示例

Host A与交换机的端口G0/2相连,Host B与交换机的端口G0/4相连,Host C与交换机的端口G0/6相连,radius-server host的ip地址为192.168.20.2,radius的key为TST;端口G0/2的认证使用远程的radius认证并且使用了用户绑定和开启记账功能和重认证功能,端口G0/4的认证使用本地认证没使用用户绑定,但用eap类型,并且启用了Multi-hosts和开启guest-vlan功能,端口G0/6使用mab认证,mac地址格式为AA:BB:CC:DD:EE:FF。

全局的配置

username switch password 0 TST

username TST password 0 TST

aaa authentication dot1x TST-G0/2 group radius

aaa authentication dot1x TST-G0/4 local

aaa authentication dot1x TST-G0/6 group radius

aaa accounting network dot1x_acc start-stop group radius

dot1x enable

dot1x re-authentication

dot1x timeout re-authperiod 10

dot1x mabformat 2

dot1x guest-vlan

interface VLAN1

ip address 192.168.20.24 255.255.255.0

!

vlan 1-2

radius-server host 192.168.20.2 auth-port 1812 acct-port 1813

radius-server key TST

端口G0/2的配置

interface GigaEthernet0/2

 dot1x port-control auto

 dot1x authentication method TST-G0/2

 dot1x user-permit radius-TST

 dot1x accounting enable

 dot1x accounting method dot1x_acc

端口G0/4的配置

Interface GigaEthernet0/4 

 dot1x authentication multiple-hosts

 dot1x port-control auto

 dot1x authentication method TST-G0/4

 dot1x guest-vlan 2

端口G0/6的配置

interface GigaEthernet0/6 

 dot1x mab 

 dot1x authentication method TST-G0/6

华为交换机802.1X配置
gotonet的专栏
11-18 5057
1         功能需求及组网说明500)this.width=500;" border="0" alt="" src="http://www.cublog.cn/u/18307/upfile/060706143534.jpg" /> 『配置环境参数』1.      交换机vlan10包含端口E0/1-E0/10接口地址10.10.1.1/242.      交换机
CISCO交换机配置AAA、802.1X以及VACL
01-02
CISCO交换机配置AAA、802.1X以及VACL CISCO交换机配置AAA、802.1X以及VACL 一 启用AAA、禁用Telnet 以及启用 ssh 1.启用aaa身份验证,以进行SSH访问: Switch# conf t Switch(config)# aaa new-model 2.配置主机名 Switch(config)# hostname sw1 3.配置本地用户名口令,以便在带外服务器不可用时能够访问交换机 sw1(config)# username cisco password cisco 4.配置SSH sw1(config)# ipdomain-name cisco.com sw1(config)# crypto key generate rsa 5.配置交换机,使得只能通过SSH以带内方式访问交换机 sw1(config)# line vty 0 15 sw1(config-line)# transport input ssh sw1(config-line)# exit sw1(config)# exit 二 配置vty的aaa身份验证方式,首先使用radius 服务器,如果服务器不可用,使用本地用户名口令数据库 sw1(config)# aaa authentication login TEST group radius line sw1(config)# line vty 0 15 sw1(config-line)# login authentication TEST sw1(config-line)# exit 三 在接口上配置802.1x 1.