pap认证要交换几次报文_802.1X认证实施项目分享

最新推荐文章于 2023-09-19 00:29:08 发布
最新推荐文章于 2023-09-19 00:29:08 发布
阅读量325 收藏
点赞数
文章标签: pap认证要交换几次报文
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31978571/article/details/112312260
版权

第1章项目介绍

//大致说一下该项目的前期背景,比如客户是什么性质的单位、此次采购的设备内容、项目建议的要求概述等。


第2章需求调研
//客户想实现二层准入。


2.1需求收集
//客户想实现内部用户上网必须经过认证后才可以上网,没有认证的用户接入层交换机都不可以访问,内网有大量的HUB,由于HUB不支持802.1X认证,所以同一个HUB下面的用户是可以互访的,但是同一个HUB下面的用户必须都各自认证成功后才可以上网,不存在一个用认证,所有用户自动上网的情况。


第3章方案规划
//把该阶段的一系列工作成果展示出来。


3.1设备清单
//把此次交付的设备清单列出来,如:本次实施工作包含深信服AF设备2台,设备清单如下:

5bf998c7ccf49cb9924159b6528c7fb2.png


3.2实施拓扑

e4fe40b2e46caca7ea4ed6139569889e.png


第4章实施步骤
4.1在全网行为管理开启802.1X认证
802.1X认证用13.0.7版本之后,其他版本不支持客户端软件的认证
开启802.1X认证
「接入管理」-「接入认证」-「802.1X接入认证」-「802.1X入网控制」开启802.1X端口保持默认,可以更改默认端口(端口、服务器密钥和交换机配置的redius认证的端口、密钥保持一致即可),认证方式可以是本地认证,也可以是AD域账号。

9d8600611f7dd903f2fc8981016ec84d.png


「接入管理」-「终端检查」-「高级选项」,开启802.1X认证和设置准入客户端网关地址,网桥部署填写桥IP,旁路部署填写管理IP。

4802ad8fb8adcf87bb090f2445efc62c.png


在接入层交换机配置802.X认证,无需在核心交换机开启802.1X认证,每个厂商配置的802.1X认证都可以在在网上搜索,如果没有的话可以找各个区域的工程师有一个工具,工具名称为:Dot1XToolnew,可以用该工具自行生成不同厂商的命令,全局下面的命令都一样,在接口下的命令需要灵活变通进行配置,可以使用来帮助,下面展示的是本次实施的华为交换机配置命令sys 进入系统视图
[HUAWEI]aaa 进入aaa视图
[HUAWEI-aaa]authentication-scheme abc 创建aaa方案“abc”
[HUAWEI-aaa-authen-abc]authentication-mode radius 配置当前认证方案使用的认证模式
[HUAWEI-aaa-authen-abc]quit
[HUAWEI-aaa]accounting-scheme abc 创建aaa计费方案“abc”
[HUAWEI-aaa-accounting-abc]accounting-mode radius 配置当前使用的计费模式“radius”
[HUAWEI-aaa-accounting-abc]quit
[HUAWEI-aaa]quit
步骤2:
[HUAWEI]radius-server template test 创建radius服务器模板“test”
[HUAWEI-radius-test]radius-server authentication 200.200.130.8 1812
设置radius服务器的认证IP地址和端口号
[HUAWEI-radius-test]radius-server accounting 200.200.130.8 1813
设置radius服务器的计费IP地址和端口号
[HUAWEI-radius-test]radius-server shared-key cipher sangfor123
设置接入设备与radius认证服务器的共享密钥
[HUAWEI-radius-test]quit
步骤3:
[HUAWEI]aaa 进入aaa视图
[HUAWEI-aaa]domain nac 创建认证域“nac”
[HUAWEI-aaa-domain-nac]authentication-scheme abc 在域下绑定aaa认证方案“abc”
[HUAWEI-aaa-domain-nac]accounting-scheme abc 在域下绑定aaa计费方案“abc”
[HUAWEI-aaa-domain-nac]radius-server test 在认证域下绑定radius服务器模板“test”
[HUAWEI-aaa-domain-nac]quit
[HUAWEI-aaa]quit
步骤4:
[HUAWEI]domain nac 配置全局默认域为“nac”
步骤5:
[HUAWEI]interface GigabitEthernet 0/0/28 进入用户接入的接口视图
[HUAWEI-GigabitEthernet0/0/28]authentication dot1x 使用802.1X认证
[HUAWEI-GigabitEthernet0/0/28]dot1x authentication-method eap
下载客户端安装:
「接入管理」-「终端检查」-「高级选项」点击下载准入EXE安装包,进行下载安装,在本地创建用户,用登陆的账号可以成功登陆,

