802.1x 命令说明以及配置方法

最新推荐文章于 2024-06-11 09:59:28 发布
最新推荐文章于 2024-06-11 09:59:28 发布
阅读量4.8k 收藏 30
点赞数
文章标签: linux 网络 网络协议 tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lansefengbaolele/article/details/122555352
版权
  1. 802.1x 命令说明以及配置方法 
    1. 配置802.1x任务列表
  1. 配置端口的802.1x认证
  2. 配置802.1x多主机端口认证
  3. 配置802.1x的重认证
  4. 配置802.1x的认证重试次数
  5. 配置802.1x发送频率
  6. 配置混合MAB认证的刷新时间
  7. 配置混合MAB认证的老化时间
  8. 配置802.1x用户绑定
  9. 配置802.1xmac地址绑定
  10. 配置802.1x端口的认证方法
  11. 选择802.1x端口的认证类型
  12. 配置端口的mab认证
  13. 配置802.1x记账
  14. 配置802.1x guest-vlan
  15. 禁止拥有多网卡的Supplicant
  16. 802.1x恢复默认配置
  17. 监控802.1x认证配置和状态
    1. 配置802.1x任务
      1. 配置端口的802.1x认证

802.1x定义了三种端口的控制方式:强制认证通过、强制认证不通过和启动802.1x认证。

强制认证通过,表示端口已经认证通过,不需要再对端口进行认证,所有的用户都可以通过该端口进行数据访问控制;该模式是端口的默认模式。强制认证不通过,表示端口认证不通过,即使使用任何认证手段对端口进行认证,该端口都不会认证通过,所有的用户都无法通过该端口进行数据访问控制。

启动802.1x认证,即端口将运行802.1x认证协议,对访问该端口的用户进行802.1x认证,只有认证通过后用户都可以通过该端口进行数据访问控制。启动端口的802.1x的认证后还要配置AAA的认证方法。

在配置802.1x前,必须将802.1x功能使能,使用下面的命令可以使能802.1x:

命令

目的

 dot1x enable 

使能802.1x功能 。

使用下面的命令可以启动802.1x认证:

命令

目的

dot1x port-control auto

配置端口为802.1x协议认证模式。

aaa authentication dot1x {default |list name} method

配置802.1x的AAA认证。

选择802.1x控制方式,可以在接口配置模式下使用下面的任意一个命令:

命令

目的

dot1x port-control auto

端口启动802.1x认证。

dot1x port-control force-authorized

端口强制认证通过。

dot1x port-control force-unauthorized

端口强制认证不通过。

dot1x port-control misc-mab

多用户和mab认证的混杂模式

      1.   配置802.1x多用户认证

802.1x端口访问控制主要是对单个用户进行认证,其他用户不能同时进行认证和访问,除非前一个用户退出认证、访问过程。实际上,认证端口可能与多个用户相连接,为了使这些用户都能进行认证、访问,可以启动多用户认证功能。

多用户认证包含两种模式,一种是multiple-hosts模式:当用户进行认证时,只需要其中某一用户通过认证,就将端口置为up状态,其他用户无需认证也可以通过该端口进行访问;另一种是multiple-auth模式:交换机将对每个用户分别进行认证,每个用户认证之间互不影响。只要有一个用户认证成功,端口就up,只有当所有的用户都认证失败,即认证端口下不存在认证成功的用户时,端口才down。这样可以保证对每个用户分别认证,且一个用户认证失败不影响其他用户的正常访问权限。

注意multi-auth模式与guest vlan功能不能同时配置,与mab认证不能同时配置。修改端口的多用户认证模式后,会对端口下所有用户进行重新认证。

激活802.1x多主机端口认证,可以在接口配置模式下使用下面的任意一个命令:

命令

目的

dot1x authentication multiple-hosts

设置802.1x多主机端口访问模式。只需一个用户认证通过,端口就up。

dot1x authentication multiple-auth

设置802.1x多主机端口认证模式。每个用户认证之间互不影响。

      1.   配置802.1x的重认证

在认证通过后,为了保证认证客户端的合法性,间隔一段时间后还会向客户端发起认证,这时就需要启动重认证功能。

启动重认证功能,当端口认证通过以后,将会周期性的向主机进行认证请求。

配置重认证功能,可以使用下面的命令:

命令

目的

dot1x re-authentication

启动重认证功能。

dot1x timeout re-authperiod time

配置重认证的周期。

      1. 配置802.1x的认证重试次数

在认证失败之后交换机会继续发送request/ID报文来发起认证,当超过该次数的认证,客户机依然没有响应,认证将会被挂起。

配置重复认证次数功能,可以使用下面的命令:

命令

目的

dot1x reauth-max time

配置重认证失败后的重试次数。

      1. 配置802.1x发送频率

802.1x认证过程中,它会向客户主机发送数据报文,通过控制802.1x发送频率可以调节数据发送以保证客户主机的响应。

配置发送频率,可以使用下面的命令:

命令

目的

dot1x timeout tx-period time

设定802.1x报文发送频率。

      1. 配置混合MAB认证的刷新时间

该命令可以配置混合MAB认证的刷新时间在每个刷新事件中会重新读取端口下的动态mac地址

配置发送频率,可以使用下面的命令:

命令

目的

dot1x timeout misc-mab-refresh time

 设置混合MAB认证的刷新时间

      1. 配置混合MAB认证的老化时间

该命令可以配置配置混合MAB认证mac auth的老化时间。在每个刷新事件中会重新读取端口下的动态mac地址,如果该mac地址存在对应的auth,则刷新该auth的老化时间,如果不存在,则老化。

配置发送频率,可以使用下面的命令:

命令

目的

dot1x timeout misc-mab-aging time

 设置混合MAB认证的老化时间

      1. 配置802.1x用户绑定

802.1x认证时,可以将用户与某一个端口进行绑定,保证端口访问的安全。启动802.1x用户绑定功能,可以在接口配置模式下使用下面的命令:

  命令

目的

dot1x user-permit xxxz

配置端口下绑定的用户。

      1. 配置802.1x mac地址绑定

802.1x认证时,可以将mac地址与某一个端口进行绑定,保证端口访问的安全。启动802.1x mac地址绑定功能,可以在接口配置模式下使用下面的命令:

  命令

目的

dot1x macr-permit h:h:h:h:h:h 

配置端口下绑定的mac地址。

      1. 配置802.1x端口的认证方法

802.1x认证时不同的端口可以使用不同的认证方法,缺省时,802.1x认证使用default方法。

配置802.1x认证方法,可以在接口配置模式下使用下面的命令:

命令

目的

dot1x authentication method yyy

配置802.1x认证方法。

      1. 选择802.1x端口的认证类型

802.1x认证时可以选择认证类型,该类型将决定AAA使用Chap或Eap认证(eap认证支持md5-challenge和eap-tls方式);使用Chap时MD5所需的challenge将在本地产生,而使用Eap时challenge将在认证服务器上产生;每一个端口只使用一种认证类型,默认情况下该类型使用全局配置的认证类型,当端口配置了认证类型时就一直使用该认证类型,除非使用No命令恢复到默认值。

eap-tls采用电子证书作为认证凭证,遵循tls(Translation Layer Security)中handshake协议规范,具有更好的安全性。

配置认证类型,可以在全局配置模式下使用下面的命令:

命令

目的

dot1x authen-type {chap|eap}

选择chap或eap。

也可以在接口配置模式下使用下面的命令:

命令

目的

dot1x authentication type {chap|eap}

选择chap或eap或使用全局下的配置类型。

      1. 配置端口的mab认证

当对端设备无法使用802.1x客户端软件时,交换机使用Mab(MAC Authentication Bypass)认证方式,将对端设备的mac地址作为用户名和密码发往radius服务器进行认证。

注意:交换机上可以通过dot1x mabformat命令指定账号、密码格式,确保其与radius服务器上的设置一致。

开启 mab功能后,如果对端设备既没有发送eapol_start报文,也没有响应request_identity报文,超时后,交换机认为对端设备不支持802.1x认证客户端,转而进入mab认证过程交换机将获取到的设备的mac地址作为用户名和密码发送给radius服务器进行认证,如果在radius服务器上已经授权该mac地址,则认证成功,交换机允许用户通过该端口访问网络。

注意:开启mab认证时,不能同时配置multi-auth多主机认证模式。

开启mab认证,可以在接口配置模式下使用下面的命令:

命令

目的

dot1x mab

端口上开启mab认证功能。

可以在全局配置模式下使用下面的命令配置mac地址的格式:

命令

目的

dot1x mabformat{1|2|3|4|5|6}

可以选择格式1到格式6之间的六种mac地址格式中的一种。默认为格式1。

      1. 配置802.1x记帐

采用dot1x认证的同时,可以进行记帐,实现机制是,在dot1x认证通过后,判断是否在该认证接口下打开了记帐功能,如果是,则使用AAA接口发送记帐请求,在收到AAA模块的请求成功信息后,该接口才可以通过报文。

记帐方法可以采用AAA配置中各种记帐方法,相关内容请参考AAA配置。

为了保证记帐信息的准确性,在记帐开始后,dot1x会周期性的使用AAA接口向server端发送update信息,但根据AAA配置的不同,AAA模块决定是否真正发送该报文。

同时,请打开dot1x重认证功能,确保supplicant出现异常时,能够被交换机知晓。

为了打开dot1x记帐功能及配置记帐采用的方法,可以在接口配置模式下使用下面的命令:

命令

目的

dot1x accounting enable

打开802.1x记帐功能 

dot1x accounting method {method name}

配置记帐方法,缺省为default

      1. 配置802.1x guest-vlan

Guest-vlan功能可以在客户端没有响应时,给予相应端口有限的访问权限(例如下载客户端软件)。Guest-vlan可以是系统中任何一个已配置的vlan,如果配置的guest-vlan不满足该条件,则该端口无法进入该guest-vlan。

注意:认证失败没有访问权限。

全局模式下打开guest-vlan功能,使用下面的命令:

命令

目的

dot1x guest-vlan

在所有端口下打开guest-vlan功能

初始时,每个端口的guest-vlan id为0,此时即使打开了全局guest-vlan功能,也不起作用,只有在端口配置模式下,配置了guest-vlan id后,guest-vlan才起作用。

端口模式下使用下面命令配置guest-vlan id:

命令

目的

dot1x guest-vlan {id(1-4094)}

在端口下配置guest-vlan的Vlan id

      1. 禁止拥有多网卡的Supplicant

禁止拥有多张网络适配器的Supplicant端,防止代理的发生。可以在端口配置模式下使用下面的命令:

命令

目的

dot1x forbid multi-network-adapter

禁止拥有多张网络适配器的Supplicant端。

      1. 802.1x恢复默认配置

将所有的全局配置恢复到默认配置。可以在全局配置模式下使用下面的命令:

命令

目的

dot1x default

将所有的全局配置恢复到默认配置。

      1. 监控802.1x认证配置和状态

为了监控802.1x认证配置和状态,决定哪个802.1x参数需要调整,可以在管理模式下使用下面的命令:

命令

目的

show dot1x

 { interface|statistics|misc-mab-db }

802.1x认证配置和状态。

    1. 配置802.1x示例

Host A与交换机的端口G0/2相连,Host B与交换机的端口G0/4相连,Host C与交换机的端口G0/6相连,radius-server host的ip地址为192.168.20.2,radius的key为TST;端口G0/2的认证使用远程的radius认证并且使用了用户绑定和开启记账功能和重认证功能,端口G0/4的认证使用本地认证没使用用户绑定,但用eap类型,并且启用了Multi-hosts和开启guest-vlan功能,端口G0/6使用mab认证,mac地址格式为AA:BB:CC:DD:EE:FF。

全局的配置

username switch password 0 TST

username TST password 0 TST

aaa authentication dot1x TST-G0/2 group radius

aaa authentication dot1x TST-G0/4 local

aaa authentication dot1x TST-G0/6 group radius

aaa accounting network dot1x_acc start-stop group radius

dot1x enable

dot1x re-authentication

dot1x timeout re-authperiod 10

dot1x mabformat 2

dot1x guest-vlan

interface VLAN1

ip address 192.168.20.24 255.255.255.0

!