为radius身份验证启用802.1x sw1(config)# aaa authentication dot1x default group radius 2.全局启用802.1x sw1(config)#dot1x system-auth-control 3.在接口上配置802.1x sw1(config)# int range fa0/2 - 10 sw1(config-if-range)# swtichport access vlan 10 sw1(config-if-range)# dot1x port-control auto 四 配置vacl以丢弃所有通过tcp端口8889进入的桢 1.配置一个acl,以判断数据包是否通过tcp端口8889进入: sw1(config)# access-list 100 permit tcp any any eq 8889 2.配置vlan访问映射表: sw1(config)# vlan access-map DROP_WORM 100 sw1(config-access-map)# match ip address 100 sw1(config-access-map)# action drop sw1(config-access-map)# exit 3.将vlan访问表应用于合适的vlan sw1(config)#vlan filter DROP_WORM vlan 10-20 802.1x工程笔记 在某网络测试时,工作笔记。 一、802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制,以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。 1802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略。 2、802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道) 3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。 二、802.1X的认证体系分为三部分结构: Supplicant System,客户端(PC/网络设备) Authenticator System,认证系统 Authentication Server System,认证服务器 三、认证过程 1、认证通过前,通道的状态为unauthorized,此时只能通过EAPOL的802.1X认证报文;2、认证通过时,通道的状态切换为authorized,此时从远端认证服务器可以传递来用户的信息,比如VLAN、CAR参数、优先级、用户的访问控制列表等等; 3、认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等过程。 4、Supplicant System- Client(客户端)是—需要接入LAN,及享受switch提供服务的设备(如PC机),客户端需要支持EAPOL协议,客户端必须运行802.1X客户端软件,如:802.1X-complain、Windows XP等 四、配置 1、先配置switch到radius server的通讯 全局启用802.1x身份验证功能 Switch# configure terminal Switch(config)# aaa new-model Switch(config)# aaa authentication dot1x {default} method1[method2...] 指定radius服务器和密钥 switch(config)#radius-server host ip_add key string 2、在port上起用802.1x Switch# configure terminal Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# dot1x port-control auto Switch(config-if)# end 802.1x的安全机制 编者按:IEEE 802.1x作为一种新生的链路层验证机制协议,其原理、组成、工作进程以及功能等到底如何呢?本文揭示了这项协议在网络安全方面的运行机理及其突出应用。 虽然大多数组织的IT基础设施已经加强了边界防御,但其内部仍然容易受到攻击。这种脆弱性具体表现为内部用户可未经授权访问或者恶意破坏关键的IT资源。作为全面的“深层防御”安全架构的一部分,关键内部基础设施的访问权只能提供给授权用户。 