2139784c5d7c62e86c8cf4948c0b6ca9.png


登陆客户端显示成功

4bac2985f1838dbd90f0221554ade0e7.png


第5章业务问题处理
5.1802.1X认证后部分网段出现不能上网的问题
1:在故障时间点分别在AC和测试的PC之间抓包,发现是华为交换机发一个断开请求的包2:通过在华为社区搜索关于802.1X的问题,根据社区的建议来做处置,查出来是交换机上少配置命令导致的
排查过程

983773f8083a9cc315906c912f7c9550.png


通过dis aaa offline-record domain nac命令查看交换机的下线记录,发现大量用户下线原因是ARP detect fail

a593d098fd8977671b3dc6433e7e4a94.png


通过查询官方资料发现,导致这个问题的是由于交换机没有配置对应vlan的接口地址(客户这个交换机是vlan 200 的,但是实际只配置了vlan 100 的接口地址)导致终端不响应

f2b2f43d2462692f1e91eb1ff09cf4f1.png


交换机 vlan 接口配置

32028260f163b29c7414ec6c5f83b08b.png


官方说明
解决方案:
方案1:配置vlan 及对应接口
[HUAWEI] interface Vlanif 200
[HUAWEI-Vlanif10] ip address 192.168.200.xxx 24
方案2:在系统视图下执行命令access-user arp-detect default将ARP探测报文的默认源IP改为0.0.0.0。
[HUAWEI] access-user arp-detect default ip-address 0.0.0.0
方案3:在系统视图下执行命令access-user arp-detect vlan指定对应vlan的ARP探测报文的源IP和源MAC地址
[HUAWEI] access-user arp-detect vlan 200 ip-address 192.168.200.xxx mac-address xxxx-xxxx-xxxx
官方给出了说明及解决方案
https://info.support.huawei.com/ ... al_offline_edesk002