vlan 1-2

radius-server host 192.168.20.2 auth-port 1812 acct-port 1813

radius-server key TST

端口G0/2的配置

interface GigaEthernet0/2

 dot1x port-control auto

 dot1x authentication method TST-G0/2

 dot1x user-permit radius-TST

 dot1x accounting enable

 dot1x accounting method dot1x_acc

端口G0/4的配置

Interface GigaEthernet0/4 

 dot1x authentication multiple-hosts

 dot1x port-control auto

 dot1x authentication method TST-G0/4

 dot1x guest-vlan 2

端口G0/6的配置

interface GigaEthernet0/6 

 dot1x mab 

 dot1x authentication method TST-G0/6

lansefengbaolele
关注
  • 0
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
802.1x实验
12-23
1.使用802.1x对接入设备进行接入控制 2.掌握guest vlan的配置 3.了解802.1x的认证,Vlan下发,ACL下发等高级特性
H3C_端口802.1X认证基础配置案例
04-26
在本案例中,我们将深入理解如何在H3C设备上配置802.1X端口认证。 首先,我们看到拓扑图可能包含一个简单的网络环境,包括一台交换机(SW)和一台PC。这些设备都在HCL3.0.1(H3C的网络设备模拟器)中搭建,这是一个...
身份认证——802.1x认证和MAC认证讲解
m0_49864110的博客
03-16 8155
用户通过802.1x客户端输入用户和密码来向接入设备发送EAPoL-Start报文来触发认证,接入控制器收到客户端发送的EAPoL-Start报文之后,会向客户端发送EAP-Request/Identity报文,要求用户发送身份标识。EAP中继方式中,用来对用户密码进行加密处理的挑战字由认证服务器生成,设备端只是负责将EAP报文封装在RADIUS报文中透传认证服务器,整个认证处理都由认证服务器来完成。其实就是接入控制端主动触发进行802.1x认证,不过不通过用户密码认证了,而是通过MAC进行认证。
推荐开源项目:Laravel-Multi-Auth-Admin —— 现代化权限管理后台模板
最新发布
gitblog_00015的博客
06-11 258
推荐开源项目:Laravel-Multi-Auth-Admin —— 现代化权限管理后台模板 项目地址:https://gitcode.com/jwwb681232/laravel-multi-auth-admin 在今天的开源世界中,寻找一款既能满足后端登录认证,又能处理权限管理,并且拥有优美界面的后台管理系统是至关重要的。为此,我们向您强力推荐Laravel-Multi-Auth-Admin。...
802.1x认证方式(EAP中继认证与EAP终结认证)
云淡风轻ing的博客
02-16 7611
802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPOL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
802.1X认证技术与MAC认证技术
九儿九只的博客
07-18 4503
一、介绍 802.1X技术作为局域网一种普遍端口(二层设备端口)接入控制机制在以太网中被广泛应用,主要用以解决以太网内认证和安全方面的问题 MAC认证是一种基于端口和MAC地址对于用户的网络访问控制权限进行控制和认证方法,它不需要用户安装任何客户端软件,用户名和密码都是用户设备的MAC地址,用于哑终端的接入认证(打印机、IP话机) 准入控制概述 802.1X认证: 802.1X协议起源于WLAN的802.11协议,用于控制无限用户的链路层接入和身份认证。经过扩展后,802.1X也可以使用以太网帧作为
802.1x和MAC认证
SZX_tfd的博客
08-20 4866
(自看用) 关于准入认证 准入认证有三种:802.1x、MAC认证以及Portal认证。下面是三种认证方式的优缺点: 802.1x优点:安全性高。缺点:部署不灵活,需要安装客户端。 MAC 优点:不需要安装客户端。 缺点:等级MAC地址、管理复杂。 Portal 优点:不需要客户端、部署灵活。缺点:安全性不高。 准入认证概述: (截图自b站泰克教育) ...
802.1x Supplicant for Linux 安装使用说明
fatsandwich的专栏
07-17 1469
目录    安装    解压缩    执行安装文件    使用    配置用户信息    发起网络认证    查看网络状态和版本信息    断开网络连接 安装   安装过程分为两个步骤,首先解开压缩包,然后执行安装文件。解压缩    tar –xzvf h3c802.1xClient.tar.gz执行安装文件    到展开的文件夹中执行
华为交换机(802.1X准入配置).txt
04-09
详细描述了802.1x的配置步骤,以及每一步的含义。如: 全局下配置: dot1x enable //全局下使能802.1x dot1x authentication-method eap //认证协议为eap dot1x retry 5 //认证最大重尝试数设置为5 dot1x timer...