局域网(LAN)历来是大门敞开。IEEE 802.1x这项最新标准定义了为LAN实施访问控制的机制,允许授权用户进来,而把非授权用户拒之门外。因此,有了802.1x,LAN便不再是一道敞开的门,其本身也成为安全架构和政策执行的一个重要部分,并有助于消除来自组织内部的安全威胁。 802.1x验证机制及其优点 IEEE 802.1x是一种链路层验证机制协议,控制着对网络访问端口即网络连接点的访问,如实施在无线接入点的物理交换端口或逻辑端口。通过控制网络访问,用户可以在多层安全架构部署第一道防线。在连接设备得到验证之前,网络访问权完全被禁止。得到验证之后,用户可以被提供第2层交换机通常提供的服务以外的附加服务。这些服务包括第3层过滤、速率限制和第4层过滤,而不仅仅是简单的“开/关(on/off)”服务。 链路层验证方案的一个优点是,它只要求存在链路层连接,客户端(在802.1x中称为请求者)不需要分配供验证用的第3层地址,因而降低了风险。此外,链路层验证涉及了所有能够在链路上工作的协议,从而不必为每种协议提供网络层验证。802.1x还能够使执行点尽可能地接近网络边缘,因此可以针对连接设备的特定需求定制细粒度访问规则。 IEEE 802.1x的组成 IEEE 802.1x定义了下列逻辑单元: 网络访问端口:即网络上的连接点,它可能是物理端口,也可能是逻辑端口。 请求者:连接到网络、请求其服务的设备,通常是终端站。请求者是请求验证的设备,但也有可能是一种网络设备。 验证者:为验证服务提供便利的网络单元,验证者实际上并不提供验证服务,它充当请求者和验证服务器之间的代理,并且充当政策执行点。 端口访问实体:参与验证过程的固件。请求者和验证者都拥有端口访问实体(PAE)单元,请求者的PAE负责对验证信息请求做出响应,验证者的PAE负责与请求者之间的通信,代理授予通过验证服务器验证的证书,并且控制端口的授权状态。 验证服务器:提供向验证者申请验证服务的实体,它根据证书提供授权,既可以同验证者放在一起,也可以放在远地。 扩展验证协议(EAP) 由于使用了扩展验证协议(EAP),802.1x在请求者和验证者之间采用的实际验证机制相当灵活。EAP原先是为点对点(PPP)链路上的应用而定义的, 在因特网工程任务组的请求评论文档(RFC)2284中得到了明确定义。 基于以上所述,IEEE定义了一种封装模式,允许EAP通过LAN传输,EAP over LAN(EAPoL)于是应运而生。各种验证服务都可以通过这种协议运行,包括用户名/口令、Kerberos、数字证书、一次性口令和生物检测术等服务。EAP数据包在请求者和验证者之间的链路层上传输,并通过验证者与验证服务器之间的IP/RADIUS连接。 EAP本身并不为流量传输明确规定任何保护机制,如加密等。相反,EAP内运行的验证协议(在RFC 2284当中定义为验证类型)为安全操作提供了数据的机密性和完整性。验证类型的一个例子就是EAP传输层安全(EAP-TLS),它利用了在RFC 2246中明确定义的传输层协议(TLS)。 受控端口和不受控端口 802.1x标准定义了两种逻辑抽象:受控端口和不受控端口。这两种端口都连接到网络访问端口上。受控端口提供了访问请求者所用的网络服务的功能,根据验证操作成功与否实现打开或关闭操作。不受控端口始终处于连接状态,为验证服务的进行提供了始终连通的状态。受控端口需验证通过后才处于连接状态,从而提供给请求者网络服务。 802.1x的工作过程 802.1x的工作相当简单。值得注意的是请求者和验证者之间的流量通过EAPoL传输,验证者与验证服务器之间的流量则通过RADIUS传输。 开始时,受控端口处于中断状态,所以请求者无法访问LAN本身。请求者向验证者发出EAPoL起始消息,或者验证者会向请求者发出EAP请求身份消息。请求者接到请求身份消息后,就会把证书提供给验证者,然后验证者进行封装后把RADIUS数据包里面的消息发送给验证服务器。 RADIUS服务器随后向请求者发出质问请求,该请求由验证者充当代理。请求者对质问做出响应后,验证者又一次充当数据通过验证服务器的代理。验证服务器确认证书后,就会做出请求者可不可以使用LAN服务的决定。只要让受控端口由中断状态转换到连接状态,即可实现这一步。 增强授权功能 因为802.1x只明确规定了基本的开/关功能,其他功能甚少,大多数安全专家提到了AAA,即验证、授权和审计,而802.1x仅仅提供了最基本的验证功能,即开/关。部分厂商于是提供了另一层保护,因为许多组织需要比“开/关”所能够实现的更高一级的细粒度。厂商为受控端口增添逻辑以提高保真度,从而大大增强了授权功能。这种所谓的授权服务可以提供高保真度的第2、第3和第4层过滤功能,而且可以进行扩展,以获得动态自我配置的数据包过滤防火墙。授权服务可以提供如下的一些服务: ● 第2层协议过滤,去除了网络中不接受的第2层协议。 ● 第3层过滤,对提供特定单元访问权的网络执行逻辑视图。 ● 第4层过滤,禁止不允许的协议进入网络。 ● 速率限制,控制可能有害的信息进入网络的速率。 如果利用为每个端口进行编程的授权服务,就能针对特定用户或用户级制订相应的细粒度安全策略,为它们提供仅供访问所需服务的功能,其它服务一概禁止。 举一例,即使网络管理员能访问SNMP,会计部门的人却没有理由同样能访问。如果有可能确定一个用户属于哪个组,那么在验证期间就可以实施特定的授权策略。就本例而言,SNMP访问权应该授予网络管理组的成员,不然需收回权限,从而防止网络管理员之外的人无意或恶意对网络设备乱加配置。 CISCO交换机配置AAA、802.1X以及VACL 一 启用AAA、禁用Telnet 以及启用 ssh 1.启用aaa身份验证,以进行SSH访问: Switch# conf t Switch(config)# aaa new-model 2.配置主机名 Switch(config)# hostname sw1 3.配置本地用户名口令,以便在带外服务器不可用时能够访问交换机 sw1(config)# username cisco password cisco 4.配置SSH sw1(config)# ipdomain-name cisco.com sw1(config)# crypto key generate rsa 5.配置交换机,使得只能通过SSH以带内方式访问交换机 sw1(config)# line vty 0 15 sw1(config-line)# transport input ssh sw1(config-line)# exit sw1(config)# exit 二 配置vty的aaa身份验证方式,首先使用radius 服务器,如果服务器不可用,使用本地用户名口令数据库 sw1(config)# aaa authentication login TEST group radius line sw1(config)# line vty 0 15 sw1(config-line)# login authentication TEST sw1(config-line)# exit 三 在接口上配置802.1x 1.为radius身份验证启用802.1x sw1(config)# aaa authentication dot1x default group radius 2.全局启用802.1x sw1(config)#dot1x system-auth-control 3.在接口上配置802.1x sw1(config)# int range fa0/2 - 10 sw1(config-if-range)# swtichport access vlan 10 sw1(config-if-range)# dot1x port-control auto 四 配置vacl以丢弃所有通过tcp端口8889进入的桢 1.配置一个acl,以判断数据包是否通过tcp端口8889进入: sw1(config)# access-list 100 permit tcp any any eq 8889 2.配置vlan访问映射表: sw1(config)# vlan access-map DROP_WORM 100 sw1(config-access-map)# match ip address 100 sw1(config-access-map)# action drop sw1(config-access-map)# exit 3.将vlan访问表应用于合适的vlan sw1(config)#vlan filter DROP_WORM vlan 10-20 802.1x工程笔记 在某网络测试时,工作笔记。 一、802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制,以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。 1802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略。 2、802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道) 3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。 二、802.1X的认证体系分为三部分结构: Supplicant System,客户端(PC/网络设备) Authenticator System,认证系统 Authentication Server System,认证服务器 三、认证过程 1、认证通过前,通道的状态为unauthorized,此时只能通过EAPOL的802.1X认证报文;2、认证通过时,通道的状态切换为authorized,此时从远端认证服务器可以传递来用户的信息,比如VLAN、CAR参数、优先级、用户的访问控制列表等等; 3、认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等过程。 