信息门下跑狗
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pap认证失败_路由器PAP:密码验证失败.无法上网
weixin_42512356的博客
02-19 1122
6 0171:PPP_LCP Rx cfgReq:发送PADI,AC-MAC=00308818D337,请求建立连接:接收PADS:发送PADR,Maximum-Receive-Unit,Maximum-Receive-Unit:PPP_LCP Tx cfgAck:发送PADR:接收PADT,Session-ID=6899,Authentication-Protocol.16 0249:密码验...
身份认证——AAA与Radius协议讲解
m0_49864110的博客
03-16 5138
目录AAA介绍AAA的基本架构AAA的认证 授权 计费方式AAA通过本地和远端实现的大致流程Radius协议Radius架构Radius结构Radius如何对用户进行认证Radius协议交互过程AAA(Authentication Authorization and Accounting)又称为认证、授权和计费,是一种管理网络安全的机制(架构),主要为接入网络的用户提供认证、授权和计费三种基本服务,用于防止非法用户登陆设备AAA可以通过多种协议来实现,在实际应用中,最常使用RADIUS协议,也有些会
身份认证——802.1x认证和MAC认证讲解
m0_49864110的博客
03-16 8325
用户通过802.1x客户端输入用户和密码来向接入设备发送EAPoL-Start来触发认证,接入控制器收到客户端发送的EAPoL-Start之后,会向客户端发送EAP-Request/Identity,要求用户发送身份标识。EAP中继方式中,用来对用户密码进行加密处理的挑战字由认证服务器生成,设备端只是负责将EAP封装在RADIUS中透传认证服务器,整个认证处理都由认证服务器来完成。其实就是接入控制端主动触发进行802.1x认证,不过不通过用户密码认证了,而是通过MAC进行认证
[从RPC到Go-Micro 伍]给gRPC加安全认证
陈守一的博客
11-08 750
授权认证 gRPC中默认支持两种授权方式,分别是:SSL/TLS认证方式、基于Token的认证方式。 SSL/TLS认证方式 SSL全称是Secure Sockets Layer,又被称之为安全套接字层,是一种标准安全协议,用于在通信过程中建立客户端与服务器之间的加密链接。 TLS的全称是Transport Layer Security,TLS是SSL的升级版。在使用的过程中,往往习惯于将SSL和TLS组合在一起写作SSL/TLS。 简而言之,SSL/TLS是一种用于网络通信中加密的安全协议。 SSL/TL
RADIUS协议原理介绍+分析+配置指导-RFC2865/RFC2866
最新发布
fengxingzhe008的博客
09-19 7916
史上最全面的RADIUS协议介绍,AAA协议,RADIUS的认证,授权和计费,RFC2865/RFC2866/RFC5176档简介,RADIUS应用案例。
802.1x原理及相关技术介绍
12-02
802.1X认证系统的核心是使用**EAP(Extensible Authentication Protocol)**来进行信息交换。EAP是一种灵活的框架,支持多种认证方法,如PEAP、TLS等。具体而言: - **客户端与设备端**之间的通信通过**EAPOL**协议...
华为802.1X协议培训ppt
04-20
802.1X协议是IEEE为解决网络端口级别的接入控制而制定的标准,起源于802.11无线局域网协议。...通过深入理解802.1X协议的工作原理、认证体系结构和EAPOL协议,网络管理员可以更好地设计和实施安全的网络访问策略。
802.1x及VLAN ACL
10-15
802.1X是一种基于端口的网络访问控制协议,由IEEE于2001年发布,旨在解决局域网用户接入认证的问题,最初针对无线局域网(802.11标准),但其应用范围已扩展到有线局域网。802.1X的工作原理是通过与认证服务器(如...
eap.rar_.eap_EAP_EAP-TLS_eap-aka_eap-sim
09-21
它被广泛应用于802.11无线局域网、802.1X有线局域网访问控制、虚拟私人网络(VPNs)以及移动通信系统中。EAP允许添加新的认证方法,以适应不断变化的安全需求。 标签 ".eap" 表明件与EAP协议直接相关,而其他标签...
交换机802.1X配置生成工具
11-17
交换机802.1X配置工具主要用来支持产品涉及交换机802.1x配置的测试实施中,生成相应交换机的802.1x配置。在工具Dot1xTool.exe当前目录,生成xxx.ini件,如华为_传统模式.ini,该件属于本格式,双击打开可直接查看。支持华为、华三、思科等产品配置。
radius认证服务器搭建详细过程
04-24
radius认证服务器搭建及测试的具体过程,由于原章发不了图片,又没兴趣一个一个截图保存上传,就直接上传档了。
cisco2960dot1x配置
10-23
cisco2960dot1x配置 档ciscodot1x配置
H3C交换机AAA认证以及radius认证详解
08-23
当是华三公司的有关AAA协议的详解,大家都知道H3C出过不少通俗易懂的技术类章,本篇也不例外,相信能为很多做网络通信设备的TX门答疑解惑
交换机dot1x认证配置
nmglwy的博客
11-29 1万+
设备分配IP 12.16.43.250 vlan 分配IP 12.16.43.251华为交换机配置vlan interface vlanif xx vlan xx ip address 16.12.43.251 255.255.255.0 (vlan ip 在认证界面添加交换机参数使用) radius-server radius-server template ra
华为交换机dot1x配置认证方式
Richardlygo的博客
07-28 5533
802.1x
radius认证技术
weixin_34279579的博客
10-28 729
1. AAA和Radius概述  AAA是验证授权和记账Authentication,Authorization,and Accounting 的简称。它是运行于NAS上的客户端程序,它提供了一个用来对验证、授权和记账这三种安全功能进行配置的一致的框架。AAA的配置实际上是对网络安全的一种管理,这里的网络安全主要指访问控制,包括哪些用户可以访问网络服务器,具有访问权的用户可以...
linux网络的高可用性,构建高可用性网络
weixin_33601402的博客
05-15 225
构建高可用性网络关于本地主机的配置硬盘技术:硬盘上的特殊分区,swap首先,swap的存在是为了拟补虚拟内存的不足而出现的,有叫交换分区,它的作用是将那些内存中有而却不长用的一些数据保存到硬盘的一块分区上去,在系统需要的时候再把它调用出来,注意,他只有在系统出现提示增加swap的时候增加,才有必要加,只是改善系统内存的一个小的方法raid ;廉价的磁盘冗余阵列,它是通过一些软件或硬件上的技术将多个...
radius介绍
热门推荐
ENDLESS
04-22 2万+
              最近一直在做freedius.net,freeradius这个东西原本是在linux下的radius服务器。              可是呢现在要用到windows下,虽然有windows的版本——freeradius.net。但是很可笑的是.net竟然没有连接mssql的驱动,在google上找了很久,没有解决的办法。于是想把radius服务器放linux下的,
802.1x认证详解:EAPOL与RADIUS协议基础
802.1x认证方式有多种,如PAP(明密码)、CHAP(挑战握手认证协议)等,这些方式可以提供不同级别的安全性和用户体验。通过802.1x配置实例,读者可以学习如何设置和管理网络接入控制。此外,档还讨论了802.1x的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值