win10开启802.11x认证
08-17
4. **导入或编辑注册表设置**:压缩包中的"dot1xMD5.reg"可能是一个用于自动配置802.1X设置的注册表脚本。双击该文件,确认导入,这将修改注册表中的相关设置以启用802.11x认证。务必谨慎操作,因为错误的注册表修改...
主流交换机厂商802.1x参考配置.docx
05-06
本文档旨在为读者提供主流交换机厂商的802.1x认证配置指南,涵盖Cisco、H3C、Huawei等知名厂商的交换机配置方法。下面将详细介绍每种交换机的配置步骤和查看认证状态的命令。 一、802.1x认证配置 802.1x是IEEE制定...
802.1x 配置
02-10
本文主讲802.1x的安全配置及工作流程
802.1X认证配置案列
02-11
在华三、华为系的交换机上的802.1X认证配置案例
安奈特交换机802.1x基本配置
03-03
安奈特交换机802.1x基本配置,非常适合新人操作。
华为交换机802.1x认证配置
VEGETA的博客
03-13 7752
华为网络设备802.1x搭配Windows server有线网络认证。
cisco中802.1x的配置
weixin_34302798的博客
03-06 3825
整理一下802.1X的配置1、交换机上启用AAAR1(config)#aaa new-model2、定义外部Radius服务器R1(config)#radius-server host hostname/ip-addreskey name3、定义802.1X认证方法R1(config)#aaa authentication dot1x default group radius...
基于端口的访问控制协议802.1X
小桥流水的专栏
02-29 4772
802.1x认证介绍 802.1x协议作为局域网端口的接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。 802.1x 协议是一种基于端口的网络接入控制协议,“基于端口的网络接入控制”是指在局域网接入设备的端口这一级,对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
H3C设备-802.1X认证配置
m0_68698993的博客
08-15 3181
5、SW1 与 RADIUS 认证服务器交互报文时的共享密钥为 h3c@123、与 RADIUS 计费服务器交互报文时的共享密钥为 h3c@123。1、打开iNode智能客户端,输入用户名:admin,密码:admin123,点击"连接",连接成功则表示认证通过,如下图所示;1、打开WinRadius软件,点击"设置">"系统"配置NAS秘钥:h3c@123,认证端口1812,计费端口1813;2、 端口GE1/0/1 下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络
802.1X协议学习总结之原理
ruolin0923的博客
03-11 3131
之前工作笔记都在有道,最近又调试了一下这个协议巩固了一波,感觉还是发到CSDN来给大家分享更有意义点。 802.1x基本概念简介 802.1x的背景 1.802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题,但由于它的原理对于所有符合IEEE 802标准的局域网具有普适性,因此后来它在有线局域网中也得到了广泛的应...
linux需要wifi网络认证,无线802.1x认证简介及配置方法
05-26
无线802.1x认证是一种基于网络的认证协议,用于验证用户身份和授权无线网络访问。在Linux操作系统中,可以使用WPA_Supplicant工具进行无线802.1x认证。下面是配置方法: 1. 安装WPA_Supplicant工具 可以使用以下命令Linux中安装WPA_Supplicant工具: ``` sudo apt-get install wpasupplicant ``` 2. 配置WPA_Supplicant 在配置WPA_Supplicant之前,需要先获取以下信息: - 网络名称(SSID) - 安全类型 - 认证类型 - 用户名和密码 在Linux中,可以使用以下命令来编辑WPA_Supplicant的配置文件: ``` sudo nano /etc/wpa_supplicant.conf ``` 在文件中添加以下内容: ``` network={ ssid="YOUR_SSID" key_mgmt=WPA-EAP eap=PEAP identity="YOUR_USERNAME" password="YOUR_PASSWORD" phase1="peaplabel=0" phase2="auth=MSCHAPV2" } ``` 其中,将YOUR_SSID替换为你的网络名称,将YOUR_USERNAME和YOUR_PASSWORD替换为你的用户名和密码。 3. 连接无线网络 使用以下命令来连接无线网络: ``` sudo wpa_supplicant -i INTERFACE_NAME -c /etc/wpa_supplicant.conf -B ``` 其中,将INTERFACE_NAME替换为你的无线网络接口名称。 4. 测试连接 使用以下命令来测试连接: ``` ping google.com ``` 如果连接成功,你将能够看到响应。 以上就是Linux配置无线802.1x认证的方法

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值