4、Supplicant System- Client(客户端)是—需要接入LAN,及享受switch提供服务的设备(如PC机),客户端需要支持EAPOL协议,客户端必须运行802.1X客户端软件,如:802.1X-complain、Windows XP等 四、配置 1、先配置switch到radius server的通讯 全局启用802.1x身份验证功能 Switch# configure terminal Switch(config)# aaa new-model Switch(config)# aaa authentication dot1x {default} method1[method2...] 指定radius服务器和密钥 switch(config)#radius-server host ip_add key string 2、在port上起用802.1x Switch# configure terminal Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# dot1x port-control auto Switch(config-if)# end 802.1x的安全机制 编者按:IEEE 802.1x作为一种新生的链路层验证机制协议,其原理、组成、工作进程以及功能等到底如何呢?本文揭示了这项协议在网络安全方面的运行机理及其突出应用。 虽然大多数组织的IT基础设施已经加强了边界防御,但其内部仍然容易受到攻击。这种脆弱性具体表现为内部用户可未经授权访问或者恶意破坏关键的IT资源。作为全面的“深层防御”安全架构的一部分,关键内部基础设施的访问权只能提供给授权用户。 局域网(LAN)历来是大门敞开。IEEE 802.1x这项最新标准定义了为LAN实施访问控制的机制,允许授权用户进来,而把非授权用户拒之门外。因此,有了802.1x,LAN便不再是一道敞开的门,其本身也成为安全架构和政策执行的一个重要部分,并有助于消除来自组织内部的安全威胁。 802.1x验证机制及其优点 IEEE 802.1x是一种链路层验证机制协议,控制着对网络访问端口即网络连接点的访问,如实施在无线接入点的物理交换端口或逻辑端口。通过控制网络访问,用户可以在多层安全架构部署第一道防线。在连接设备得到验证之前,网络访问权完全被禁止。得到验证之后,用户可以被提供第2层交换机通常提供的服务以外的附加服务。这些服务包括第3层过滤、速率限制和第4层过滤,而不仅仅是简单的“开/关(on/off)”服务。 链路层验证方案的一个优点是,它只要求存在链路层连接,客户端(在802.1x中称为请求者)不需要分配供验证用的第3层地址,因而降低了风险。此外,链路层验证涉及了所有能够在链路上工作的协议,从而不必为每种协议提供网络层验证。802.1x还能够使执行点尽可能地接近网络边缘,因此可以针对连接设备的特定需求定制细粒度访问规则。 IEEE 802.1x的组成 IEEE 802.1x定义了下列逻辑单元: 网络访问端口:即网络上的连接点,它可能是物理端口,也可能是逻辑端口。 请求者:连接到网络、请求其服务的设备,通常是终端站。请求者是请求验证的设备,但也有可能是一种网络设备。 验证者:为验证服务提供便利的网络单元,验证者实际上并不提供验证服务,它充当请求者和验证服务器之间的代理,并且充当政策执行点。 端口访问实体:参与验证过程的固件。请求者和验证者都拥有端口访问实体(PAE)单元,请求者的PAE负责对验证信息请求做出响应,验证者的PAE负责与请求者之间的通信,代理授予通过验证服务器验证的证书,并且控制端口的授权状态。 验证服务器:提供向验证者申请验证服务的实体,它根据证书提供授权,既可以同验证者放在一起,也可以放在远地。 扩展验证协议(EAP) 由于使用了扩展验证协议(EAP),802.1x在请求者和验证者之间采用的实际验证机制相当灵活。EAP原先是为点对点(PPP)链路上的应用而定义的, 在因特网工程任务组的请求评论文档(RFC)2284中得到了明确定义。 基于以上所述,IEEE定义了一种封装模式,允许EAP通过LAN传输,EAP over LAN(EAPoL)于是应运而生。各种验证服务都可以通过这种协议运行,包括用户名/口令、Kerberos、数字证书、一次性口令和生物检测术等服务。EAP数据包在请求者和验证者之间的链路层上传输,并通过验证者与验证服务器之间的IP/RADIUS连接。 EAP本身并不为流量传输明确规定任何保护机制,如加密等。相反,EAP内运行的验证协议(在RFC 2284当中定义为验证类型)为安全操作提供了数据的机密性和完整性。验证类型的一个例子就是EAP传输层安全(EAP-TLS),它利用了在RFC 2246中明确定义的传输层协议(TLS)。 受控端口和不受控端口 802.1x标准定义了两种逻辑抽象:受控端口和不受控端口。这两种端口都连接到网络访问端口上。受控端口提供了访问请求者所用的网络服务的功能,根据验证操作成功与否实现打开或关闭操作。不受控端口始终处于连接状态,为验证服务的进行提供了始终连通的状态。受控端口需验证通过后才处于连接状态,从而提供给请求者网络服务。 802.1x的工作过程 802.1x的工作相当简单。值得注意的是请求者和验证者之间的流量通过EAPoL传输,验证者与验证服务器之间的流量则通过RADIUS传输。 开始时,受控端口处于中断状态,所以请求者无法访问LAN本身。请求者向验证者发出EAPoL起始消息,或者验证者会向请求者发出EAP请求身份消息。请求者接到请求身份消息后,就会把证书提供给验证者,然后验证者进行封装后把RADIUS数据包里面的消息发送给验证服务器。 RADIUS服务器随后向请求者发出质问请求,该请求由验证者充当代理。请求者对质问做出响应后,验证者又一次充当数据通过验证服务器的代理。验证服务器确认证书后,就会做出请求者可不可以使用LAN服务的决定。只要让受控端口由中断状态转换到连接状态,即可实现这一步。 增强授权功能 因为802.1x只明确规定了基本的开/关功能,其他功能甚少,大多数安全专家提到了AAA,即验证、授权和审计,而802.1x仅仅提供了最基本的验证功能,即开/关。部分厂商于是提供了另一层保护,因为许多组织需要比“开/关”所能够实现的更高一级的细粒度。厂商为受控端口增添逻辑以提高保真度,从而大大增强了授权功能。这种所谓的授权服务可以提供高保真度的第2、第3和第4层过滤功能,而且可以进行扩展,以获得动态自我配置的数据包过滤防火墙。授权服务可以提供如下的一些服务: ● 第2层协议过滤,去除了网络中不接受的第2层协议。 ● 第3层过滤,对提供特定单元访问权的网络执行逻辑视图。 ● 第4层过滤,禁止不允许的协议进入网络。 ● 速率限制,控制可能有害的信息进入网络的速率。 如果利用为每个端口进行编程的授权服务,就能针对特定用户或用户级制订相应的细粒度安全策略,为它们提供仅供访问所需服务的功能,其它服务一概禁止。 举一例,即使网络管理员能访问SNMP,会计部门的人却没有理由同样能访问。如果有可能确定一个用户属于哪个组,那么在验证期间就可以实施特定的授权策略。就本例而言,SNMP访问权应该授予网络管理组的成员,不然需收回权限,从而防止网络管理员之外的人无意或恶意对网络设备乱加配置。 发表于: 2010-03-01,修改于: 2010-03-01 08:56 已浏览168次,有评论0条 推荐 投诉
802.1x 配置
02-10
本文主讲802.1x的安全配置及工作流程
《深信服AC802.1X认证实战:企业级有线认证部署指南》
最新发布
网云工程师-老王的博客
02-24 1629
本文将详细介绍如何在深信服 AC 上配置 802.1X 认证,实现企业级有线认证部署,适用于办公网、数据中心、分支机构等场景。
Linux配置 802.1X
热门推荐
陈硕的Blog
04-29 1万+
寝室的网络采用802.1X认证,新装了个RedHat 9 ,发现上不了网,需要安装 802.1X 认证客户端。学校的网管只提供华为的Windows客户端,没有Linux版。自己动手,从 www.open1x.org 下载 xsupplicant ,从 http://libdnet.sourceforge.net/ 下载 libdnet-1.7.tar.gz 。先编译安装libdnet、再安装xsu
802.1X基本配置
weixin_30381317的博客
12-22 819
基本的802.1X部署工作包括以下4步: 1. 为Cisco Catalyst交换机配置802.1X认证方 2. 为交换机配置访客VLAN或者受限VLAN,并调整802.1X定时器(可选) 3. 为Cisco ACS配置EAP-FAST,并在本地数据库创建用户账户 4. 为客户主机配置并部署802.1X请求方 一般性部署原则: • 在802.1X架构中采用扩展性...
802.1X高级配置
weixin_30593443的博客
12-22 408
部署VLAN和ACLCisco Catalyst交换机(认证方)和Cisco ACS(认证服务器)具备动态分配VLAN或者ACL的能力。Cisco ACS可以将某个用户分配给指定的VLAN,或应用ACL过滤该用户的流量。用户成功通过802.1X认证后,Cisco ACS向交换机发送Radius属性信息,有交换机负责VLAN的动态分配。配置动态VLAN和ACL时,需要完成以下工作: 1. 为交...
802.1X认证配置命令解析(含华为和华三设备)
weixin_47402139的博客
02-29 8774
本篇文章介绍了华为和华三交换设备针对802.1X认证(对接华为Agile Controller-Campus,NAC为统一模式,认证点部署在接入交换机)的配置命令,及相关命令解析
H3C交换机802.1x配置步骤详细说明
01-30
"H3C交换机802.1x配置步骤详细说明" 802.1x是IEEE制定的基于网络的身份验证协议,用于确保网络的安全性。H3C交换机支持802.1x身份验证协议,该协议可以在网络中实现身份验证、授权和计费。 配置802.1x需要在交换机...
H3C_端口802.1X认证基础配置案例
04-26
在本案例中,我们将深入理解如何在H3C设备上配置802.1X端口认证。 首先,我们看到拓扑图可能包含一个简单的网络环境,包括一台交换机(SW)和一台PC。这些设备都在HCL3.0.1(H3C的网络设备模拟器)中搭建,这是一个...
华为交换机(802.1X准入配置.txt
04-09
详细描述了802.1x的配置步骤,以及每一步的含义。如: 全局下配置: dot1x enable //全局下使能802.1x dot1x authentication-method eap //认证协议为eap dot1x retry 5 //认证最大重尝试数设置为5 dot1x timer...
802.1x环境搭建
12-10
以上步骤涵盖了802.1X环境搭建的关键知识点,包括802.1X协议的基本概念、认证流程、服务器搭建与配置、交换机配置以及完整的验证过程。这些内容为读者提供了全面而深入的理解,有助于在网络环境中实施802.1X认证机制...
802.1x配置
05-11
H3C交换机802.1x配置,主要针对802.1x场景下的网络设备配置工作。实际案例。
交换机802.1X配置生成工具
11-17
交换机802.1X配置工具主要用来支持产品涉及交换机802.1x配置的测试实施中,生成相应交换机的802.1x配置。在工具Dot1xTool.exe当前目录,生成xxx.ini文件,如华为_传统模式.ini,该文件属于文本格式,双击打开可直接查看。支持华为、华三、思科等产品配置
802.1X认证配置
weixin_33709609的博客
03-17 1157
1.组网需求用户通过Device的端口Ethernet1/0/1接入网络,设备对该端口接入的用户进行802.1X认证以控制其访问Internet,具体要求如下:·由两台RADIUS服务器组成的服务器组与Device相连,其IP地址分别为10.1.1.1/24和10.1.1.2/24,使用前者作为主认证/计费服务器,使用后者作为备份认证/计费服务器。·端口...
H3C设备-802.1X认证配置
m0_68698993的博客
08-15 4932
5、SW1 与 RADIUS 认证服务器交互报文时的共享密钥为 h3c@123、与 RADIUS 计费服务器交互报文时的共享密钥为 h3c@123。1、打开iNode智能客户端,输入用户名:admin,密码:admin123,点击"连接",连接成功则表示认证通过,如下图所示;1、打开WinRadius软件,点击"设置">"系统"配置NAS秘钥:h3c@123,认证端口1812,计费端口1813;2、 端口GE1/0/1 下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络
802.1x具体配置过程
weixin_34121304的博客
01-22 562
802.1x具体配置过程 (一)Catalyst 2950 enable vlan database vlan 30 name guest vlan 60 name repair apply exit enable config terminal aaa new-model aaa authentication dot1x defatlt group r...
华为配置WLAN 802.1X认证实验
专研计算机网络,数据通信,网络安全,系统集成
03-22 2941
组网图形配置802.1X认证组网图。
802.1x客户端 linux,Linux系统中 H3C802.1X客户端的设置
weixin_33417140的博客
05-13 401
该楼层疑似违规已被系统折叠隐藏此楼查看此楼就要断网了把这个发给大家有空装个Linux哈学校有Linux的客户端不过里面的说明文件有点问题先看文件夹里的说明文件再对照下面不同版本的略有不同括号里面是说明祝你们好运^_^不要看这么多你要做的仅仅是运行两三个命令和按Y/N一:解压点右键就行了和windows一样二:执行安装文件pre.ps结果如下[root@wangfeih...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值